Cisco Live Protect – Mehr Sicherheit für kritische Infrastrukturen zwischen zwei Wartungsfenstern

Cisco Live Protect: Die Antwort auf eine neue Generation von Bedrohungen

Die Anforderungen an den sicheren Betrieb von Netzwerk- und Security-Infrastrukturen haben sich grundlegend verändert. Während Unternehmen ihre Netzwerkkomponenten früher oft über viele Monate oder sogar Jahre nahezu unverändert betreiben konnten, verkürzt sich heute das Zeitfenster zwischen der Veröffentlichung einer kritischen Schwachstelle und deren aktiver Ausnutzung dramatisch. Nach Aussage von Cisco sind hierfür vor allem zwei Entwicklungen verantwortlich: Zum einen rücken Netzwerkkomponenten wie Switches, Router und Firewalls zunehmend in den Fokus professioneller Angreifer. Zum anderen ermöglichen moderne KI-Modelle das deutlich schnellere Auffinden und Ausnutzen bislang unbekannter Schwachstellen.

Mit Cisco Live Protect stellt Cisco deshalb einen völlig neuen Sicherheitsansatz vor, der Unternehmen hilft, diese kritische Zeitspanne zwischen der Veröffentlichung einer Schwachstelle und der Installation eines regulären Software-Patches deutlich sicherer zu überbrücken.

Sicherheitslücke schließen – ohne auf den nächsten Patch warten zu müssen

Cisco Live Protect ist keine klassische Sicherheitsaktualisierung und ersetzt auch keine regelmäßigen Software-Updates. Stattdessen stellt Cisco sogenannte Cisco-validierte Compensating Controls (“Shields”) bereit, die unmittelbar auf einem laufenden System aktiviert werden können.

Das Ziel ist klar: Die Angriffsfläche soll sofort reduziert werden, ohne dass produktive Systeme neu gestartet oder außer Betrieb genommen werden müssen.

Cisco beschreibt Live Protect deshalb als eine Art temporären Schutzschild, der die Infrastruktur bis zum nächsten regulären Wartungsfenster absichert. Erst anschließend wird wie gewohnt der permanente Software-Patch installiert.

Gerade Betreiber geschäftskritischer Netzwerke profitieren davon erheblich, da ungeplante Wartungsfenster, Notfall-Patches oder Betriebsunterbrechungen deutlich reduziert werden können.

Innovative Technologie direkt im Betriebssystem

Technisch basiert Cisco Live Protect auf der Linux-Technologie eBPF (Extended Berkeley Packet Filter), die direkt im Kernel des Betriebssystems arbeitet.

Dadurch können sehr präzise Sicherheitsregeln aktiviert werden, beispielsweise:

  • Verhindern, dass ein bestimmter Prozess auf eine bestimmte Datei zugreift
  • Blockieren bekannter Exploit-Pfade
  • Schutz vor der Ausnutzung veröffentlichter Schwachstellen
  • Keine Änderung des Kernel-Codes erforderlich
  • Kein Neustart des Systems notwendig

Da diese Schutzmaßnahmen extrem zielgerichtet arbeiten, spricht Cisco von einer sehr geringen False-Positive-Rate sowie einem vernachlässigbaren Einfluss auf CPU, Speicher und Netzwerkleistung.

Die eigentlichen Schutzregeln werden dabei nicht vom Kunden selbst erstellt, sondern von Cisco Talos analysiert, entwickelt und nach umfangreichen internen Tests veröffentlicht. Zusätzlich arbeitet Cisco hierbei mit dem auf AI-Red-Teaming spezialisierten Unternehmen Armadin zusammen, um die Wirksamkeit der Schutzmaßnahmen unabhängig zu validieren.

Drei Betriebsmodi für maximale Kontrolle

Damit Administratoren Live Protect kontrolliert einsetzen können, unterstützt die Lösung drei unterschiedliche Betriebsmodi:

Monitor Mode
Die Schutzregel wird zunächst lediglich überwacht. Ereignisse und mögliche Exploit-Versuche werden protokolliert, ohne aktiv einzugreifen. Dadurch kann die Wirkung einer Richtlinie zunächst sicher bewertet werden.

Enforce Mode
Nach erfolgreicher Validierung wird die Richtlinie aktiviert. Bekannte Angriffe oder Exploit-Versuche werden nun in Echtzeit blockiert bzw. unterbunden.

Disable Mode
Soll eine Schutzregel vorübergehend außer Kraft gesetzt werden, kann sie deaktiviert werden, ohne vollständig entfernt werden zu müssen.

Diese Vorgehensweise ermöglicht einen schrittweisen und kontrollierten Rollout und reduziert gleichzeitig das Risiko unerwarteter Auswirkungen im produktiven Betrieb.

Ein neues Betriebsmodell für moderne IT-Infrastrukturen

Cisco beschreibt Live Protect als Teil eines grundlegenden Paradigmenwechsels.

Anstatt Infrastruktur nur ein- oder zweimal jährlich umfangreich zu aktualisieren, sollen künftig kontinuierlich kleine, risikoarme Änderungen vorgenommen werden – ähnlich dem Betriebsmodell großer Cloud-Plattformen.

Cisco vergleicht diesen Ansatz mit dem regelmäßigen Streichen der Golden Gate Bridge: Nicht die komplette Brücke wird gesperrt, sondern kontinuierlich Abschnitt für Abschnitt bearbeitet, während der Verkehr weiterläuft.

Genau dieses Prinzip verfolgt Live Protect: Schutzmaßnahmen werden sofort eingespielt, während der produktive Betrieb ohne Unterbrechung weiterläuft.

Verfügbarkeit und Lizenzierung

Zum Start unterstützt Cisco Live Protect die Cisco Nexus 9000 Series im Rechenzentrum unter NX-OS.

Nach aktueller Cisco-Planung soll die Funktion in den kommenden Monaten schrittweise auf weitere Infrastrukturplattformen ausgeweitet werden. Cisco nennt hierzu unter anderem:

  • Cisco Smart Switches für Campus- und Branch-Netzwerke
  • Cisco Catalyst Wireless Controller
  • Cisco Secure Router
  • Cisco SD-WAN Manager
  • weitere Cisco-Infrastrukturplattformen

Die Verfügbarkeit ist jeweils abhängig von Plattform, Software-Version und unterstütztem Lifecycle.

Ein separater Listenpreis wird von Cisco derzeit nicht veröffentlicht. Nach aktuellem Stand ist Live Protect Bestandteil der Cisco-Lizenzierung für unterstützte Nexus-Plattformen (Essentials-Lizenz bzw. Nexus-One-Entitlement).

Unser Fazit

Cisco Live Protect gehört zu den spannendsten Neuerungen im Bereich der Netzwerksicherheit in diesem Jahr. Statt ausschließlich auf klassische Sicherheitsupdates zu setzen, etabliert Cisco einen zusätzlichen Schutzmechanismus, der unmittelbar nach Bekanntwerden einer kritischen Schwachstelle aktiviert werden kann. Unternehmen gewinnen dadurch wertvolle Zeit für Planung, Tests und einen geordneten Patch-Rollout – ohne die Verfügbarkeit ihrer Infrastruktur unnötig zu gefährden.

Wie wir Sie als Cisco Preferred Partner unterstützen

Die Einführung von Cisco Live Protect ist weit mehr als das Aktivieren einer neuen Funktion. Zunächst muss geprüft werden, welche Plattformen und Softwarestände bereits unterstützt werden, wie sich die Lösung in bestehende Betriebsprozesse integriert und wann der Einsatz der verschiedenen Betriebsmodi sinnvoll ist.

Als Cisco Preferred Partner verfügen wir über direkten Zugang zu aktuellen Cisco-Informationen, Architektur- und Designempfehlungen sowie zu einem großen Team zertifizierter Cisco-Experten aus den Bereichen Enterprise Networking, Data Center und Cybersecurity.

So profitieren Sie frühzeitig von einer innovativen Cisco-Technologie und können gleichzeitig die Sicherheit und Verfügbarkeit Ihrer geschäftskritischen Infrastruktur nachhaltig erhöhen.

Haben Sie Fragen? Gerne stehen wir Ihnen für ein persönliches Gespräch über Cisco Themen zur Verfügung. Füllen Sie dazu einfach das Kontaktformular aus: Zum Kontaktformular