Zero Trust Sicherheitsmodell: Was Sie wissen müssen

Von Mark Knowles

Erinnern Sie sich an die Zeit, als Sicherheit noch einfach war - zumindest dachten wir das. Sie schlossen Ihre wertvollen Daten tief in den Hochburgen des Unternehmens ein. Mit befestigten Hightech-Zäunen, die die Bösewichte aussperrten, konnten die Sicherheitsteams beruhigt sein. Die Bedrohungen kamen von außen, während jeder und alles innerhalb der Festung unangefochtenes Vertrauen genoss.

Diese Zeiten sind nur noch eine ferne Erinnerung. Mit dem Aufkommen von mobilen Geschäftsumgebungen, Cloud-Diensten, IoT und Richtlinien für "Bring your own device" hat sich die Art der Sicherheit dramatisch verändert. Perimeter sind ausgestorben, und unsere Daten sind überall. Gelegenheiten zum Ausnutzen gibt es im Überfluss, und Angreifer nutzen sie voll aus.

Es ist an der Zeit, ein anderes Sicherheitsmodell zu entwickeln. In der heutigen offenen Landschaft, in der Bedrohungen aus allen Richtungen kommen, ist Vertrauen gleichbedeutend mit Anfälligkeit. Wir müssen der modernen Umgebung das Vertrauen entziehen und jeden und alles unabhängig vom Standort überprüfen. Willkommen im Zeitalter von Zero Trust.

In diesem Artikel erfahren Sie alles, was Sie über das Zero-Trust-Sicherheitsmodell wissen müssen. Wir besprechen die Geschichte, die Werte und Grundsätze, die Technologie und die Strategie und warum Zero Trust gerade jetzt so wichtig ist. Tipp: Denken Sie an COVID-19. Vor allem aber geben wir Ihnen hilfreiche Tipps für die Umsetzung von Zero Trust in Ihrer eigenen Umgebung. Fangen wir also an, ja?

Zero-Trust-Sicherheitsmodell

Zero Trust Sicherheit: Was ist das?

Zero Trust ist eine Cybersicherheitsstrategie, die darauf basiert, jegliches Vertrauen innerhalb einer Umgebung zu beseitigen, unabhängig vom Standort. Jeder und alles wird bis zum Beweis des Gegenteils als Bedrohung angesehen. Alle Benutzer und Geräte müssen authentifiziert und autorisiert werden, bevor ihnen der Zugriff auf wertvolle Ressourcen gestattet wird.

Traditionelle Burg- und Grabenmodelle leben nach dem Credo "Vertrauen, aber überprüfen". Sie gehen von einem faktischen Vertrauen aller in einem Netz aus. Dieses Modell ist heute unwirksam, weil es keine traditionellen Grenzen mehr gibt. Denken Sie daran, dass alles mobil ist, die Daten nicht begrenzt sind und die Zahl der Angriffsflächen enorm ist. Außerdem kann ein Angreifer, wenn er einmal eingedrungen ist, die Tür für seine Freunde öffnen und sich seitlich bewegen, um auf anfällige Ressourcen zuzugreifen.

Zero Trust stellt die Prämisse der Burg und des Burggrabens in Frage, die jegliches Vertrauen in Ihrer Umgebung zulassen. Zero Trust basiert auf dem Mantra "never trust, always verify" und geht davon aus, dass alle Netzwerkaktivitäten bis zum Beweis des Gegenteils bösartig sind. Diese Einstellung, die bis zum Beweis des Gegenteils gilt, mag hart erscheinen, ist aber in der modernen Bedrohungslandschaft unumgänglich geworden.

Die Geschichte von Zero Trust Security

Wie Sie wahrscheinlich wissen, ist das Konzept Zero Trust nicht neu. Es tauchte im Jahr 2010 auf, als ein Forrester-Analyst namens John Kindervag neue Kampflinien in der Cybersicherheit einführte. Er erkannte, dass sich Daten nicht mehr hinter geschützten Mauern befinden und nur in einer vertrauensfreien Umgebung sicher aufbewahrt werden können. Die Einführung und Umsetzung der Zero-Trust-Methoden durch Google weckte ein breiteres Interesse. Im April 2020 veröffentlichte Google schließlich sein Beyond Corp Remote Access-Produkt, das auf dem Zero Trust-Ansatz basiert, den es seit fast einem Jahrzehnt umsetzt.

Das Zero-Trust-Modell gewinnt heute aufgrund der zunehmenden Zahl von Sicherheitsbedrohungen an Bedeutung. Die Unternehmen sind sich dieses Trends bewusst und erkennen, wie schwerwiegend die Auswirkungen auf ihr Geschäft sind. Wenn Ihr Unternehmen personenbezogene Daten speichert, sind Ihre Kunden besorgt über die Sicherheit Ihrer Infrastruktur und Ihre Fähigkeit, ihre sensiblen Daten angemessen zu schützen. Die jüngste COVID-19-Pandemie hat Zero Trust noch mehr an Bedeutung gewonnen, da viele Mitarbeiter von unterwegs aus mit ungesicherten Geräten und Netzwerken arbeiten.

Werte und Grundsätze des Zero-Trust-Sicherheitsmodells

Zero-Trust-Netzwerksicherheitsmodelle erkennen, dass Angreifer von innerhalb oder außerhalb Ihres Netzwerks kommen können. Hier eine augenöffnende Statistik: 34{1f0cc4060f4fe9fc982bbd4bbe2778698630254e28c6e7cd32c637f8f4aaee17}der Datenschutzverletzungen gehen laut dem Verizon Data Report 2019 aufinterne Akteure zurück. Bei Zero Trust sind Datenschutzverletzungen eine Selbstverständlichkeit - man muss davon ausgehen, dass die Gefahr bereits im Inneren liegt. Daher wird alles und jeder als potenzielle Bedrohung angesehen. Dies führt natürlich zu extrem strengen Kontrollen des gesamten Benutzer- und Gerätezugriffs in einer Zero Trust-Umgebung.

Zero Trust ist auch datenzentriert - alle Unternehmen müssen ihre Daten identifizieren und deren Fluss genauestens abbilden. Denken Sie daran, dass ohne definierte Grenzen die Sicherheit nun Ihren Daten folgen muss.

Der Zugang innerhalb eines Zero-Trust-Netzes kann entweder auf der Grundlage der geringsten Rechte oder der geringsten Funktionalität erfolgen. Least-Privilege gewährt den Zugang je nach Bedarf, basierend auf der Rolle einer Person. Benötigt der Benutzer den Zugriff, um seine Arbeit zu erledigen? Wenn ja, wird die Identität des Benutzers in Echtzeit durch eine Multi-Faktor-Authentifizierung überprüft. Least-Privilege erkennt an, dass Mitarbeiter versehentlich nachlässig sein oder in unsicheren Umgebungen arbeiten können, z. B. zu Hause während einer Pandemie. Das Least-Privilege-Konzept unterscheidet sich von den anderen, da es den Zugriff auf der Grundlage des Systems überwacht, auf das die Person zugreifen muss, und nicht auf der Grundlage ihrer Rolle.

Warum Zero Trust Sicherheitssysteme wichtig sind

Zero-Trust-Sicherheit ist heute wichtig, weil sich die Art und Weise, wie die Welt Geschäfte macht, so dramatisch verändert hat. Im Zuge der weltweiten Digitalisierung von Unternehmen sind Mitarbeiter und Daten nicht mehr hinter Unternehmensfestungen gefangen. Diese Mobilität bringt die enorme Herausforderung mit sich, eine schnell wachsende Zahl von Angriffsflächen zu sichern. Angreifer, die mit Automatisierung und den neuesten Technologien ausgestattet sind, nehmen die Art und Häufigkeit von Sicherheitsbedrohungen immer weiter zu. Kurz gesagt, die Cybersicherheit ist zu einem virtuellen Straßenkampf geworden, bei dem sich niemand mehr den Luxus des Vertrauens leisten kann. Die Zahlen sind in der Tat entmutigend. Seit 2005 ist die Zahl der Sicherheitsverletzungen in den Vereinigten Staaten stetig gestiegen. 2019 wurden 1.473 Sicherheitsverletzungen registriert, bei denen über 164,68 Millionen sensible Daten offengelegt wurden.

Zweitens haben die Aufsichtsbehörden die Messlatte für die Sicherheit höher gelegt, indem sie einem Unternehmen enorme Sorgfaltspflichten für die Kundendaten auferlegen, über die es verfügt. Strenge Vorschriften wie die General Data Protection Regulation (GDPR), der California Consumer Privacy Act (CCPA) und der New York Shield Act machen Unternehmen für Dritte verantwortlich, die im Namen des Unternehmens mit diesen Daten arbeiten. Auch die Nichteinhaltung dieser Vorschriften ist keine Option, da hohe Geldstrafen verhängt werden können, wenn die persönlichen Daten eines Nutzers aufgrund von Systemschwachstellen gefährdet sind.

Und schließlich ist mangelnde Sicherheit ein erhebliches Hindernis für den Zugang zu Kunden und Märkten. Die Kunden wollen mit Unternehmen Geschäfte machen, die ihre Daten sicher aufbewahren. Und kann man es ihnen wirklich verdenken? Niemand möchte hören, dass seine Kreditkartendaten möglicherweise in den Tiefen des Dark Web kursieren. Die Kunden wollen sehen, dass Sie Ihre Sicherheitsrisiken unter Kontrolle haben, so dass sie Ihnen ihre persönlichen Daten getrost anvertrauen können.

Technologien und Strategien hinter Zero Trust Security

Was sind die grundlegenden Prinzipien, die den Erfolg von Zero Trust ausmachen? Nehmen wir uns einen Moment Zeit und erkunden einige davon.

Mikrosegmentierung

Bei diesem Schlüsselprinzip geht es darum, Netzwerke in separate Zonen aufzuteilen, um den Schaden im Falle eines Einbruchs einzugrenzen. Ähnlich wie Feuerwehrleute Teile eines Gebäudes abriegeln, um einen Brand unter Kontrolle zu bringen, reduziert die Mikrosegmentierung die unmittelbare Angriffsfläche und gibt Sicherheitsteams mehr Kontrolle über seitliche Bewegungen.

Multi-Faktor-Authentifizierung (MFA)

Diese Praxis wird als wesentlich für die Aufrechterhaltung einer "Zero Trust"-Umgebung angesehen, und viele sind der Meinung, dass selbst dies nicht streng genug ist, um böswillige Eindringlinge fernzuhalten. Benutzer erhalten Zugang zum Netzwerk, wenn sie sich mit zwei oder mehr Identifikationsmerkmalen ausweisen, die entweder auf ihren Kenntnissen (Passwort), ihrem Besitz (physischer Gegenstand wie Token oder Mobiltelefon) oder ihren angeborenen Eigenschaften (Fingerabdruck oder Netzhaut) beruhen.

Verwaltung des Identitätszugriffs (IAM)

Zero Trust-Modelle basieren auf dieser Praxis, die eine positive Benutzeridentifikation für den Zugriff auf die Ressourcen eines Netzwerks erfordert. IAM verwendet Funktionen wie MFA und Single Sign-On (SSO), um Benutzer zu verifizieren und die Zugriffsebene zu bestimmen, die ihnen gewährt wird.

Analytik

Die erfolgreiche Implementierung einer Zero-Trust-Sicherheitsposition erfordert Daten - und zwar jede Menge davon. Die Anwendung von Analysen auf Daten zum Benutzer- und Geräteverhalten erzeugt Risikobewertungen. Diese Scores können den Zugriff erlauben oder die Alarmsirene auslösen, die eine weitere Überprüfung verlangt.

Orchestrierung

Betrachten Sie die Orchestrierung als den notwendigen Dirigenten Ihres gesamten Sicherheitsökosystems. Ohne sie ist echtes Zero Trust nicht möglich. Orchestrierung richtet Ihre Prozesse für eine schnelle Reaktion aus, ersetzt langsame manuelle Funktionen durch Automatisierung, leitet Maßnahmen an die erforderlichen Durchsetzungspunkte weiter und konsolidiert Ihren gesamten Sicherheitsbetrieb.

Verschlüsselung

Diese Praxis, sensible Daten in Code umzuwandeln, um eine unbefugte Nutzung zu verhindern, ist in einer Zero-Trust-Umgebung von entscheidender Bedeutung. Da jeder Mensch eine potenzielle Bedrohung darstellt, ist es nur logisch, dass die gesamte interne Kommunikation und alle Passwörter verschlüsselt werden sollten, für den Fall, dass sie in die falschen Hände fallen. Denken Sie daran, dass die Bösewichte verschlüsselte Daten durch Schlüsselzugriff angreifen, und dass eine effiziente Schlüsselverwaltung für die Aufrechterhaltung Ihrer Zero-Trust-Stellung entscheidend ist.

Berechtigungen für das Dateisystem

Diese Zugriffsrechte steuern die Fähigkeit des Benutzers, den Inhalt eines geschützten Dateisystems anzuzeigen, zu navigieren, zu ändern oder auszuführen. Die Funktionen können je nach Berechtigungsstufe des Benutzers verfügbar gemacht oder verborgen werden.

Software für die Einhaltung von Vorschriften

Diese Art von Software unterstützt Risiko-, Compliance- und Sicherheitsbeauftragte bei der kontinuierlichen Prüfung der internen Sicherheit und der Aufrechterhaltung eines sicheren und gesetzeskonformen Informationssystems, was wesentlich einfacher ist als manuelle Arbeitsabläufe.

Die heutigen strengen Vorschriften und Kundenanforderungen erfordern eine kontinuierliche Überprüfung der Einhaltung von Vorschriften. Unternehmen müssen ständig nachweisen, dass sie ihre Daten schützen, Anbieterrisiken effektiv verwalten und die Vorschriften einhalten. Sicherheitsteams können mit dieser Aufgabe überfordert sein. Software, die Compliance-Workflows automatisiert (z. B. das Sammeln von Nachweisen für die Effektivität von Kontrollen, das Zuweisen von Abhilfemaßnahmen), erleichtert diese Aufgabe und ermöglicht es den Sicherheitsteams, sich auf die Abwehr von Hackern und die Sicherheit der Netzwerke zu konzentrieren.

Der Einstieg in die Zero Trust Security

Wenn Sie bereit sind, Zero Trust Security in Ihrem Unternehmen einzuführen, finden Sie hier die empfohlenen Schritte:

1. Bewerten Sie Ihr Risiko

Dies muss Ihr erster Schritt sein, und er beginnt mit einer Bestandsaufnahme Ihrer Vermögenswerte. Welche Daten sind am wertvollsten und müssen geschützt werden? Welches Maß an Schutz benötigen sie? Welche Systeme verarbeiten welche Daten? Wie fließen die Daten zwischen den verschiedenen Systemen?

2. Trennen Sie Ihr Netz

Dr. Kenneth Cooper, DCS und CISSP, fügt hinzu: "Um Zero Trust vollständig zu implementieren, muss als Erstes eine Netzwerksegregation vorgenommen werden. Alle organisatorischen Einheiten, Geräte und Netzwerkstandorte müssen innerhalb des eigentlichen Netzwerks getrennt werden, wobei alle Subnetze und Active Directory-Gruppen für alle Benutzer eingerichtet und vorhanden sein müssen." Erst wenn die Netzwerksegmentierung eingerichtet ist, können Sie sich Gedanken über Ihre Zugangsanforderungen machen.

3. Konfigurieren Sie den spezifischen Zugang

Jetzt ist es an der Zeit zu entscheiden, wen Sie hineinlassen und was er tun kann, wenn er einmal drin ist. Sie müssen für jeden Benutzer, jede Anwendung und jede Rolle einen spezifischen Zugang konfigurieren, der auf klar definierten Identitätsregeln basiert. In Zero Trust sind diese Regeln streng, wobei die Multi-Faktor-Authentifizierung immer im Vordergrund steht. Der Zugang zu einer Umgebung bedeutet niemals automatischen Zugang zu anderen.

Hier gehen viele Versuche, Zero Trust zu erreichen, schief, wie Dr. Cooper erklärt: "Die meisten Unternehmen scheitern daran, dass sie die System-zu-System-Verbindungen von Geräten, die sich in derselben Domäne oder im selben Netzwerk befinden, nicht abschalten. Sie versäumen es auch, die Standard-Administrator-Anmeldeinformationen domänenübergreifend zu entfernen oder zu deaktivieren. Für eine echte Zero-Trust-Umgebung müssen Sie diese beiden Probleme bewusst angehen."

4. Trainieren Sie Ihre Leute

DieSchulung und Vorbereitung Ihres Teams auf das Sicherheitsbewusstsein kann für den Erfolg Ihrer Zero-Trust-Initiative ausschlaggebend sein. Mitarbeiter und Auftragnehmer können ein erhebliches Risiko darstellen, auch wenn sie es nicht beabsichtigen. Melody Kaufman, eine Cybersicherheitsspezialistin bei Saviynt, wiederholt, was wir alle nur zu gut wissen. "Auch wenn Sie noch so viel Aufklärungsarbeit leisten, Ihre Mitarbeiter werden immer eines Ihrer schwächsten Glieder sein.

Es ist von entscheidender Bedeutung, Ihrem Team die allgemeine Bedeutung der Sicherheit und die einzelnen Gewohnheiten beizubringen, die es für die Sicherheit des Netzwerks anwenden kann. Bringen Sie Ihren Mitarbeitern bei, gängige Methoden wie Phishing und E-Mail-Spoofing zu erkennen. Bitten Sie sie, Passwortverwaltungssysteme wie LastPass zu verwenden.

5. Least Access durchsetzen

Praktizieren Sie gewissenhaft den Zugriff auf Ihre wertvollsten Ressourcen mit den geringsten Rechten und der geringsten Funktionalität. Der Zugriff wird nur bei Bedarf gewährt, je nachdem, welche Aufgaben der Benutzer hat oder auf welche Systeme er zugreift.

6. Nutzen Sie die Analytik zur Pflege und Überwachung Ihres Ökosystems

Zero Trust lebt von Daten. Stellen Sie Ihr Team also so auf, dass es diese wertvolle Ressource möglichst umfassend erfasst und aufschlüsselt. Seien Sie darauf vorbereitet, Systeme und Netzwerke kontinuierlich zu testen, um den Erfolg Ihrer Zero-Trust-Initiative zu überprüfen.

Zero Trust Security Abschließende Überlegungen

Unsere Informationssysteme und -netze sicher und konform zu halten, ist eine größere Herausforderung und gleichzeitig wichtiger denn je. Die Hürden sind höher und die Fallstricke kostspieliger, doch die Unternehmen verzeihen kaum, wenn sie stolpern. Wir leben in einer mobilen Welt mit neuen Kampflinien, in der Vertrauen gleichbedeutend mit Verwundbarkeit ist und niemand über jeden Verdacht erhaben ist.

Ohne klare Grenzen, die es zu verteidigen gilt, dezentrale Mitarbeiter, verstreute Daten und mögliche Angriffe aus allen Richtungen ist das Sicherheitsmodell "never trust, always verify" vielleicht unsere einzige Hoffnung. Ist Ihr Unternehmen bereit, die nächsten Schritte zu unternehmen, um die Sicherheit Ihrer Informationssysteme, Netzwerke, Kunden und Ihrer Zukunft zu gewährleisten? Wenn ja, dann sind Sie bereit für Zero Trust.