Die wichtigsten Zero-Trust-Praktiken, um eine hybride Belegschaft cybersicher zu halten
Heather Hinton, Chief Information Security Officer bei Ringcentral untersucht, wie die Rolle von Zero Trust durch hybride Arbeit beschleunigt wurde und wie Unternehmen sicherstellen können, dass Mitarbeiter geschützt bleiben.
Wenn es um hybrides Arbeiten geht, nehmen die Sicherheitsherausforderungen für Organisationen, die diese neue „Normalität“ annehmen, unweigerlich zu. Sowohl Geräte als auch Daten und sogar Menschen werden in hybriden Arbeitsumgebungen vielfältiger und weiter verteilt sein, was es immer schwieriger macht, sie in Bezug auf die Sicherheit ordnungsgemäß zu verwalten. Es gibt zahlreiche Collaboration-Assets sowie unkalkulierbare Schwaden von Daten, die sich von der auf und ab bewegen Cloud. Dies geschieht zwischen externen Standorten und Büros in einer Vielzahl von Formaten; einschließlich mobiler, Laptop-, Tablet- und Konferenzraumsysteme. Um diese Daten und Unternehmensressourcen vor den vielen Elementen ihrer hybriden Arbeitsorte und Personen zu schützen, ist es für Unternehmen am besten, wenn sie den folgenden Schlüssel beibehalten null vertrauen Praktiken im Vordergrund.
Ein Verständnis von Zero Trust aufbauen
Die rasche Beschleunigung der Covid-19-Pandemie erzwang rasche Lockdowns, die zur Schließung von Büros führten, und zwang eine Massenbewegung, an Heimnetzwerken zu arbeiten. Dieser dramatische Wandel hat Sicherheit neu definiert und Zero Trust zu einer „Must-Have-Lösung“ gemacht. Jetzt, da die Umstellung auf hybrides Arbeiten immer dauerhafter wird, ist es entscheidend, dass Unternehmen und Mitarbeiter verstehen, was „Zero Trust“ ist und wie es sie schützt.
Auch als „perimeterlose“ Cybersicherheit bekannt, ist die allgemeine Prämisse von Zero Trust „Vertraue niemandem (ohne wiederholte Überprüfung)“, einschließlich der Benutzer und der Geräte, die sich mit dem Netzwerk deiner Organisation verbinden. Das bedeutet nicht, dass Sie Ihren Mitarbeitern nicht vertrauen; es bedeutet, dass Sie ihnen dabei helfen, sicher zu bleiben und das Unternehmen zu schützen, indem Sie nahtlose Kontrollen und Ausgleiche zu ihrem gesamten Netzwerkzugriff hinzufügen, was zu einer sogenannten „Zero-Trust“-Umgebung führt. Leider ist das Vertrauen, wie wir es kannten, auf ein Verhalten vor der Covid-XNUMX-Pandemie verbannt, auf das wir mit Nostalgie zurückblicken. Bisher wurde davon ausgegangen, dass der Zugriff auf ein Unternehmensnetzwerk nur für vertrauenswürdige Geräte möglich ist, und es wurde davon ausgegangen, dass diese vertrauenswürdigen Geräte ordnungsgemäß konfiguriert und verwaltet wurden. Jetzt müssen Geräte auf „Eigentum“ (ist dieses Gerät für den Betrieb im Netzwerk zugelassen) und die Einhaltung von Sicherheitsrichtlinien (verfügt es über ein gültiges Zertifikat? Ist es gepatcht? Verfügt es über die erforderlichen Antiviren-/EDR-Lösungen? Und bald) jedesmal Sie greifen auf das Unternehmensnetzwerk zu. Früher konnten Benutzer normalerweise alle Ressourcen verwenden, auf die sie im Netzwerk zugreifen konnten. Jetzt müssen sich Benutzer authentifizieren (explizit oder verdeckt, mit Single-Sign-On), wenn sie auf die Unternehmensressourcen zugreifen, für deren Verwendung sie autorisiert wurden. Die Kombination von Geräteintegrität, Integritätsprüfungen, Benutzerauthentifizierung und -autorisierung auf diese Weise bietet einen verbesserten Schutz für Ihr Unternehmen in der neuen hybriden Normalität. Und es erleichtert Ihren Benutzern die Einhaltung der Vorschriften, da ein Großteil der Arbeit für sie erledigt wird.
Implementieren von Zero-Trust-Richtlinien
Unabhängig von der Gründlichkeit des Zugriffs bieten die Geräte der Mitarbeiter (einschließlich Laptops und Mobilgeräte) ein attraktives Ziel, um Malware und Angreifer in Ihr Unternehmensnetzwerk einzuschleusen. Unternehmen müssen davon ausgehen, dass es Versuche gegeben hat, die Laptops der Mitarbeiter während des Remote- (und Hybrid-) Arbeitens zu kompromittieren. Außerdem muss davon ausgegangen werden, dass auf diesen Geräten (unbeabsichtigt) Malware installiert wurde. Das rechtzeitige Anwenden von Patches, um das Herunterladen schädlichen Codes zu vermeiden, ist ein Beispiel für Dinge, die gelehrt werden können. Leider gibt es andere Lektionen, die man auf die harte Tour lernen muss. Leider wird es einige Mitarbeiter geben, die auf unbekannte Links klicken oder seltsame Dateien herunterladen (z. B. Spiele), die potenzielle Angriffspunkte für Unternehmen darstellen – dies gilt insbesondere, wenn Mitarbeiter ihre Arbeitslaptops als private verwenden. Unternehmen können und werden dazu beitragen, die Integrität ihrer Umgebung durch Zero-Trust-Lösungen zu fördern: wenn ein Mitarbeiter nicht auf das Netzwerk zugreifen kann, weil sein Gerät nicht gepatcht ist, keine Antivirensoftware hat oder das Gerät selbst nicht autorisiert ist für den Netzwerkzugriff lernen die Mitarbeiter schnell, wie sie ihre Geräte verwalten und eine Zero-Trust-Richtlinie unterstützen.
Nach dem Zugriff auf das Netzwerk stellen Zero-Trust-Lösungen sicher, dass Mitarbeiter nur Zugriff auf die geschützten Anwendungen erhalten, zu deren Nutzung sie berechtigt sind. Bei diesem Ansatz müssen Sie dem Benutzer nicht vertrauen, dass er nicht auf nicht autorisierte Ressourcen oder Anwendungen zugreift. Sie haben die Sperrung bereitgestellt, um ihren Zugriff einzuschränken (Sie haben die Notwendigkeit verringert, ihrem Verhalten zu vertrauen). Es reicht nicht mehr aus, nur im Netzwerk zu sein, um Zugang zum Unternehmensverzeichnis, zum Unternehmens-Wiki oder zu Webseiten oder zu anderen wichtigen Dingen wie zum Beispiel Anwendungen für das Kundenbeziehungsmanagement zu erhalten. Mitarbeiter müssen nun nachweisen, dass sie die Person sind, für die sie sich ausgeben UND dass sie über die Berechtigungen verfügen, die für den Zugriff auf eine bestimmte Anwendung erforderlich sind.
So viel zu Ihrem Netzwerk: Was passiert, wenn Ihre Benutzer SaaS-Anwendungen von Drittanbietern wie ein CRM oder ein Reisebuchungstool verwenden müssen, um ihre Arbeit zu erledigen? Ist die Authentifizierung bei diesen Drittanbieteranwendungen in diesem Fall sicher genug für Unternehmen? Vor der Pandemie wäre dies natürlich eine einfachere Antwort (ja). So wie wir darauf vertrauten, dass unsere Netzwerke sicher sind, vertrauten wir darauf, dass die Netzwerke unserer Partner sicher sind. Wir müssen uns jetzt jedoch fragen, ob Anwendungen von Drittanbietern auch über eine robuste Zero-Trust-Umgebung verfügen, die ihre Benutzer aktiv daran hindert, (unbefugten) Zugriff auf Daten zu erhalten, die Ihr Unternehmen möglicherweise übertragen oder austauschen muss, oder ob ihre Umgebung irgendwie Malware einschleusen kann oder Angreifer in Ihre Umgebung. Letztendlich sollten die Mitarbeiter wissen, wie sich ihre Zero-Trust-Umgebung in die (möglicherweise nicht Zero-Trust) Umgebung ihres Partners ausdehnt. Zweifellos ist dies eine Zeit, in der insbesondere Technologieunternehmen mehr voneinander verlangen müssen – zu verlangen, dass jeder in diesem Umfeld unter einem (null) vertrauenswürdigen Dach arbeitet, sowohl innerhalb als auch außerhalb von Organisationen.
MEHR LESEN
- Der Zero-Trust-Blindspot
- Wie können Organisationen Zero-Trust-Sicherheitsprinzipien anwenden?
- Sicherung der Lieferkette: Warum es Zeit für einen Zero-Trust-Ansatz ist
- Warum jedes Unternehmen Zero Trust implementieren muss
Ein sicherer und einheitlicher Ansatz für die Zusammenarbeit
Während Mitarbeiter in Bezug auf ihre persönliche Cybersicherheit am Ende entspannter sein können, wenn sie auf ihre Geräte zugreifen, um ihr Leben außerhalb der Arbeit zu führen, ist der einzige sichere Weg, um sicherzustellen, dass die milderen Entscheidungen nicht zurückfallen und ein Unternehmen heimsuchen durch die Bereitstellung von Tools, die helfen, solche menschlichen Fehler sowohl im beruflichen als auch im persönlichen Kontext zu berücksichtigen. Wir alle haben Beispiele von Mitarbeitern gehört, die Netzwerke tagelang gestört haben, indem sie versehentlich Malware eingeführt oder Kundendaten in ihrem sozialen Netzwerk offengelegt haben, aufgrund einfacher menschlicher Fehler und der Verwendung unsicherer und nicht zweckdienlicher Anwendungen wie Whatsapp oder iMessage. Aus diesem Grund ist die Bereitstellung einer wirklich sicheren UCaaS-Anwendung mit praktischen Funktionen wie integriertem Chat ein Muss für cybersichere Organisationen.
Folge uns auf LinkedIn und Twitter
