So implementieren Sie eine Zero-Trust-Richtlinie gegen Cyberangriffe
Wir betrachten die Bedeutung der Implementierung einer Zero-Trust-Richtlinie in der Cybersicherheitsstrategie eines Unternehmens.
Klicken Sie hier, um den Podcast „Zero Trust“ jetzt anzuhören.
Kein Vertrauen war ein heißes Thema für die Top-Business-Tech Team in den letzten Monaten. Wir haben einen Anstieg der Artikelaufrufe zu diesem Thema festgestellt, und deshalb haben wir unsere Top-Artikel in diesem Podcast zusammengestellt.
Mit dem drastischen Anstieg der Cyberangriffe in den Jahren 2020 und 2021 hat sich gezeigt, dass eine Zero-Trust-Policy nicht länger ein „nice to have“ ist, sondern eine absolute Notwendigkeit. Das Konzept des „Zero Trust“ ist nicht neu; Ursprünglich in Stephen Paul Marshs Doktorarbeit über Computational Security im Jahr 1994 definiert, wurde es zu einem Schlüsselkonzept für Cybersicherheit, als John Kindervag von Forrester es Ende der 2000er Jahre neu auflegte. Die Grundidee hinter Zero Trust ist, dass Cyberangriffe sowohl von innerhalb des Unternehmens als auch von außen kommen können.
Paul German, CEO, Certes Networks, sprach kürzlich mit Top Business Tech darüber, dass sich die Debatte um Zero Trust seiner Ansicht nach bis vor kurzem ausschließlich auf die Authentifizierung des Benutzers innerhalb des Systems konzentriert hat. Es hat dies getan, anstatt einen ganzheitlicheren Ansatz zu verfolgen und die Benutzerauthentifizierung und den Zugriff auf sensible Daten mithilfe geschützter Mikrosegmente zu betrachten. Dieses Konzept hat sich mit der Sonderveröffentlichung von NIST geändert; Das Netzwerk ist nicht länger der Fokus von Zero Trust; schließlich sind es die Daten, die das Netzwerk durchlaufen.
Da die meisten Länder eine Art DSGVO-Regel implementieren, ist es für Unternehmen, die viele Daten besitzen, wichtig geworden, ihre sensiblen Informationen zu schützen. Es ist wichtiger denn je, dass Unternehmen eine Cybersicherheitshaltung einnehmen, die Compliance oder Informationssicherheit sicherstellen und aufrechterhalten kann. Darüber hinaus werden Unternehmen ermutigt, so viele Informationen wie möglich über ihre Sicherheitslage, den Netzwerkverkehr und Zugriffsanfragen zu beobachten und zu sammeln, diese Daten zu verarbeiten und alle gewonnenen Erkenntnisse zu nutzen, um die Erstellung und Durchsetzung von Richtlinien dynamisch zu verbessern.
Die Implementierung einer Zero-Trust-Richtlinie ist eine praktische Antwort auf die ständige Sorge, dass Cyberkriminelle auf das Netzwerk eines Unternehmens zugreifen. Zero Trust implementiert einen Prozess, bei dem Benutzern der Zugriff von externen Netzwerken verweigert wird, wenn sie sich und ihre Berechtigungen für den Zugriff auf die Daten nicht authentifizieren können.
Wie also sollten Unternehmen eine Zero-Trust-Initiative annehmen? Charles Griffiths, Leiter IT und Betrieb bei AAG-IT.com teilte seine Tipps zur Implementierung einer Zero-Trust-Richtlinie mit Top Business Tech.
Starke Identitäten
Erstens sind starke Identitäten ein grundlegender Bestandteil von Zero Trust und entscheidend für den Aufbau von Vertrauen und Zugriff innerhalb der Umgebung. Starke Identitäten sind auch für die Unterstützung eines Zero-Trust-Frameworks wichtig, da sie Benutzer vor dem Zugriff auf Systeme verifizieren. Eine Methode, um eine starke Identität zu ermöglichen, besteht darin, Multifaktor-Authentifizierungsmethoden wie Zwei-Faktor-Authentifizierung (2FA) oder mobile Authentifizierung zu nutzen.
Multifaktorielle Authentifizierung
Als nächstes ist die multifaktorielle Authentifizierung kein einzelner Ansatz, sondern mehrere Methoden, die zusammen eingesetzt werden können, um Vertrauensebenen auf ein Identitäts-Framework hinzuzufügen. Die drei grundlegenden Ansätze zur Authentifizierung sind:
- Die Ein-Faktor-Authentifizierung (SFA) basiert auf etwas, das Sie wissen, z. B. einer Benutzer-ID und einem Kennwort oder einer PIN. Dies ist die heute am häufigsten verwendete Authentifizierungsmethode.
- Multifaktor-Authentifizierung (MFA) basiert auf etwas, das Sie haben, wie z. B. einem Sicherheitstoken, einer Smartcard oder einem Mobilgerät. MFA kann mit SFA kombiniert werden.
- Kontinuierliche Authentifizierung (CFA): Dies ist eine Methode zur Bestätigung der Identität in Echtzeit. Es ist genau, bequem und verhindert Angriffe, die in der Vergangenheit erfolgreich waren, da es nicht auf statische Daten angewiesen ist.
- MFA und CFA sind empfohlene Sicherheitsstufen innerhalb eines Zero-Trust-Frameworks.
Griffiths empfiehlt seinen Kunden Verfahren zur passwortlosen Authentifizierung, wie beispielsweise YubiKey. Der Yubikey ist ein hardwarebasiertes Gerät, das Passwörter ersetzt. Es ist eine dauerhafte, kostengünstige und bequeme Methode zur starken Authentifizierung, die auch als USB-HID-Gerät oder NFC verwendet werden kann.
Die Netzwerksegmentierung und die Möglichkeit, Netzwerkkontrollen zu implementieren, ermöglichen die Implementierung von Verkehrsrichtlinien für jede Abteilung und Anwendung. Durch die Nutzung der Mikrosegmentierung kann ein Netzwerk feinere Ebenen granularer Kontrollen innerhalb der Firewall oder des Perimeters einführen, um den Zugriff zu beschränken und vor Denial-of-Service-Angriffen usw. zu schützen.
Gesicherte Geräte
Schließlich ist es wichtig, ALLE Geräte in Ihrem Netzwerk zu sichern. Das Zulassen ungeprüfter und ungepatchter Geräte in Ihrem Netzwerk kann großen Schaden anrichten. Es war ziemlich einfach, alle Geräte zu blockieren, die in der Vergangenheit nicht Teil Ihrer Netzwerkrichtlinien waren. Dennoch beinhaltet die heutige Welt BYOD (Bring Your Own Device) und andere Szenarien, in denen Benutzer und Anbieter regelmäßig neue oder nicht genehmigte Geräte mit dem Netzwerk verbinden. Daher müssen Unternehmen jedes Benutzergerät als potenzielle Bedrohung betrachten und den Zugriff auf sensible Ressourcen einschränken.
Isolationstechnologie
Tom McVey, Lösungsarchitekt bei Menlo Security, hat auch gesagt, dass Zero Trust im wahrsten Sinne des Wortes durch den Einsatz von Isolationstechnologie erreicht werden kann. Isolation ist eine völlig neue Art, über Sicherheit nachzudenken, mit einer Zero-Trust-First-Denkweise. Es verhindert vollständig, dass Angreifer in der Arbeitsumgebung Fuß fassen können, und versperrt buchstäblich böswillige Payloads von ihren Zielendpunkten.
Bei der Isolierung wird der Browsing-Prozess vom Desktop auf den verschoben Cloud, wodurch eine Art digitale „Luftlücke“ zwischen dem Internet und dem Endpunkt entsteht. Alle Inhalte werden aus dem Cloud-Browser bereinigt und sicher gerendert, sodass die Mitarbeiter völlig beruhigt ihren typischen täglichen Aufgaben nachgehen können, z. B. mit E-Mails interagieren und im Internet surfen.
Der gesamte E-Mail- und Webverkehr wird durch diese Isolationsschicht geleitet, wo der Inhalt sichtbar ist, aber nie auf den Endpunkt heruntergeladen wird. Gleichzeitig ist die Benutzererfahrung identisch mit der auf dem Desktop, ohne Auswirkungen auf die Leistung oder Unterbrechung des Arbeitsablaufs.
Insider-Bedrohungen
Allerdings Pete Smith, archTIS VP und General Manager von EMEA, sagte kürzlich gegenüber Top Business Tech, dass es einen blinden Fleck gibt, der derzeit nicht angegangen wird. Aus diesem Grund werden wir wahrscheinlich eine Deflation des Zero-Trust-Hypes erleben: die Sicherung der Daten selbst. Ohne die gleichen Zero-Trust-Prinzipien auf die Daten hinter dem geschützten Netzwerk anzuwenden, sind wir leider immer noch mit einer Vielzahl von Datenschutzverletzungen konfrontiert, die durch das verursacht werden, was die Sicherheitswelt als „Insider-Bedrohungen“ bezeichnet. Der Begriff umfasst alles von Unternehmensspionen und Maulwürfen, die absichtlich Informationen preisgeben oder an den Meistbietenden verkaufen, bis hin zu fahrlässigen Büroangestellten, die einen Laptop im Bus liegen lassen oder eine Datei mit der falschen E-Mail-Adresse teilen.
Attributbasierte Zugriffskontrolle
Glücklicherweise gibt es eine Lösung, um Datenverlust durch fahrlässige und böswillige Insider vollständig zu verhindern: Attribute-Based Access Control (ABAC). ABAC erweitert das Zero-Trust-Sicherheitsmodell auf die Dateiebene. Anstatt automatisch auf ein Dokument auf einem Server zugreifen zu können, weil Sie bereits beim System authentifiziert sind, wird stattdessen festgestellt, ob Sie auf die Datei zugreifen können. Dazu werden Attribute (oder Merkmale von Daten und/oder Benutzern) ausgewertet, um die Zugriffs-, Nutzungs- und Freigaberechte einer bestimmten Datei zu bestimmen.
Der Vorteil eines datenzentrischen ABAC-basierten Sicherheitsansatzes besteht darin, dass die Zugriffsrechte einer einzelnen Datei basierend auf der Sensibilität der Datei und dem Kontext des Benutzers in Echtzeit dynamisch angepasst werden können, um die Attribute jeder Datei zu bewerten und zu validieren. Dazu gehören Sicherheitsklassifizierung und Berechtigungen und Attribute wie Sicherheitsüberprüfung, Tageszeit, Standort und Gerätetyp, um zu bestimmen, wer auf eine bestimmte Datei zugreifen, sie bearbeiten, herunterladen oder freigeben kann. Wie bei der Zero-Trust-Netzwerkarchitektur legt ABAC standardmäßig fest, dass der Zugriff verweigert wird, es sei denn, diese Attribute können anhand von Geschäftsrichtlinien validiert werden, die die Zugriffs- und Freigabebedingungen regeln.
WEITERLESEN:
- 7 starke Authentifizierungspraktiken für Zero Trust
- Zahlen Sie kein Lösegeld: Zero Trust Data Management von Rubrik
- Zero-Trust-Architektur ist nicht nur „nice to have“
- Der Zero-Trust-Blindspot
Wenn Sie weitere Informationen zu diesem Thema benötigen, suchen Sie bitte auf der Top Business Tech-Website nach Zero Trust, und alle unsere relevanten Artikel werden angezeigt. Kann ich sehr empfehlen 17 IT-Führungskräfte darüber, warum Ihr Unternehmen Zero Trust braucht, mit Tipps zur Implementierung. Unsere Redakteurin Amber hat mit mehreren CTOs gesprochen, die ihre Ansichten zu Zero Trust geteilt haben, und sie haben Ratschläge gegeben, wie man es am besten umsetzt.
Klicken Sie hier, um jetzt mehr von unseren Podcasts zu entdecken
Folge uns auf LinkedIn und Twitter
