Zero Trust, viel mehr als nur Identität!
Ilona Simpson, CXO Advisor bei Netskope, schreibt über den Zero-Trust-Ansatz und wie Unternehmen damit Daten nachhaltig schützen und zu mehr Sicherheit gelangen.
Zero Trust ist das neueste Schlagwort in der Cybersicherheit. Obwohl sich der Staub gelegt hat, mangelt es immer noch an einer einheitlichen Vorstellung davon, was jeder unter dem Begriff versteht. Während der Konsens weitgehend positiv ist, dass ein Zero-Trust-Ansatz der richtige Weg ist, um ein Unternehmen und seine Daten zu schützen, gibt es immer noch viele Unklarheiten darüber, wie ein solcher Ansatz aussieht.
Insbesondere scheint es mir zwei grundsätzliche Missverständnisse zu geben. Das erste ist, dass Zero Trust etwas ist, das man kaufen kann. Zero Trust ist keine Software, Hardware oder Cloud-Anwendung, es ist ein Ansatz, ein Ethos. Um eine Zero-Trust-Strategie zu erreichen, arbeiten Sie am besten mit Partnern zusammen, die diese grundlegende Nuance richtig verstehen. Das zweite Missverständnis besteht darin, dass Zero Trust nur die neueste Art ist, die Identitätsmanagementkomponente eines Sicherheitsstapels zu bezeichnen.
Es besteht kein Zweifel daran, dass Identität ein grundlegender Bestandteil eines effektiven Zero-Trust-Ansatzes ist, aber es besteht auch die Gefahr, dass sich Unternehmen so sehr auf dieses eine Element konzentrieren, dass sie vergessen, dass es noch andere gibt.
Diese Fehleinschätzung kann zu potenziellen Schwachstellen führen, die wiederum zu schwerwiegenden Cybersecurity-Ereignissen führen können – genau die Art von Ereignissen, die das Unternehmen durch die Einführung von Zero Trust von vornherein zu vermeiden versuchte.
Seit vielen Jahren nutzen Unternehmen die Multi-Faktor-Authentifizierung (MFA), um den Schutz sensibler Daten zu gewährleisten. Die Bedrohungslandschaft entwickelt sich jedoch weiter und einige Experten schätzen inzwischen, dass bis zu 70 % der MFA-Optionen durch Social Engineering und Phishing gehackt werden können. Die Identität ist wichtig, aber es wird immer unzuverlässiger, sich auf sie als Hauptdeterminante in einer Sicherheitsrichtlinie zu verlassen. Außerhalb der Welt der Cybersicherheit würden wir unser Vertrauen nicht auf der Grundlage einer einzigen Beurteilung in jemanden setzen. Vertrauen ist ein vielschichtiger Prozess, der im Laufe der Zeit aufgebaut werden muss. Ebenso muss es mehrere Formen der Verifizierung geben, um Zero Trust zu erreichen. Zero Trust muss mit der Annahme beginnen, dass Ihr System kompromittiert werden kann und wird. Je mehr Schutzmaßnahmen ergriffen werden, desto mehr Vertrauen können wir in sie setzen. Entscheidend ist jedoch, dass ein einziger Punkt zur Durchsetzung von Richtlinien verwendet wird, um den Datenverkehr zu kontrollieren, der von diesen verschiedenen Maßnahmen ausgeht.
Ilona Simpson über „Zero Trust“
Echtes Zero Trust wird nur erreicht, wenn ein Unternehmen einen integrierten, ganzheitlichen Ansatz verfolgt, der jeden Berührungspunkt, Benutzer und jedes Gerät berücksichtigt. Wichtig ist, dass Vertrauensentscheidungen auf der Grundlage dieser detaillierten Erkenntnisse ständig angepasst werden. Durch die Einbeziehung aller acht Elemente in ihren Zero-Trust-Ansatz (einschließlich Identität) können Unternehmen mit weitaus größerem Vertrauen operieren. Damit wird Sicherheit zu einem echten Faktor, der Innovationen und Anpassungen an die Anforderungen des Unternehmens ermöglicht, sei es die Einführung neuer Anwendungen, die Integration von KI, die Expansion in neue Märkte oder die Förderung von Hybridarbeit.
Die Identitätsauthentifizierung ist eine der ersten und am häufigsten verwendeten Maßnahmen für Zero Trust und sollte ein Kernstück jeder Strategie sein. Es gibt sieben weitere Elemente, die Unternehmen in die Durchsetzung ihrer Richtlinien einbauen sollten, um eine wirklich sichere, robuste Zero-Trust-Infrastruktur zu gewährleisten:
- Gerät
Es kommt nicht nur darauf an, welches Gerät Sie verwenden. Auch ein vollständig authentifizierter Benutzer auf einem kompromittierten Gerät stellt ein Sicherheitsrisiko dar. Zero Trust sollte Firmen- und Privatgeräte unterscheiden und den Gerätezustand, Patch-Level und Sicherheitskonfigurationen prüfen, bevor Zugriff gewährt wird.
- Standort
Mit hybrider Arbeit sollten Unternehmen damit rechnen, dass Nutzer versuchen, von verschiedenen Standorten aus auf Daten und Hardware zuzugreifen.
- App
Sicherheitsteams sollten bestimmte Apps für die Nutzung im Unternehmen überprüfen und genehmigen und ggf. erweiterte Kontrollen und/oder Beschränkungen für nicht genehmigte Anwendungen einführen, um einen möglichen Datenverlust zu verhindern.
- Instanz
Viele Unternehmen erlauben ihren Mitarbeitern die Nutzung ihrer persönlichen Cloud-Anwendungen, etwa persönliche Instanzen von Microsoft 365. Dies kann jedoch zu Problemen führen, insbesondere wenn vertrauliche Unternehmensdaten in einer persönlichen App freigegeben werden. Daher sollte auch jede Instanz jeder App verstanden werden.
- Aktivität
Zero Trust erstreckt sich darauf, wie Anwendungen miteinander interagieren und wie sie auf Daten zugreifen. Selbst innerhalb der Sitzung eines einzelnen Benutzers sollten die Aktionen, die eine Anwendung im Namen dieses Benutzers durchführt, einer genauen Prüfung unterzogen werden.
- Verhalten
Die Identität kann den Nutzern den Erstzugang gewähren, das Verhalten danach sollte kontinuierlich überprüft werden (unter sorgfältiger Beachtung des Datenschutzes der Mitarbeiter). Wenn ein Mitarbeiter (oder eine Organisation) plötzlich auf große Datenmengen zugreift oder sensible Dateien herunterlädt, sollten die Alarmglocken läuten, selbst wenn der Benutzer ursprünglich authentifiziert war.
- Daten
Das Herzstück von Zero Trust sind Daten – es geht darum, die Integrität und Vertraulichkeit der Daten zu gewährleisten. Das bedeutet, Daten im Ruhezustand und bei der Übertragung zu verschlüsseln und dass Datenzugriffsmuster auf Anomalien überwacht werden müssen.
CC BY-ND 4.0 DE
https://creativecommons.org/licenses/by-nd/4.0/deed.de#
Sie dürfen:
- Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
- Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
- Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
- Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
- Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.
- Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.