Was ist das Konzept der Zero-Trust-Sicherheit?
Zero Trust ist ein Cybersicherheitsansatz, der auf dem Konzept basiert, Benutzer, Geräte, Anwendungen oder Inhalte immer zu kontrollieren und ihnen niemals zu vertrauen. Bei diesem Ansatz ist eine Kontrolle erforderlich, bevor Geräte, Anwendungen und Benutzer Zugang zum Netzwerk erhalten und bevor Dokumente gesendet, freigegeben, empfangen oder gespeichert werden. Zero Trust ist heute eine wichtige Komponente in der Risikomanagement-Strategie eines jeden Unternehmens.
Zu den Unternehmensressourcen, die von einem Zero-Trust-Architekturansatz abgedeckt werden, gehören:
- Anwender
- Netzwerke
- Anwendungen
- Geräte
- Infrastruktur
- Daten
Zero Trust hat den früheren Ansatz der Perimeter-Sicherheit abgelöst, der erhebliche Herausforderungen mit sich brachte – u. a. war er machtlos gegenüber Bedrohungen, die von internen Akteuren ausgingen. Die Unzulänglichkeiten der alten Sicherheitsmodelle ermöglichten es böswilligen Akteuren, die Netzwerkgrenze zu durchbrechen und auf Anwendungen oder sensible Inhalte zuzugreifen.
Als Antwort auf diese Herausforderungen entwickelte John Kindervag, der damals bei Forrester Research arbeitete, das Zero Trust Security Model. Schon bald wurde es branchenübergreifend und für alle Aspekte des Cyber-Security-Risikomanagements übernommen. Dieser Einfluss erstreckte sich auch auf Elemente wie das Third-Party Risk Management.
Im Folgenden bieten wir Ihnen einen Überblick über Zero Trust, einschließlich der Grundprinzipien, Vorteile und wie Sie Zero Trust in Ihrem Unternehmen einführen können.
Was ist Zero-Trust-Sicherheit?
Was versteht man unter dem Zero-Trust-Sicherheitsmodell?
Wie der Name schon sagt, basiert die Zero-Trust-Sicherheit auf der Vorstellung, dass Unternehmen nichts und niemandem vertrauen sollten, egal ob es sich um Personen oder Objekte außerhalb oder innerhalb ihrer Systeme/Netzwerke handelt.
Die standardmäßige Sicherheitsstrategie besteht darin, den Zugriff auf das Netzwerk und alle Ressourcen zu verweigern. Jeder Versuch, Zugang zu erhalten, sollte authentifiziert, autorisiert und kontinuierlich überprüft werden.
Dieses Konzept setzt maximale und permanente Wachsamkeit voraus und erfordert ausnahmslos eine strenge Identifizierung und Überprüfung. Das alte Netzwerksicherheitsmodell vertraute Menschen und Geräten, sobald sie sich innerhalb des Netzwerks befanden. Das Gleiche galt für Anwendungen und die Kommunikation sensibler Inhalte.
Die digitale Transformation, die Verbreitung von hybriden Netzwerken, Remote-Arbeit und die Einführung von Cloud-Lösungen in Verbindung mit den sich ständig weiterentwickelnden Risiken durch Schurkenstaaten und böswillige Angreifer sind einige der Hauptgründe, warum Zero-Trust-Sicherheit eine notwendige Cybersicherheitsstrategie ist.
Kernprinzipien der Zero-Trust-Sicherheit
Um eine Zero-Trust-Sicherheitsarchitektur adäquat einzusetzen, müssen Sie zunächst die zugrunde liegenden Prinzipien verstehen und sicherstellen, dass diese in Ihre Security-Risikomanagement-Strategie integriert sind.
Kontinuierliche Überwachung und Validierung
Die kontinuierliche Überwachung und Validierung der Kommunikation von Benutzern, Geräten, Anwendungen und sensiblen Inhalten ist eines der wichtigsten Prinzipien von Zero Trust. Verbindungs-Timeouts und die Überprüfung der Benutzeridentität sind das Herzstück einer jeden Zero-Trust-Richtlinie. Darüber hinaus müssen ein- und ausgehende Datenübertragungen mit sensiblen Inhalten auf Datenschutz und Compliance geprüft werden.
Least Privileged Access
Das bedeutet ganz einfach, dass Benutzer über minimale Zugriffsberechtigungen verfügen und nur auf das zugreifen können, was sie zur Erledigung ihrer Aufgaben benötigen. Alle Benutzer, Geräte und Anwendungen sind standardmäßig nicht vertrauenswürdig und es wird der Zugriff mit den geringsten Privilegien durchgesetzt. So sollte beispielsweise ein Benutzer, der für seine Arbeit kein Administratorkonto benötigt, niemals Zugang zu einem solchen Konto erhalten. Die Zugriffsrechte der Benutzer müssen klar definiert und durchgesetzt werden. Dazu gehören auch definierte Content-Richtlinien, die von denjenigen, die Inhalte verwalten, bis hin zu denjenigen reichen, die sie lediglich anzeigen können.
Außerdem wird bei Zero Trust davon ausgegangen, dass ein Sicherheitsverstoß unvermeidlich ist oder wahrscheinlich stattgefunden hat. Das Prinzip des geringstmöglichen Zugriffs stellt sicher, dass kompromittierte Konten nicht auf hochwertige Ziele zugreifen können – seien es Netzwerke, Geräte, Anwendungen oder Inhalte.
Zugriffskontrolle für Geräte
Dies ist ein wichtiges Prinzip, das hilft, Angriffe zu erkennen und zu verhindern. Es erfordert eine kontinuierliche Überwachung der Geräte, die versuchen, auf das Netzwerk zuzugreifen, und der Geräte, die sich bereits im Netzwerk befinden. Bei Zero Trust stellt jedes Gerät eine Bedrohung dar und sollte daher autorisiert, überprüft und erneut verifiziert werden, wenn ein verdächtiger Datenverkehr festgestellt wird.
Mikrosegmentierung
Dies ist eine der wesentlichen Änderungen, die eine Zero-Trust-Policy für eine bestehende IT-Infrastruktur mit sich bringt. Die vorhandene IT-Sicherheit besteht in den meisten Fällen aus zahlreichen Elementen, die größtenteils nicht integriert sind und deren Verwaltung erhebliche Ressourcen und Zeit in Anspruch nimmt.
Zero Trust fördert die Mikrosegmentierung eines umfangreichen Netzwerks in kleinere Netzwerke, die unabhängig voneinander arbeiten. Das bedeutet, dass die Bedrohung im Falle einer Kompromittierung einer Netzwerkzone auf dieses Netzwerk beschränkt ist. Die meisten der größten Sicherheitsverletzungen erfolgten durch laterale Bewegungen, bei denen sich Cyberkriminelle Zugang verschafften und immer tiefer in ein Netzwerk, eine Anwendung oder einen Speicherbereich eindrangen, um nach wertvollen und sensiblen Daten und wertvollen Ressourcen zu suchen. Die Mikrosegmentierung zielt darauf ab, das Ausmaß solcher Angriffe zu begrenzen.
Multi-Faktor-Authentifizierung (MFA)
Dieses Grundprinzip muss bei einem Zero-Trust-Sicherheitsansatz immer beachtet werden. Bei MFA muss ein Benutzer mehr als einen Berechtigungsnachweis vorlegen, um Zugang zu allen Ressourcen im Netzwerk, zu Anwendungen und zu Inhalten zu erhalten.
Beliebte MFA-Methoden sind die Verwendung eines Passworts und eines Codes, der an ein Mobiltelefon gesendet wird. Dadurch wird sichergestellt, dass im Falle einer Kompromittierung des Passworts der Zugriff ohne den an das Mobiltelefon gesendeten Code nicht möglich ist. Eine robuste Zero-Trust-Sicherheitsinfrastruktur berücksichtigt diese Kernprinzipien des integrierten Risikomanagements in ihrem Design.
Inhalts-definierter Zero Trust
Das Gleiche gilt für Anwendungen und sensible Inhalte, die gesendet, freigegeben, empfangen und gespeichert werden. Ein Zero-Trust-Modell für die Kommunikation vertraulicher Inhalte überwacht und kontrolliert kontinuierlich, wer auf Inhalte zugreift, wer sie senden und freigeben kann und an wen Inhalte gesendet und freigegeben werden. Der Zugriff mit den geringsten Berechtigungen wird durchgesetzt – für Administratoren, Eigentümer, Manager, Mitarbeiter, Betrachter, Downloader usw. Dies ist besonders wichtig für das Third Party Risk Management (TPRM). Darüber hinaus wird die Security Governance sowohl für die eingehende als auch für die ausgehende Kommunikation mit integrierter und eingebetteter umfassender Sicherheitsüberwachung durch Anti-Malware, Antivirus, Antispam, Advanced Threat Protection, Data Loss Protection und Security Information and Event Management (SIEM) angewendet.
Wie Sie Zero Trust implementieren
Im Gegensatz zu vielen anderen Strategien für das Management von Sicherheitsrisiken ist Zero Trust nicht eine Sache, die Sie tun. Vielmehr ist es ein Denkprozess oder eine Einstellung, die in Ihrem Unternehmen vorhanden sein sollte. Außerdem ist die Umsetzung ein Prozess, den ein Unternehmen nicht von heute auf morgen bewältigen kann.
Der Vorteil ist, dass die Implementierung von Zero Trust keine vollständige Überarbeitung Ihrer aktuellen Cybersicherheitsarchitektur erfordert. Viele Unternehmen verwenden ein oder zwei der oben genannten Kernprinzipien, auch wenn sie keine Zero-Trust-Sicherheitsstrategie haben. Sobald ein Unternehmen über eine Zero-Trust-Sicherheitsstrategie verfügt, ist es entscheidend, die richtigen unterstützenden Technologien für Governance, Sicherheit und Compliance zu finden, zu prüfen und zu implementieren.
Entwicklung einer Zero-Trust-Umgebung
Für Unternehmen, die die Implementierung eines Zero-Trust-Ansatzes in Angriff nehmen wollen, sind die folgenden Bereiche innerhalb des Netzwerks und der Infrastruktur zu beachten.
Identitätssicherheit
Dazu gehört ein System, bei dem jeder Benutzer, der auf das Netzwerk zugreift, anhand einer eindeutigen Reihe von Merkmalen identifiziert wird. Um die Identitätssicherheit noch robuster zu machen, sollte der Zugang zu wichtigen Informationen mit einer zusätzlichen Schicht biometrischer Erkennungsmerkmale verknüpft werden, die spezifisch für bestimmte Benutzer sind.
Endpunkt-Sicherheit
Genauso wie alle Benutzer identifiziert, authentifiziert und verifiziert werden, sollten auch alle Geräte im Netzwerk identifiziert werden. Endgeräte sind einer der häufigsten Wege, über die sich Cyberkriminelle Zugang zu einem Netzwerk verschaffen. Sie nutzen die oft schwachen Sicherheitsvorkehrungen an den peripheren Endpunkten, um in das Netzwerk einzudringen und sich einen Weg durch das Netzwerk zu bahnen. In einer Zero-Trust-Umgebung werden jedoch alle Geräte und Benutzer protokolliert und überwacht. Es werden Aufzeichnungen über alle Endgeräte, Aktivitäten und den Zustand des Netzwerks geführt.
Die Sicherheit von Endgeräten muss auch Internet-of-Things (IoT)-Geräte einschließen.
Antiviren- und Antispam-Funktionen müssen in die Kommunikation sensibler Inhalte integriert werden, um sicherzustellen, dass eingehende Inhalte – ob gesendet oder freigegeben – keinen bösartigen Code und keine gefährlichen Anfragen enthalten. Im Falle eines Zero-Trust-Ansatzes für Private Content Networks muss die Endgerätesicherheit in die verwendeten Kommunikationstools integriert werden. Dieser Aspekt von Zero Trust muss Teil des Third-Party-Risikomanagement-Ansatzes eines jeden Unternehmens sein.
Anwendungssicherheit
Anwendungen in einer Zero-Trust-Infrastruktur sollten kontinuierlich überwacht werden, um alle nicht autorisierten Anwendungen oder Aktivitäten von Anwendungen innerhalb des Netzwerks zu erkennen. Selbst Anwendungen in einer Zero-Trust-Umgebung müssen kontinuierlich überprüft werden, um mögliche Sicherheitslücken zu erkennen.
Datensicherheit
Vertrauliche Daten stehen im Mittelpunkt aller Cybersicherheitsstrategien. Sie sind ein wertvolles Gut, auf das es die Angreifer immer abgesehen haben, wenn sie in Ihr Netzwerk eindringen. Datenschutzverletzungen, bei denen vertrauliche Daten verloren gingen, nahmen im Jahr 2021 um 33 % zu, wobei die durchschnittlichen Kosten einer solchen Sicherheitsverletzung auf 424 Millionen US-Dollar stiegen. Schurkenstaaten und Cyberkriminelle haben es auf diese Daten in Bewegung und im ruhenden Zustand, innerhalb und außerhalb des Netzwerks abgesehen.
Neben den Cyberbedrohungen müssen Unternehmen auch die geltenden Datenschutzgesetze und die gesetzlichen Vorschriften in den Ländern einhalten, in denen sie tätig sind. Insbesondere Datenschutzgesetze wie der Federal Information Security Management Act (FISMA), der Health Insurance Portability and Accountability Act (HIPAA), die General Data Protection Regulation (GDPR/DSGVO), der California Consumer Privacy Act (CCPA) und der Data Protection Act (DPA) 2018 legen fest, wie Sie mit vertraulichen Daten umgehen müssen.
Executive Order 14028 und Zero Trust
Die US-Bundesregierung hat die Bedeutung von Zero Trust erkannt. Die Executive Order 14028 gibt den Anstoß für die Einführung von Zero-Trust-Lösungen. Sie verpflichtet US-Bundesbehörden und ihre Auftragnehmer, von den alten Sicherheitsumgebungen zu einem Zero-Trust-Modell überzugehen. Einer der Beweggründe für EO 14028, ist das Supply Chain-Risiko und die Notwendigkeit, das Drittanbieter-Risiko für US-Bundesbehörden kontinuierlich zu überwachen und zu verwalten. Jeder Benutzer, jede Anwendung und jedes Gerät müssen auf die Einhaltung der Zero-Trust-Prinzipien überprüft werden. Die Verfügung verlangt auch den Schutz sensibler Daten durch Verschlüsselung, Kategorisierung und Datentrennung, einschließlich der Möglichkeit, unbefugten Zugriff automatisch zu erkennen und zu blockieren.
Bewerten Sie den Datenschutz und die Compliance für Ihre Kommunikation mit vertraulichen Inhalten
Kiteworks Sensitive Content Communications Report 2022
JETZT LESEN
Die US-Bundesbehörden sind verpflichtet, bis zum Ende des Finanzjahres 2024 Zero-Trust-Sicherheitsziele festzulegen. Dafür gibt es fünf Säulen:
- Entwickeln einer Strategie für Datensicherheit
- Automatisieren von Sicherheitsreaktionen
- Kontrollieren des Zugriffs auf sensiblen Daten
- Reglementieren des Zugangs zu Protokollierung und Informationssicherheit
- Datensicherheit
Zero Trust und die Kommunikation sensibler Inhalte
In der Vergangenheit wurde dem Netzwerk- und Workload-Zugriff viel mehr Beachtung geschenkt als den Inhalten. Wenn Inhalte außerhalb des Netzwerks und der Anwendungen gelangen, steigen die Risiken für den Datenschutz und die Compliance dramatisch an. Wenn ein Unternehmen kein inhaltsbezogenes Zero-Trust-Modell einsetzt, besteht die Gefahr der Nichteinhaltung gesetzlicher Vorgaben, des Diebstahls von geistigem Eigentum und der Beschädigung des guten Rufes eines Unternehmens. Da viele Unternehmen keinen umfassenden Zero-Trust-Ansatz für ihre Content-Kommunikationskanäle verfolgen, sind sie einem ernsthaften Risiko ausgesetzt. Der Sensitive Content Communications Privacy and Compliance Report von Kiteworks aus dem Jahr 2022 hat ergeben, dass weniger als die Hälfte der Unternehmen die Zero-Trust-Prinzipien auf alle Kanäle für die Kommunikation von Inhalten anwenden – E-Mail, File-Sharing, File-Transfer, Managed File-Transfer, Web-Formulare und Application Programming Interfaces (APIs).
Kiteworks ermöglicht es Unternehmen, Private Content Networks einzurichten, die die Kommunikation sensibler Inhalte vereinheitlichen, nachverfolgen, kontrollieren und sichern. Mithilfe der Kiteworks-Plattform können Unternehmen konsistente, vertrauenswürdige Sicherheitsrichtlinien für jeden Kommunikationskanal definieren, anwenden und verwalten. Die zentralen Metadaten ermöglichen es Unternehmen außerdem, auf Bedrohungen des Datenschutzes und der Compliance praktisch in Echtzeit zu reagieren.