Warum Unternehmen Zero Trust implementieren sollten
Das Zero-Trust-Konzept bedeutet im Wesentlichen, dass niemandem, der ein Netzwerk verwendet, automatisch vertraut wird, alles hinterfragt werden muss und Rechte je nach angefordertem Zugriff fortlaufend gewährt und validiert werden. Viele Organisationen haben festgestellt, dass diese Methode bei der Abwehr potenzieller Sicherheitsbedrohungen und Datenschutzverletzungen unglaublich effektiv ist, insbesondere im heutigen digitalen Zeitalter, in dem immer mehr Organisationen wertvolle Daten von mehreren Anbietern in der Cloud sammeln, erklärt Marc Lueck, CISO EMEA, Zscaler.
Im aktuellen digitalen Zeitalter müssen viele Unternehmen schnell neue Wege zur Verwaltung der Netzwerksicherheit einschlagen, da traditionelle Ansätze veraltet und im Zeitalter der Cloud nicht mehr tragbar sind. Nach Angaben des Amtes für nationale Statistik1, 46.6 % der Erwerbstätigen arbeiteten im April letzten Jahres von zu Hause aus. Dieser dramatische Anstieg der Fernarbeit ist nur einer der Gründe, warum Mitarbeiter eine sichere und zuverlässige IT-Infrastruktur benötigen. Da Anwendungen den sicheren Perimeter der Bürowände verlassen, benötigen Mitarbeiter einen immer zuverlässigeren Zugriff auf eine sichere Cloud-Umgebung.
Zero Trust bezieht sich auf die Idee, dass jeder Benutzer standardmäßig mit null Zugriffsrechten auf ein System beginnt und dass niemand irgendwelche Privilegien erhält, nur weil er sich im Netzwerk befindet. Dies knüpft an das bewährte Prinzip der geringsten Rechte an, bei dem Benutzern nur bei berechtigtem Bedarf Zugriff auf Ressourcen und Informationen gewährt wird. Mit Zero Trust wird im Wesentlichen niemandem automatisch vertraut, was bedeutet, dass alles in Frage gestellt wird und Rechte fortlaufend gewährt werden. Viele Unternehmen haben festgestellt, dass diese Methode bei der Abwehr potenzieller Sicherheitsbedrohungen und Datenschutzverletzungen unglaublich effektiv ist – insbesondere im heutigen digitalen Zeitalter, in dem immer mehr Unternehmen Daten von mehreren Anbietern in der Cloud speichern.
VPN-Lösungen sind nicht nachhaltig
Ein virtuelles privates Netzwerk (VPN) erweitert im Wesentlichen a privates Netzwerk über ein öffentliches Netzwerk, sodass Benutzer über ein gemeinsam genutztes Netzwerk auf Daten zugreifen und diese empfangen können. Dadurch können sie das Gerät so bedienen, als wäre es direkt mit dem privaten Netzwerk verbunden. Trotz der Effizienz von VPNs in den letzten anderthalb Jahren weisen diese Server viele Schwachstellen auf, was sie zu einem Hauptziel für Hacker macht. Vor der Pandemie wurden VPNs hauptsächlich von Geschäftsreisenden oder Personen genutzt, die außerhalb der normalen Arbeitszeiten auf Unternehmensressourcen zugreifen möchten. Aus diesem Grund hatte der VPN-Datenverkehr nur einen kleinen Anteil am gesamten Datenverkehr zum Netzwerk, was bedeutet, dass IT-Sicherheitsteams VPN-Server nicht allzu oft patchen mussten. Ein VPN bringt Benutzer im Wesentlichen in ein Netzwerk und bietet uneingeschränkten Zugriff auf alles andere in diesem Netzwerk, was ein unnötiges Risiko darstellt.
Wenn das letzte Jahr etwas bewiesen hat, dann nur, wie ernst VPN-Angriffe sind und wie Angreifer die Fähigkeit haben, Schwachstellen auszunutzen und die Kontrolle über ein betroffenes System zu übernehmen. Laut dem VPN-Risikobericht 20212, nutzen 93 % der Unternehmen VPN-Dienste, doch 94 % sind sich bewusst, dass Cyberkriminelle VPNs ins Visier nehmen, um Zugriff auf Netzwerkressourcen zu erhalten. Darüber hinaus befürchten 72 % der Unternehmen, dass VPN die Fähigkeit des IT-Teams gefährden könnte, ihre Umgebung sicher zu halten, und 67 % der Unternehmen erwägen eine Fernzugriffsalternative zu einem herkömmlichen VPN. Diese Ergebnisse deuten darauf hin, dass Unternehmen beginnen, die Sicherheitsinfrastruktur ihrer Netzwerke schnell zu überdenken und zu überdenken.
Mit Blick auf die Zukunft ist klar, dass die Zukunft des Arbeitens cloudbasiert und remotefähig bleiben wird. Es bleibt jedoch die Frage, ob VPNs skalieren und sicher genug werden, um dies zu unterstützen. Um dies effektiv zu verwalten, sollten Organisationen eine Cloud-fähige Zero-Trust-Architektur implementieren, die Benutzern sicheren Zugriff auf private Anwendungen gewährt und Verbindungen von speziell autorisierten Anwendungen herstellt.
Ist Zero Trust die Lösung?
Zero Trust geht davon aus, dass alle Anwendungen und Dienste bösartig sind, was das Risiko von Angriffen erheblich reduziert. Dies liegt daran, dass es aufdeckt, was sich im Netzwerk befindet, und bewertet, wie diese Assets kommunizieren. Darüber hinaus eliminiert ein Zero-Trust-Modell übermäßig bereitgestellte Software und Dienste, indem die Anmeldeinformationen jedes kommunizierenden Assets kontinuierlich überprüft werden. Trotz der schnellen Entwicklung hin zur Sicherheit von Cloud-Service-Providern bleibt die Workload-Sicherheit eine gemeinsame Verantwortung zwischen dem Cloud-Service-Provider und der Organisation, die die Cloud nutzt. Bei Zero Trust basieren Sicherheitsrichtlinien auf der Identität kommunizierender Workloads und sind direkt mit dem Workload selbst verknüpft, was dazu führt, dass die Sicherheit in der Nähe der zu schützenden Assets bleibt. Das bedeutet, dass diese Assets nicht von Netzwerkkonstrukten wie IP-Adressen, Ports und Protokollen beeinflusst werden. Der Schutz wandert daher mit der Arbeitslast, wo er zu kommunizieren versucht, bleibt aber auch unverändert, selbst wenn sich die Umgebung selbst ändert.
Zero Trust löst viele der Herausforderungen, mit denen Unternehmen derzeit konfrontiert sind, wenn es um die Reduzierung von Sicherheitsrisiken geht. Trotzdem wird sich nicht jedes Unternehmen für diesen Ansatz entscheiden, sodass der Prozess lange dauern wird. Ein Beispiel dafür, warum sich ein Unternehmen gegen die Implementierung von Zero Trust entscheidet, könnten die damit verbundenen unrealistischen Kosten oder ein mangelnder Antrieb für die digitale Transformation sein. Wenn eine Organisation ihre eigenen Anwendungen oder Software entwickelt, ist dies möglicherweise nicht in der Lage, Zero Trust zu berücksichtigen, und bestimmt daher, ob ein Unternehmen sie übernehmen kann oder nicht. Außerdem werden der erforderliche Aufwand und die möglicherweise unerreichbaren Kosten ermittelt. Sicher ist jedoch, dass diejenigen, die sich gegen den Zero-Trust-Ansatz entscheiden, ein leichtes Ziel für Cyberkriminelle werden.
Innovationen wie Automatisierung und maschinelles Lernen können den Einstieg in Zero Trust verbessern. Bei der Umsetzung dieses Prozesses sollten Unternehmen vier Hauptsäulen berücksichtigen. Dies sind die Benutzer, Anwendungen, Netzwerke und Prozesse für alle Transformationsprojekte. Wenn beispielsweise eine App in die Cloud verschoben wird, der Benutzer jedoch mit der Erfahrung beim Zugriff darauf nicht zufrieden ist, dann stimmt etwas nicht und es muss angegangen werden.
WEITERLESEN:
- Zscaler wird der erste Sicherheitsanbieter der Branche sein, der aktive Verteidigung in eine Zero-Trust-Architektur integriert
- Warum Zero Trust für Endpoint- und IoT-Sicherheit unerlässlich – und erreichbar – ist
- Forescout liefert die erste Zero-Trust-Lösung für OT-, IoT-, Gesundheitswesen- und Hybrid-Cloud-Segmentierung
- 5 Fragen, die Unternehmen nach Bidens Gesetz zur Cybersicherheit stellen sollten
Durch die Berücksichtigung eines Cloud-First-Zero-Trust-Ansatzes für Sicherheit und Konnektivität können Unternehmen nicht nur das Risiko von Angriffen verringern, sondern auch wettbewerbsfähig bleiben und die digitale Transformation auf lange Sicht annehmen.
Folge uns auf LinkedIn und Twitter
