Möchten Sie auf Ihrem Weg zu Zero Trust vorankommen? Mit diesen Schritten bleibt Ihre Strategie auf Kurs. [...]
Zero Trust ist seit langem der logische Nachfolger des „Moat/Castle Perimeter“ Sicherheitsmodells. Dieses hat sich beim Schutz von Unternehmen vor Cyberangriffen nicht bewährt und wird zunehmend veraltet, da Mitarbeiter immer mobiler werden und Anwendungen in die Cloud wandern.
Die Einführung des Zero-Trust-Modells, das vom ehemaligen Forrester-Analysten John Kindervag vor mehr als zehn Jahren entwickelt wurde, verlief jedoch nur langsam, was zum Teil auf die Scheu vor Veränderungen und die Befürchtung zurückzuführen ist, dass die Ersetzung der Perimetersicherheit durch etwas Neues riskant, komplex und kostspielig sein würde.
Das änderte sich, als die Pandemie ausbrach, die Büros der Unternehmen leer wurden und Millionen von Arbeitnehmern plötzlich von zu Hause aus arbeiten mussten. IT-Führungskräfte beeilten sich, Anwendungen in die Cloud zu verlagern, um sie für ihre mobilen Mitarbeiter besser zugänglich zu machen. Dann bemühten sie sich, diese Edge-Verbindungen mit Methoden zu sichern, die mit der Zero-Trust-Architektur vereinbar sind, z. B. Multi-Faktor-Authentifizierung, Zugangskontrollen und Secure Access Service Edge (SASE), ein Cloud-basierter Dienst, der Konnektivität und Sicherheit kombiniert.
Laut Forrester-Analyst Steve Turner haben die Unternehmen ihre Zero-Trust-Reise „versehentlich“ begonnen. „Wir beobachten, dass viele Kunden zurückkommen und sagen: ‚Wo kann ich noch Zero Trust einsetzen?‘ Sie stellen fest, dass es viele Lösungen gibt, die sich als Zero Trust anpreisen. Sie wollen das Rauschen durchdringen und verstehen, wie die nächsten Schritte aussehen.
Nachfolgend finden Sie fünf Schritte, die sicherstellen, dass Sie mit Zero Trust auf dem richtigen Weg sind und einen Mehrwert für Ihr Unternehmen schaffen.
Schritt 1: Verstehen, was Zero Trust wirklich bedeutet
Ein Teil der Verwirrung, die mit dem Begriff Zero Trust verbunden ist, rührt von der Verwendung des Wortes „Vertrauen“ her. Wie Kindervag, derzeit Senior Vice President für Cybersicherheitsstrategie beim Anbieter von Managed Security Services ON2IT, es ausdrückt, ist Zero Trust einfach die Idee, dass Vertrauen das ist, was wir beseitigen müssen. Vertrauen ist ein menschliches Gefühl, das ohne jeden Grund in digitale Systeme eingebracht wurde. Zero Trust ist eine strategische Initiative, die dazu beiträgt, erfolgreiche Datenschutzverletzungen zu verhindern, indem sie das Vertrauen in Ihrem Unternehmen beseitigt. Sie beruht auf dem Grundsatz „Vertrauen ist gut, Kontrolle ist besser“.
Ein Beispiel: Jeder im Unternehmen kennt John und jeder mag und vertraut John. Pakete gelangen von einem Gerät, das John zugewiesen ist, in das Netzwerk, aber woher wissen wir, dass es wirklich John ist und nicht ein Hacker? Das Zero-Trust-Modell besagt einfach, dass die Behauptung, dass es sich um John handelt, überprüft und verifiziert werden muss. Unternehmen müssen Richtlinien erstellen, die die Identität von John bestätigen, kontrollieren, welche Ressourcen John bewerten kann, verhindern, dass John Aktionen durchführt, die gegen die Richtlinien verstoßen, und alle Aktivitäten von John überwachen und protokollieren.
In der Praxis bedeutet dies nicht nur, dass man von Passwörtern zur Multi-Faktor-Authentifizierung übergeht, sondern auch, dass man sich Gedanken darüber macht, wie man das Gerät selbst, seinen Standort und sein Verhalten verifizieren kann – wie die nächsten Punkte bestätigen.
Schritt 2: Identifizieren Sie, was Sie schützen wollen
Der Zweck von Zero Trust besteht darin, das Unternehmen vor den finanziellen, regulatorischen und rufschädigenden Folgen von Datenschutzverletzungen zu schützen.
Dabei kann es sich um Kundendaten, Mitarbeiterdaten, Finanzdaten, geistiges Eigentum, Geschäftsprozessdaten, von IoT-Geräten generierte Daten, Anwendungsdaten oder einen Dienst wie DNS oder Active Directory handeln. „Konzentrieren Sie sich auf die Geschäftsergebnisse“, sagt Kindervag. „Wenn Sie Ihre geschäftlichen Anforderungen nicht kennen, werden Sie scheitern.“
Sobald Sie wissen, welche Daten geschützt werden müssen und wo sie sich befinden, kommen die Zero-Trust-Prinzipien zum Tragen. Das bedeutet, dass Richtlinien aufgestellt werden müssen, die den Zugriff nur bei Bedarf erlauben, und dass der gesamte Datenverkehr zu und von geschützten Daten überprüft wird.
Sicherheitsrichtlinien, die vor der Exfiltration sensibler Daten schützen, sind von entscheidender Bedeutung, da sie Hacker daran hindern, eine Befehls- und Kontrollfunktion einzurichten, was viele Arten von Angriffen, einschließlich Ransomware-Exploits, effektiv blockiert.
Kris Burkhardt, CISO bei Accenture, sagt, dass sein Unternehmen seit 20 Jahren auf dem Weg zu Zero Trust ist. Dies geht auf die Entscheidung des Unternehmens zurück, viele seiner Anwendungen in die Cloud zu verlagern, damit die sehr mobilen Mitarbeiter leichter darauf zugreifen können. Anstatt VPNs einzusetzen, die damals teuer waren, erlaubte Accenture seinen Mitarbeitern, sich über einen einfachen Browser mit dem öffentlichen Internet zu verbinden, setzte aber Endpunktschutz, Multifaktor-Authentifizierung, Identitäts- und Zugriffskontrollen sowie Mikrosegmentierung ein.
Das Unternehmen behandelt kritische Informationssysteme mit besonderer Sorgfalt, einschließlich zusätzlicher Überwachung, privilegierter Zugriffsverwaltung und der Anforderung, dass bestimmte Aktionen nur von zwei Personen durchgeführt werden dürfen, sagt Burkhardt.
Schritt 3: Entwerfen Sie das Netzwerk von innen nach außen
Das Perimeter-Sicherheitsmodell basiert auf der Vorstellung, dass es einen Innenbereich (Unternehmenszentrale) gibt, in dem jeder vertrauenswürdig ist, und einen nicht vertrauenswürdigen Außenbereich, der durch Firewalls und andere Sicherheitstools geschützt wird. Das Zero-Trust-Modell hebt die Unterscheidung zwischen innen und außen auf und ersetzt sie durch Netzwerksegmente, die für bestimmte Zwecke geschaffen werden. Kindervag schlägt vor, dass Unternehmen beispielsweise mit einem einzigen Datenstrom, wie Kreditkartendaten, beginnen sollten.
Burkhardt zufolge ist die Mikrosegmentierung ein Bereich, in dem man sich selbst in Schwierigkeiten bringen kann, wenn man die Dinge zu sehr verkompliziert“, aber er weist darauf hin, dass sich die Werkzeuge schnell weiterentwickeln, um es einfacher zu machen“. Wichtig ist, dass man eine klare Strategie für die Mikrosegmentierung hat und diese korrekt ausführt, sowohl vor Ort als auch in der Cloud.
Zu den klassischen Segmentierungsansätzen gehören seiner Meinung nach die Erstellung eines Mikrosegments für die Notfallwiederherstellung, die Trennung des Rechenzentrums von den Büroanwendungen und die Erstellung eines Segments für die DMZ, in der die Verbindungen zum Internet verwaltet werden.
Schritt 4: Den gesamten Datenverkehr protokollieren
Laut Kindervag ist die Inspektion und Protokollierung des gesamten Datenverkehrs ein wichtiges Element in einer Zero-Trust-Architektur. Die Echtzeitanalyse von Verkehrsprotokollen kann helfen, Cyberangriffe zu erkennen. Kindervag fügt hinzu, dass die gesammelten umfangreichen Telemetriedaten dazu beitragen können, eine Feedbackschleife zu schaffen, die das Netzwerk im Laufe der Zeit stärkt.
Burkhardt erklärt, dass Accenture seine Datenverkehrsprotokolle für eine Vielzahl von Analysen an Splunk sendet, darunter Abfragen zur Bedrohungssuche, zur Identifizierung vordefinierter Bedingungen, die auf einen Angriff oder eine versehentlich falsche Aktion hindeuten, und zur Erkennung, wenn ein Angreifer in der Umgebung anwesend ist. Die Analyse von Endpunktprotokollen kann alle Aktionen des Angreifers nachverfolgen und „Ihnen helfen, forensisch zu verstehen, was passiert ist“.
Schritt 5: Engagieren Sie sich auf lange Sicht, aber machen Sie die ersten Schritte
Zero Trust ist „eine kontinuierliche Reise“, sagt Burkhardt. Wählen Sie ein kleines System als Testfall und stellen Sie sicher, dass Sie alle Kontrollen, Protokollierungen und Überwachungen eingerichtet haben. „Es gibt keinen Grund, alles überstürzen zu wollen. Machen Sie es richtig klein. Dann machen Sie es richtig groß.“
Kindervag fügt hinzu: „Konzentrieren Sie sich darauf, die Schlüssel zum Königreich, die Kronjuwelen, zu schützen. Tun Sie es schrittweise und nicht destruktiv.“
Obwohl Accenture schon nach den Prinzipien von Zero Trust arbeitet, bevor der Begriff überhaupt erfunden wurde, gibt es immer mehr zu tun. Burkhardt sagt, dass ein Schwerpunkt dieser Tage die Cloud ist. Da die Anwendungsentwicklung in der Cloud stattfindet, Anwendungen in die Cloud verlagert werden und mehr Daten als je zuvor in der Cloud gespeichert werden, hält Burkhardt sich über neue Angebote von Cloud-Anbietern auf dem Laufenden“, die auf die Anwendung von Zero-Trust-Prinzipien abzielen.
Seine Empfehlung an andere CISOs lautet, zu verstehen, dass sich die Sicherheitslandschaft in den letzten Jahren verändert hat. Man denke nur an Angriffe von staatlicher Seite, SolarWinds und Ransomware. Der Status quo reicht nicht mehr aus.
„Die Teams wissen, dass sich die Welt verändert, und sie müssen sich mit ihr verändern. Es mag beängstigend sein, aber das Beste ist, den Wandel anzunehmen und zu verstehen, dass das Perimeter-Modell viele Jahre lang seinen Wert hatte, aber Zero Trust ist viel flexibler und der einzige Weg, um in der Public Cloud erfolgreich zu sein.“
*Neal Weinberg ist freiberuflicher Journalist und Redakteur im Bereich Technologie.
Be the first to comment