Die meisten Unternehmen sind sich darüber im Klaren, dass sie von der Perimeter-basierten Sicherheit zu einem Zero-Trust-Modell übergehen müssen. Sie wissen auch, dass sie Zero Trust nicht als Standardprodukt kaufen können. Hier sind acht Fragen, die Sie potenziellen Anbietern stellen sollten. [...]
Die zunehmende Bereitstellung von Kerngeschäftsanwendungen in der Cloud und die durch die Pandemie ausgelöste Verlagerung der Arbeit an unterschiedliche Standorte haben jede Vorstellung vom traditionellen “ Burggraben“ der Unternehmenssicherheit zunichte gemacht.
Der heutige hybride Arbeitsplatz, an dem Mitarbeiter unterwegs sind, von zu Hause aus arbeiten und vielleicht ein- oder zweimal pro Woche ins Büro kommen, zwingt Netzwerk- und Sicherheitsteams dazu, einen flexibleren Ansatz für die Verwaltung des Netzwerks, der Identitäten und der Authentifizierung zu wählen.
Zero Trust Network Access (ZTNA) hat sich als der bevorzugte Ansatz zur Bewältigung der heutigen Sicherheitsherausforderungen herauskristallisiert. Das Konzept ist relativ einfach: Anstatt eine mehrschichtige Perimeterverteidigung aus Firewalls, IDS/IPS und Antivirensoftware aufzubauen, geht Zero Trust davon aus, dass jeder Benutzer oder jedes Gerät nicht vertrauenswürdig ist, bis es ausreichend verifiziert ist.
Die Implementierung kann jedoch komplex sein. Den meisten Unternehmen ist klar, dass IT-Führungskräfte Zero Trust trotz des großen Wirbels, der von allen Seiten um Zero Trust gemacht wird, nicht einfach von der Stange kaufen und über den Sommer einführen können.
Zero Trust ist kein Produkt, sondern ein Framework, eine Architektur, eine Philosophie, die viele Formen annehmen kann und deren erfolgreiche Implementierung viel Zeit und Mühe erfordert. Im Folgenden finden Sie eine Liste von Fragen, die Sie Anbietern stellen sollten, um herauszufinden, wie sie Ihr Unternehmen bei der Umsetzung der Zero-Trust-Prinzipien unterstützen können.
1. Wie kann ich meine bestehende Sicherheits- und Netzwerkinfrastruktur im Rahmen einer Umstellung auf ZTNA nutzen?
Unternehmen haben im Laufe der Jahre erhebliche Summen in Sicherheits- und Netzwerkhardware und -software investiert. Eine zentrale Herausforderung besteht darin, den Übergang zu ZTNA zu schaffen und dabei die vorhandene Technologie so weit wie möglich zu nutzen.
Die meisten Unternehmen verfügen bereits über Teile des ZTNA-Puzzles, sei es Identitätsmanagement, Zugriffskontrolle, Zwei-Faktor-Authentifizierung, Netzwerksegmentierung oder Richtlinienmanagement. Aber nur wenige haben alle Aspekte von Zero Trust in einer umfassenden, integrierten, skalierbaren und richtliniengesteuerten Weise gemeistert.
„Unternehmen müssen nach einem Anbieter suchen, der ihnen helfen kann, die Elemente zu identifizieren, die am einfachsten zu schützen sind, ohne die bestehende Infrastruktur des Unternehmens zu verändern“, sagt Tim Silverline, Vice President of Security bei Gluware, einem Anbieter von Netzwerkautomatisierung.
2. Welche Geschäftsziele möchte das Unternehmen mit Zero Trust erreichen und wie kann der Anbieter dazu beitragen, dass dies gelingt?
Suchen Sie nach Anbietern, die Diskussionen über Zero Trust nicht mit einem Gespräch über Technologie beginnen, sondern Sie zunächst bitten, die geschäftlichen Herausforderungen und die angestrebten Vorteile zu definieren.
David Berliner, Director of Security Strategy bei SimSpace, einem Unternehmen für Cyber-Risikomanagement, sagt, dass die Ziele unter anderem einen sicheren Fernzugriff für Mitarbeiter am Arbeitsplatz, den Schutz sensibler Daten vor Ort und in der Cloud oder die Verbesserung der API-Sicherheit für Softwareentwickler umfassen können.
Unternehmen müssen herausfinden, wie der Anbieter seine Lösung an die geschäftlichen Anforderungen ihres Unternehmens anpassen kann.
3. Wie sieht der Plan für die Verwaltung von Identitäten und deren Anwendung auf Sicherheitskontrollen im gesamten Unternehmensnetz aus?
ZTNA-Anbieter sollten mit ihren Kunden auf Augenhöhe sein und anerkennen, dass die Anwendung von Identitätskontrollen in einem Unternehmensnetzwerk leichter gesagt als getan ist, sagt Silverline. Viele Unternehmen vernachlässigen zum Beispiel die Anwendung eines granularen Identitätsmanagements in Szenarien wie dem Zugriff von Mitarbeitern auf Webanwendungen.
Es gibt derzeit zu viele Lücken und zu viele Einzellösungen (wie z. B. Web Application Firewalls), die versuchen, diese Lücken zu schließen, aber nicht gut genug integriert sind, um eine einheitliche Lösung für alle Identitätsanwendungsfälle zu sein“, sagt er.
Auf der positiven Seite sagt Silverline, dass ausgereiftere Sicherheitsorganisationen SOAR-Tools (Security Orchestration, Automation and Response) oder XDR (Extended Detection and Response) einsetzen, um die Komplexität der Integration so weit wie möglich zu reduzieren.
4. Wie kann uns der Anbieter dabei helfen, Prioritäten zu setzen, damit wir mit Zero Trust einen ersten Erfolg erzielen und das Vertrauen der Mitarbeiter und des Top-Managements gewinnen können?
Den Jones, Chief Security Officer bei Banyan Security (nicht zu verwechseln mit dem inzwischen aufgelösten Unternehmen Banyan Systems), rät Unternehmen, nach Anbietern Ausschau zu halten, die der Benutzerfreundlichkeit Priorität einräumen. Unternehmen müssen Zero Trust so reibungslos wie möglich gestalten, da die Mitarbeiter sonst einen Weg finden werden, die neuen Sicherheitskontrollen zu umgehen.
Ein Ansatz besteht darin, die Authentifizierung auf der Grundlage digitaler Zertifikate einzuführen und die lästigen Benutzernamen und Passwörter abzuschaffen. Wenn Benutzer über die Cloud oder andere Internetanwendungen auf ihre Produktivitätsanwendungen zugreifen und dies auf eine Art und Weise tun, die passwortfrei ist und durch eine Zwei-Faktor-Authentifizierung unterstützt wird, werden sie andere Schritte im Zero-Trust-Prozess, die sich auf ihr Leben auswirken können, eher akzeptieren.
Darüber hinaus weist Jones darauf hin, dass die obere Führungsebene diesen frühen Erfolg zur Kenntnis nehmen wird und eher bereit ist, komplexere Zero Trust-Projekte zu finanzieren, wie z. B. die Automatisierung der kontinuierlichen Überwachung der Benutzeraktivitäten im Netzwerk.
Jones empfiehlt, dass IT-Führungskräfte, die dem Top-Management Zero Trust erklären, es am besten einfach halten sollten. Er fasst es auf drei einfache Punkte zusammen: Die Leute wollen hören, dass Zero Trust weniger kostet, einfacher für die Benutzer ist und die allgemeine Sicherheit verbessert.
5. Wie hilft uns der Anbieter bei der Festlegung von Prioritäten für die zu schützenden Daten und bei der kontinuierlichen Verwaltung der Daten im gesamten Unternehmen im Sinne von Zero Trust?
Dan Weiss, Senior Vice President für Anwendungs- und Netzwerksicherheitsdienste bei der Pen-Testing-Firma GRIMM, sagt, dass die Branche von der „Definition des Netzwerks“ in der alten, perimeterzentrierten Welt zur „Definition der Daten“ übergegangen ist, da Unternehmen heute Remote- und Hybrid-Netzwerke betreiben.
Weiss sagt, dass Unternehmen zunächst eine Bestandsaufnahme durchführen müssen, um herauszufinden, welche Daten das Unternehmen im Netzwerk hat, wo sie gespeichert sind und wie sie verfolgt werden. Anschließend sollten sie ermitteln, welche Datenbestände besonders sensibel sind, Richtlinien zur Datenklassifizierung aufstellen und die Verwaltung und Verfolgung der Bestände automatisieren.
6. Wie können wir granulare Zugangskontrollen für jeden Endnutzer einrichten?
Um ZTNA zu implementieren, müssen die Unternehmen ihre Endnutzer verstehen. Wer sollte sich anmelden und was sollte jeder Benutzer tun dürfen? Eine Person aus der Debitorenbuchhaltung sollte beispielsweise nur einmal im Monat Zugang zu bestimmten Ordnern haben, wenn die Rechnungen bezahlt werden.
„Der Sinn von Zero Trust besteht darin, dass Unternehmen erst dann Vertrauen fassen, wenn der Benutzer ausreichend verifiziert ist“, sagt Weiss. „Sie müssen sicher sein, dass es sich um die Person handelt, von der sie glauben, dass sie es ist, und dass sie das tut, was sie tun soll. Die Einrichtung und Durchsetzung der Zugriffskontrolle während der gesamten Benutzersitzung ist der Punkt, an dem viele Unternehmen scheitern, fügt er hinzu.
7. Wie hilft uns der Anbieter bei der Einrichtung von Mikrosegmenten, um die Angriffsfläche zu verkleinern und Lücken im Netzwerk zu reduzieren?
Netzwerksegmentierung gibt es schon lange, aber Zero Trust geht noch einen Schritt weiter und bietet einen extrem granularen Ansatz, der als Mikrosegmentierung (weiterführender Artikel in Englisch) bezeichnet wird.
In einem Zero Trust-Netzwerk können Unternehmen ein Segment um einen einzelnen Endpunkt oder einen einzelnen Server mit sehr eingeschränktem Zugriff erstellen. So könnte beispielsweise die Personalabteilung traditionell in einem eigenen Netzwerksegment untergebracht sein, während der Leiter der Personalabteilung über ein eigenes Segment mit genau definierten Firewall-Regeln verfügen könnte, die festlegen, was er tun darf und was nicht.
Im Rahmen eines Mikrosegmentierungsansatzes könnte ein Mitarbeiter der Gehaltsabrechnung zwar auf die Gehaltsabrechnungs-App zugreifen dürfen, nicht aber auf die Gehaltsdaten. „Es ist sehr viel anspruchsvoller, was die Netzwerkkonfiguration und die Netzwerkkontrolle angeht“, sagt Weiss.
8. Wie sieht die Benachrichtigungspolitik des Anbieters aus und gibt es einen Backup-Plan, falls unsere Hauptplattform für das Identitätsmanagement ausfällt?
Vor 10 Jahren hätten Führungskräfte in Unternehmen diese Frage vielleicht noch nicht an Anbieter gestellt, aber nach dem jüngsten Einbruch in die Okta-Datenbank, bei dem ein großer Identitätsanbieter infiltriert wurde, müssen Unternehmen nun wirklich nachhaken und den Anbieter fragen, was im Falle eines Einbruchs passieren wird.
Unternehmenskunden müssen nicht nur an den Ausfall eines Punktes denken, sondern auch an die weiterreichenden Folgen. Unternehmen müssen sich die folgenden Fragen stellen: Welche Systeme und Benutzer waren gefährdet? Welche Daten waren zugänglich? Gab es eine seitliche Bewegung von einem Angreifer, der unsere Verteidigungsschichten umgangen haben könnte? Wie sieht meine Abhilfestrategie aus?
„In einigen Fällen ist es ein Rip-and-Replace, je nach Schweregrad“, so Berliner. „In anderen Fällen kann es sich um einen begrenzten Einbruch handeln, bei dem ein einzelnes Terminal oder ein Mitarbeiter offline genommen wird, indem weitere Zugriffsberechtigungen entzogen werden.“
Idealerweise verfügen Unternehmen über Teams, die den Umgang mit der Kompromittierung einer Identitätslösung – oder eines ähnlichen Systems in ihrer Zero-Trust-Architektur – ständig üben, damit sie wissen, wie sie zu reagieren haben.
Für Unternehmen ist es sehr wichtig, Teams zu haben, die für den Ernstfall gerüstet sind, egal ob es sich um eine Verletzung des Identitätssystems, einen Angriff eines Staates oder um gewöhnliche Verletzungen durch Benutzerfehler von Mitarbeitern handelt.
*Steve Zurier schreibt freiberuflich unter anderem für unsere US-Schwesterpublikation Network World.
Be the first to comment