Zero Trust ist für die Informationssicherheit entscheidend

https://network-king.net/wp-content/uploads/2022/01/shutterstock_1958585461-769x414.jpg

Eine Umfrage unter mehr als 1.000 IT-Sicherheitsexperten zeigt, dass 75 % der Unternehmen Zero Trust als kritisch oder sehr wichtig für die Stärkung ihrer allgemeinen Cyber-Reife einstufen. Die Studie wurde von One Identity durchgeführt – einem auf Identitätssicherheit spezialisierten Unternehmen, das zu Quest Software gehört. Sie zeigt, dass der Ansatz für die meisten Unternehmen oberste Sicherheitspriorität hat, aber weder ein umfassendes Verständnis noch eine einheitliche Umsetzung besteht.

Demnach gaben nur 14 % der befragten Fachleute an, eine Zero-Trust-Lösung vollständig implementiert zu haben. Weitere 39 % haben damit begonnen, sich mit dem Thema zu befassen, und 22 % gaben an, dass sie planen, Zero Trust im Laufe dieses Jahres einzuführen. Nur einer von fünf Sicherheitsverantwortlichen ist jedoch davon überzeugt, dass seine Organisation Zero Trust versteht.

„Unternehmen haben erkannt, dass der traditionelle Perimeter nicht mehr ausreicht. Deshalb wollen sie der Identitätssicherheit Priorität einräumen und Maßnahmen ergreifen, die sicherstellen, dass Kriminelle eingeschränkt werden, sobald sie Zugang erhalten”, schätzt Rogério Soares, Director of Pre-Sales and Professional Services LATAM bei Quest Software/One Identity.

Quelle: One Identity

Eines der Haupthindernisse für den Erfolg von Zero Trust ist die mangelnde Klarheit darüber, wie die Einführung vonstattengehen soll. Etwa 61 % der Sicherheitsexperten konzentrieren sich bei der Umsetzung auf die Neukonfiguration von Zugriffsrichtlinien. 54 % sind dagegen der Meinung, dass es zunächst darum geht, zu ermitteln, wie sensible Daten über das Netzwerk verteilt werden. Währenddessen setzen bereits 51 % neue Technologien ein, um Zero Trust zu erreichen.

Allerdings haben insgesamt 32 % der Sicherheitsteams kein umfassendes Verständnis davon, wie Zero Trust in ihrem Unternehmen implementiert werden soll. Ein weiteres wichtiges Hindernis bei der Einführung von Zero Trust sind konkurrierende Prioritäten (31 % sind zu sehr mit anderen täglichen Prioritäten beschäftigt). Auch die Ansicht, dass Zero Trust der Produktivität des Unternehmens schaden könnte, wirkt hinderlich. (Z. B. glauben 31 % fälschlicherweise, dass Zero-Trust-Sicherheitsmodelle die Produktivität der Mitarbeiter beeinträchtigen.)

Quelle: One Identity

Vorrang auch für die amerikanische Regierung

In den Vereinigten Staaten arbeitet die Cybersecurity and Infrastructure Agency des Department of Homeland Security derzeit an der Fertigstellung mehrerer Leitfäden, die den Übergang zu einer Zero-Trust-Cybersicherheitsumgebung erleichtern sollen.

Das Ziel dieser Bemühungen ist es, die Sicherheit des Netzwerks auf die Daten- und Anwendungsebene zu verlagern.

John Simms, stellvertretender Leiter der CISA-Abteilung für Cybersicherheit, sagte, dass die Dokumente und andere Bemühungen den Behörden dabei helfen, ihr Cyberdenken weg vom Netzwerk und hin zu den Daten zu verlagern.

„Wenn wir uns die Cloud ansehen und überlegen, wie wir Zero Trust in der Zukunft ermöglichen können, müssen wir unser Denken grundlegend ändern – weg von der netzwerkzentrierten Cybersicherheit und der Sichtbarkeit hin zu einem risikobasierten Ansatz“, sagte Simms auf einem von ATARC gesponserten Panel im November. „Wir müssen uns wirklich auf Zero Trust konzentrieren und darauf, wo es uns tatsächlich helfen wird, die dynamische und föderale Cybersicherheit zu verändern.“

In den letzten drei Monaten hat die CISA zusammen mit dem Office of Management and Budget das Zero-Trust-Strategieprojekt, das Projekt für eine technische Referenzarchitektur für Cloud-Sicherheit und das Zero-Trust-Reifegradmodellprojekt gestartet.

Wie kann man das Ganze umsetzen?

Zunächst einmal sollte man sich vor Augen führen, dass Zero Trust eine Denkweise und keine bestimmte Technologie oder Architektur ist.

Eine vollständige Zero-Trust-Position wird also möglicherweise nie ganz erreicht werden, sagt Neil MacDonald, Vice President of Analytics bei Gartner. Spezifische Initiativen können jedoch so bald wie möglich ergriffen werden.

Gartner empfiehlt Unternehmen, die Zero Trust umsetzen wollen, mit zwei netzwerkbezogenen Sicherheitsprojekten zu beginnen. Warum? Nun, die TCP/IP-Netzkonnektivität wurde zu einer Zeit geschaffen, als man von Vertrauen ausgehen konnte. Sie wurde entwickelt, um Menschen und Organisationen zu verbinden, nicht um sich zu authentifizieren. Netzadressen sind bestenfalls schwache Identifikatoren und Zero-Trust-Netzinitiativen nutzen die Identität als Grundlage für neue Abgrenzungen.

In der Vergangenheit wurden VPNs verwendet, um das Netz auf die Benutzer, die das „vertrauenswürdige“ Unternehmensnetzwerk verließen, auszuweiten. Denn wenn es Angreifern gelang, die Anmeldedaten eines Benutzers zu stehlen, konnten sie sich damit leicht Zugang zum Unternehmensnetzwerk verschaffen.

Der Zero-Trust-Netzwerkzugang abstrahiert und zentralisiert die Zugriffsmechanismen so, dass die Sicherheitsingenieure und -mitarbeiter für sie verantwortlich zeichnen können. Der Zugang wird auf der Grundlage der Identität von Menschen und ihren Geräten sowie weiterer Daten wie Uhrzeit, Datum, Geolocation, historischen Nutzungsmustern und Gerätezustand gewährt. Daraus resultiert eine sicherere und widerstandsfähigere Umgebung mit größerer Flexibilität und besserer Überwachung.

Der weitgehende Übergang zur Telearbeit während der Covid-19-Pandemie führte zu einem starken Interesse an ZTNA und zu Schlagzeilen in den Medien, die verkündeten: „VPN ist tot“.

Während die Ablösung von VPNs ein häufiger Grund für die Einführung ist, ergänzt ZTNA ein VPN eigentlich eher, anstatt es zu ersetzen. Indem Sie den Nutzern den Zugriff auf das erlauben, was sie benötigen, und auf cloudbasierte ZTNA-Angebote umsteigen, können Sie eine Überlastung Ihrer VPN-Infrastruktur vermeiden.

Langfristig kann diese Zero-Trust-Haltung für die Sicherheit des Netzwerkzugriffs auch weiterhin genutzt werden, wenn die Mitarbeiter ins Büro zurückkehren.

Dagegen ist die identitätsbasierte Segmentierung, die auch als Mikro- oder Nullvertrauenssegmentierung bezeichnet wird, ein wirksames Mittel, um die Möglichkeiten für Angreifer, sich nachdem Betreten eines Netzwerks seitlich hindurchzubewegen, einzuschränken.

Die identitätsbasierte Segmentierung reduziert übermäßiges implizites Vertrauen, indem sie es Unternehmen ermöglicht, einzelne Workloads auf ein Modell der „Standardverweigerung“ statt der „impliziten Genehmigung“ umzustellen. Dabei werden dynamische Regeln verwendet, die die Identität von Arbeitslasten und Anwendungen bewerten, um zu entscheiden, ob die Netzwerkkommunikation zugelassen wird.

Wenn Sie mit einer identitätsbasierten Segmentierungsstrategie beginnen, sollten Sie für die ersten Implementierungen mit einer kleinen Sammlung der wichtigsten Anwendungen und Server beginnen und diese anschließend ausbauen.

Sobald Sie ZTNA und die identitätsbasierte Segmentierung implementiert haben, sollten Sie zudem weitere Initiativen ergreifen, um den Zero-Trust-Ansatz auf Ihre gesamte Technologieinfrastruktur auszuweiten.

„Entfernen Sie beispielsweise die Rechte von Remote-Administratoren aus Endbenutzersystemen, testen Sie eine Lösung zur Isolierung von Remote-Browsern, verschlüsseln Sie alle Daten in der öffentlichen Cloud und beginnen Sie mit der Überprüfung der Container, die Ihre Entwickler für neue Anwendungen erstellen“, rät Gartner.

FacebookTwitterLinkedIn