Sicherung der Lieferkette: Warum es Zeit für einen Zero-Trust-Ansatz ist

2nd September 2021
Vaibhav Malik, Head of Cybersecurity Advisory Practice, Integrity360, betrachtet die zunehmenden Risiken für die Lieferkette eines Unternehmens und wie diese Bedrohungen mit Zero Trust gemindert werden können.
Vaibhav Malik, Leiter der Beratungspraxis für Cybersicherheit, Integrität360, befasst sich mit den zunehmenden Risiken für die Lieferkette eines Unternehmens und mindert diese Bedrohungen ohne Vertrauen.

Die letzten 18 Monate haben IT-Abteilungen an ihre Grenzen gebracht, da Unternehmen gezwungen waren, die Infrastruktur und Protokolle zu entwickeln, um Remote-, flexible und hybride Arbeitsmodelle in Lichtgeschwindigkeit zu unterstützen, um zu überleben. Fast anderthalb Jahre später hat dieser Übergang dazu beigetragen, die breitere Akzeptanz von transformativen Cloud-basierten Technologien und Modellen zu inspirieren und die Abhängigkeit von Organisationen von der IT-Umgebung weiter auszubauen.

Der Druck auf Unternehmen und ihre IT-Teams wurde durch die sich entwickelnde Cyber-Bedrohungslandschaft verschärft. Bereits im April 2020 wird die FBI berichteten, dass die Zahl der Beschwerden über Cyberangriffe im Vergleich zu vor der Pandemie um bis zu 400 % gestiegen sei. Doch nicht nur die Zahl der Angriffe hat zugenommen. Ebenso zielen Bedrohungsakteure auf komplexere Weise auf Unternehmen ab.

Eine wichtige Technik, die in letzter Zeit Schlagzeilen gemacht hat, sind Angriffe auf die Lieferkette, SolarWinds ist ein Paradebeispiel. SolarWinds ist ein führender US-amerikanischer Anbieter von IT-Infrastruktur und -Lösungen. Eines seiner Hauptprodukte ist die Orion-Software für das Netzwerkmanagement, die zuvor von Tausenden von Unternehmen weltweit eingesetzt wurde.

Könnte die Bereitstellung von Daten an vorderster Front Unternehmen helfen, widerstandsfähig zu bleiben?
Trending
Könnte die Bereitstellung von Daten an vorderster Front Unternehmen helfen, widerstandsfähig zu bleiben?

Im März 2020 brachen Hacker in das Netzwerk von SolarWinds ein, erhöhten ihre Berechtigungen und verschafften sich Zugang zu seiner Entwicklungsumgebung. Hier haben sie bösartigen Code in die Build-Pipeline von Orion eingeschleust und die Systeme und Server von mehr als 18,000 Unternehmen, darunter 425 der Fortune-500-Unternehmen und wichtige US-Regierungsbehörden, während eines routinemäßigen Software-Updates kompromittiert.

Supply-Chain-Angriffe in einer sich verändernden Landschaft

Definitionsgemäß wird bei einem Supply-Chain-Angriff (auch bekannt als Wertschöpfungsketten- oder Drittanbieterangriff) ein Netzwerk durch einen externen Partner infiltriert, der Zugriff auf die Systeme oder Daten eines Unternehmens hat. Im Fall von SolarWinds versteckten die Angreifer bösartigen Code in einer vertrauenswürdigen Software – eine relativ typische Technik für Angriffe auf Lieferketten.

Warum sind diese in der heutigen Zeit eine solche Herausforderung? Sie sind einfach das Ergebnis eines zunehmend wachsenden und vernetzten digitalen Ökosystems.

In den letzten Jahren haben kleine und mittlere Unternehmen vor allem aufgrund der Pandemie ihre Abhängigkeit von Public Cloud und anderen kritischen Diensten von Drittanbietern erhöht.

Wo wir früher die On-Premise-Infrastruktur hatten, haben wir jetzt die Cloud: ein riesiges Ökosystem aus Diensten, Microservices und Anwendungen, die von Unternehmen genutzt werden, um ihre Angebote zu optimieren und ihr Geschäft voranzutreiben. Damit viele dieser Dienste funktionieren, benötigen sie jedoch Zugriff auf kritische Daten.

Dies ist aus Sicherheitssicht eine große Herausforderung, und mit deutlich größeren Abhängigkeiten von Dritten wird das Risiko ebenso dramatisch erhöht.

Es ist wichtig zu verstehen, dass bei der Verwendung eines bestimmten Cloud-Dienstes oder einer bestimmten Anwendung verschiedene Zweige dieser Dienste an einen externen Anbieter ausgelagert werden, wodurch eine Reihe von vielen möglichen Zielen entsteht, die auf unerklärliche Weise miteinander verbunden sind. Es könnte sich um einen Hardwareanbieter, einen Quellcodeanbieter, einen Anbieter physischer Assets oder etwas anderes handeln.

Aufgrund dieses komplizierten, miteinander verbundenen Netzes von Diensten hat das Ponemon Institute kürzlich bekannt gegeben, dass mehr als die Hälfte aller Unternehmen von einer Datenpanne durch Dritte betroffen waren, die zum Missbrauch sensibler oder vertraulicher Informationen führte.

Tausende von Softwareeingaben befinden sich in komplizierten Netzwerkumgebungen, und es ist nicht ganz möglich, das Ausmaß der beteiligten Dritten zu verstehen. 

Es ist eine große Herausforderung, aber Unternehmen können vorbeugende Maßnahmen ergreifen und sich besser vor Bedrohungen aus der Lieferkette schützen.

Im Jahr 2018 veröffentlichte das britische National Cyber ​​Security Centre (NCSC) ein Cybersicherheits-Framework, das darauf aufbaut 12-Prinzipien entwickelt, um Unternehmen dabei zu helfen, eine effektivere Aufsicht und Kontrolle über ihre Lieferketten aufzubauen.

Natürlich ist jedes Unternehmen anders. Wie viel Infrastruktur befindet sich in der Cloud im Vergleich zu On-Premises? Wie viel Softwareentwicklung findet intern oder extern statt? Andere ähnliche Faktoren im Zusammenhang mit der Lieferkette werden das Risikoniveau verändern, und Organisationen müssen ihre Due Diligence durchführen, um zu verstehen, wie diese Richtlinien in Übereinstimmung mit ihren spezifischen Modellen integriert werden können. Schritte, die sich an diesen Grundsätzen orientieren, können jedoch sehr effektiv sein, um Bedrohungen der Lieferkette einzudämmen, wenn sie richtig und umfassend eingehalten werden.

Die Bedeutung von Zero Trust

Zero Trust ist ein Beispiel für eine solide Sicherheitspraxis, die beim Umgang mit modernen Sicherheitsbedrohungen helfen kann.

Zero Trust ist ein Sicherheitsmodell, das davon ausgeht, dass Bedrohungen in verschiedenen Teilen des Anwendungs- und Infrastruktur-Stacks allgegenwärtig sind. Es stützt sich auf die kontinuierliche Überprüfung anhand von Informationen aus unterschiedlichen Quellen, um sicherzustellen, dass Benutzer und Dienste tatsächlich die sind, für die sie sich ausgeben, und über die richtigen Berechtigungen für den Zugriff auf relevante Ressourcen verfügen. In einer Zero-Trust-Umgebung werden die Quellbenutzer und -geräte aufgefordert, die Verifizierungsdaten zu ihrer Identität, Authentifizierung, Autorisierung, Integrität und Sitzung zu präsentieren.

Im Zusammenhang mit der Reduzierung des Drittrisikos könnte dies bedeuten:

  • Nehmen Sie ein Risikomanagement-Framework eines Drittanbieters an.
  • Wenden Sie Mikrosegmentierung für kritische Dienste an, wenden Sie rollenbasierte Zugriffskontrollen auf Anwendungen, Datenbanken und Infrastrukturen an, entfernen Sie Einzelbenutzerkonten auf hochprivilegierten Systemen.
  • Setzen Sie eine angemessene risikobasierte Multifaktor-Authentifizierung (MFA) für alle privilegierten rollenbasierten Zugriffe durch.
  • Erstellen Sie Vorfallleitfäden für Angriffsszenarien in der Lieferkette von Drittanbietern und führen Sie Tabletop-Übungen mit wichtigen Softwareanbietern durch.
  • Fordern Sie Sicherheitsschulungen und -zertifizierungen, Service Level Agreements (SLAs) und Eskalationsprotokolle in Verträgen mit Drittanbietern vor.

Zero Trust bedeutet nicht, dass es kein Vertrauen gibt. Es bedeutet einfach, dass Vertrauen bei null beginnt und nicht bei 100.

Herkömmliche Informationssicherheit wurde auf dem Netzwerkperimeter aufgebaut – ein Konzept, das davon ausgeht, dass allen internen Einheiten innerhalb eines Netzwerks vertraut wird, während externen Parteien nicht vertraut wird. Der Fokus lag daher darauf, den Sicherheitsperimeter zu stärken und Bedrohungen fernzuhalten.

Heute sind unsere Systeme jedoch über Cloud-Dienste, Microservices und Anwendungen mit so vielen externen Einheiten integriert, die das Funktionieren unseres Unternehmens unterstützen und optimieren. Infolgedessen gibt es keinen einfach definierten, leicht zu verteidigenden Perimeter mehr. Aus diesem Grund ist Zero Trust wichtig.

Anstatt Daten und Transaktionen zu vertrauen, nachdem sie Ihren Sicherheitsperimeter verlassen haben, müssen Sie jetzt alle Daten und Vorgänge außerhalb und innerhalb Ihres Systems überprüfen.

Es geht nicht darum, Menschen zu misstrauen. Stattdessen handelt es sich um eine Richtlinie der fortlaufenden Verifizierung, die durch Automatisierung angetrieben wird, um sicherzustellen, dass Ihre kritischen Vermögenswerte besser vor modernen Bedrohungen wie Angriffen auf die Lieferkette geschützt sind.

Bedrohungen in der Lieferkette durch geeignete Umsetzung von Richtlinien eindämmen

Wie also kann ein Unternehmen Zero Trust erreichen?

Identifizieren Sie zunächst Ihre Benutzer. Wer hat Zugriff auf Ihre Daten? Wer sind die Menschen, die sich um Ihre Kronjuwelen kümmern? Welche Art von Geräten und Software verwenden sie? Zweitens verstehen, wie Daten in der Organisation fließen. Wer hat privilegierten Zugriff und welche Protokolle und Workflows wurden innerhalb des Netzwerks entwickelt?

Sobald Sie die Personen, die Assets und die Arbeitsabläufe kennen, können Sie damit beginnen, eine Richtlinie zu entwerfen, die diese Umgebungen steuert. Schließlich, nachdem verschiedene Tools implementiert und kombiniert wurden, um ein Zero-Trust-Framework zu schaffen, muss die nächste Stufe die Skalierbarkeit sein.

Wir müssen verstehen, dass Zero Trust kein Produkt ist; Es handelt sich um eine Reihe von Prinzipien, die von verschiedenen Lösungen angetrieben und durch eine Zero-Trust-Strategie ermöglicht werden.

Kein einziges Tool wird eine Zero-Trust-Umgebung vollständig ermöglichen. Stattdessen wird es durch mehrere verschiedene Schritte erreicht. Während SASE, Netzwerksegmentierung und IDAM alle zu Zero Trust beitragen, ermöglichen sie es nicht an sich. Vielmehr sind sie nur ein Teil des Zero-Trust-Puzzles.

WEITERLESEN:

Implementierung ist nicht gleich vollständig. Es wird eine Reihe zusätzlicher kleinerer Schritte geben, die Unternehmen unternehmen können, um die Aufrechterhaltung und Verbesserung von Zero-Trust-Frameworks sicherzustellen. Haben Sie beispielsweise eine Übung zur Reaktion auf Vorfälle durchgeführt, um zu verstehen, was im Falle eines Verstoßes passieren könnte? Unterliegen Drittagenturen, die Zugriff auf Ihre kritischen Systeme haben, ebenfalls Zero Trust? Drittanbieter werden zu einer Erweiterung Ihres Unternehmens, daher müssen Zero Trust und andere notwendige Sicherheitsmaßnahmen auf sie ausgedehnt werden.

Vergessen Sie nicht, unser tägliches Bulletin zu abonnieren, um weitere Neuigkeiten von Top Business Tech zu erhalten!

Folge uns auf  LinkedIn und Twitter

Wir glauben, dass Ihnen Folgendes gefallen wird:

Amber Donovan-Stevens

Amber ist Inhaltsredakteurin bei Top Business Tech

Erzielen Sie Produktivitäts- und Effizienzsteigerungen durch Datenmanagement

Russ Kennedy • 04. Juli 2023

Unternehmensdaten sind seit vielen Jahren eng mit Hardware verknüpft, doch jetzt ist ein spannender Wandel im Gange, da die Ära der Hardware-Unternehmen vorbei ist. Mit fortschrittlichen Datendiensten, die über die Cloud verfügbar sind, können Unternehmen auf Investitionen in Hardware verzichten und das Infrastrukturmanagement zugunsten des Datenmanagements aufgeben.