Herkömmliche perimeterbasierte Sicherheitskontrollen wie beispielsweise VPNs gehen davon aus, dass jeder, der sich innerhalb der Perimeter des Unternehmensnetzwerks befindet, vertrauenswürdig ist. Folglich gewähren sie Benutzern nach deren Authentifizierung uneingeschränkt Zugriff zu allen Ressourcen innerhalb des Netzwerks. [...]
Ein Ansatz, der jedoch für moderne, dezentral arbeitende Unternehmen und angesichts komplexer Sicherheitsbedrohungen nicht mehr effektiv ist. Der Zero Trust Network Access (ZTNA) überprüft Zugriffsanfragen und validiert diese, bevor der Zugriff gewährt wird.
Das passiert nach dem Prinzip der minimalen Rechtevergabe: Benutzer können nur auf die Ressourcen zugreifen, die sie brauchen, um ihre Aufgaben zu erfüllen. Bei diesem Ansatz wird der Bereich der vertraulichen Perimeter auf ein einziges Objekt reduziert, unabhängig von seinem Standort.
Die Zugriffsentscheidungen basieren auf dem individuellen Fall. Die Überprüfung erfolgt bei jedem Zugriffsversuch, und selbst legitime Benutzer können nur auf die Ressourcen zugreifen, für die sie dann eine Zugriffsberechtigung haben.
Dieser konzeptionelle Wechsel von „Vertrauen, aber überprüfen“ zu „Niemals vertrauen, immer überprüfen“ ist ein entscheidender Schritt in Richtung einer effektiven Zugriffskontrolle in dynamischen und dezentralen Unternehmensumgebungen. Aber reicht der Zero Trust Network Access-Ansatz allein aus, um ein Unternehmensnetz zu schützen?
Zero Trust Network Access (ZTNA) konzentriert sich vollständig darauf, einen granularen Ansatz für den Zugriff zum Netz bereitzustellen. Dazu werden bei jeder Zugriffsanfrage eine Authentifizierung und Autorisierung vorausgesetzt.
Ein probates Mittel, um übermäßig vergebene Zugriffsberechtigungen auf die IT-Ressourcen in den Griff zu bekommen. Und zwar unabhängig davon, ob der Benutzer von innerhalb oder außerhalb des Unternehmensnetzwerks darauf zugreift.
Allerdings liegt dem ZTNA-basierten Sicherheitsrahmen eine Annahme zugrunde. Nämlich die, dass Sicherheitsverstöße lediglich von nicht autorisierten Benutzern ausgehen. Der ZTNA-Ansatz stößt folglich an seine Grenzen, wenn die Bedrohungen von autorisierten Benutzern ausgehen. Dazu zählen beispielweise Insider-Bedrohungen, gefährdete Endgeräte und sehr gezielte Social Media- und Phishing-Angriffe.
Insider-Bedrohungen sind zu einem wachsenden Sicherheitsproblem geworden. Schließlich gehen sie von Personen aus, die bereits legitimen Zugang zu sensiblen Informationen oder Systemen haben. Jüngste Untersuchungen haben gezeigt, dass bis zu 74 % aller Unternehmen sich vermehrt mit Insider-Bedrohungen auseinandersetzen müssen.
Sie treten auf, wenn Mitarbeitende absichtlich oder versehentlich sensible Daten preisgeben, für die sie eine Zugangsberechtigung haben. In einigen Fällen handelt es sich dabei tatsächlich um böswillige Akteure, die dem Unternehmen bewusst schaden wollen.
Andere Fälle gehen zumeist auf menschliches Versagen oder Nachlässigkeit zurück. In jedem Fall aber können autorisierte Konten missbraucht werden, um auf sensible Ressourcen zuzugreifen, ohne die ZTNA-Zugriffskontrollen auszulösen. Zero Trust Network Access (ZTNA) wehrt externe Bedrohungen erfolgreich ab. Ein nicht unerheblicher Teil der Bedrohungen durch Insider bleibt unberücksichtigt.
Aber auch verifizierte Endgeräte bergen ein Gefahrenpotenzial. Für die ZTNA-Konfiguration wird häufig eine Multifaktor-Authentifizierung genutzt, bei der die Authentifizierung über eine Kombination aus Anmeldeinformationen des Benutzers und bekannten Geräten erfolgt.
Wenn allerdings ein verifiziertes Endgerät mit Malware infiziert oder auf andere Weise kompromittiert wurde, birgt das ein hohes Risiko. Dann nämlich kann ein Angreifer versuchen, die gespeicherten Anmeldeinformationen des Benutzers und die Zugriffsberechtigungen des Geräts auszunutzen, um auf sensible Unternehmensressourcen zuzugreifen.
Sobald ein Angreifer im Netzwerk Fuß gefasst hat, kann sich die Malware sogar von einem autorisierten Gerät auf andere ausbreiten und so versuchen, Ressourcen zu kompromittieren, auf die auch andere zugreifen.
Und dann ist da noch der Fall sehr gezielter Angriffe über soziale Medien und mittels Phishing. Böswillige Angreifer nutzen dabei fortschrittliche Spear-Phishing-Taktiken, um an die Anmeldedaten von legitimen Benutzern zu gelangen.
Bei diesen Angriffen verleiten zielgerichtete und personalisierte Nachrichten einen Benutzer dazu, bösartige Links anzuklicken, eine mit Malware verseuchte Datei herunterzuladen oder auf andere Weise die eigene Sicherheit zu gefährden.
Leider können diese Angriffe trotz Zero Trust Network Access (ZTNA) ausgesprochen effektiv sein. So kann ein Angreifer beispielsweise mithilfe von Spear-Phishing-Taktiken die Anmeldedaten von hochrangigen Führungskräften mit Zugriff zu wichtigen Informationen stehlen.
Mit solchen Daten kann der Angreifer die ZTNA-Kontrollen umgehen und sich auf diese Weise Zugriff zu sensiblen Daten oder Systemen verschaffen.
Die Richtlinien für die ZTNA-Zugriffskontrolle können Fälle wie Insider-Bedrohungen, infizierte Geräte und Phishing-Angriffe nicht verhindern. An dieser Stelle sollte man den ZTNA-Ansatz im Sinne einer umfassenderen Sicherheit um zusätzliche Kontrollen ergänzen.
Neben Zero Trust Network Access (ZTNA) sollten Unternehmen solche Sicherheitskontrollen einführen, die weitere Funktionen und Technologien abdecken. Dazu gehören Next-Generation Firewalls (NGFWs), Intrusion-Prevention-Systeme (IPS), Secure Web Gateway (SWG) und Cloud Access Security Broker (CASB).
Also Funktionen, wie sie in SASE (Secure Access Service Edge) -Plattformen der nächsten Generation zusammengeführt sind. Darüber hinaus sollte ZTNA auch Funktionen zur Überwachung des Gerätezustands sowie fortschrittliche Verhaltensanalysen nutzen.
Diese gewährleisten, dass der Zugriff nur aufgrund von zusätzlichen Kontextinformationen gewährt wird. Dazu zählen neben dem Benutzer und seinem Gerät etwa der Standort des Geräts, das Betriebssystem und typische Anmeldezeiten eines Benutzers.
Man kann diese Funktionen als eigenständige, perimeterbasierte Lösungen bereitstellen. Das führt aber zu einer erheblichen Backhaul-Latenz für den Remote- und Cloud-gebundenen Datenverkehr.
Mit einer konvergierten, cloudbasierten Alternative wie SASE kann man Kompromisslösungen bei Sicherheit und Latenz verabschieden. Und SASE erlaubt es Unternehmen, einen Defense-in-Depth-Ansatz zu implementieren, der Sicherheitskontrollen auf mehreren Ebenen umfasst.
Fazit
Ein cloudbasierter Sicherheits-Stack, der Zero Trust Network Access (ZTNA) ergänzt, gewährleistet eine echte Zero-Trust-Sicherheitsstrategie. Darüber hinaus können Firmen durch bewährte Sicherheitsverfahren, wie regelmäßige Sicherheitsaudits, Schwachstellen-Assessments und Schulungsprogramme für Mitarbeiter, Risiken erkennen und senken – und das lange bevor Angreifer sie ausnutzen.
In Kombination mit anderen Sicherheitslösungen bildet ZTNA eine robuste und effektive Verteidigungslinie gegen eine sich stetig weiterentwickelnde Bedrohungslandschaft.
*Etay Maor ist Senior Director Security Strategy bei Cato Networks.
Be the first to comment