Das Zero-Trust-Modell gewinnt bei Sicherheitsexperten an Fahrt

"Vertraue niemals; überprüfe immer." Klingt nach gesundem Menschenverstand, oder? Das ist das Motto einer Strategie namens Zero Trust, die sich in der Welt der Cybersicherheit durchsetzt. Hierbei überprüft eine IT-Abteilung alle Benutzer, bevor sie Zugriffsberechtigungen erteilt. Laut dem Verizon Data Breach Investigation Report von 2018 ist es wichtiger denn je, den Zugang zu Konten effektiv zu verwalten, da 58 Prozent der kleinen bis mittelständischen Unternehmen (KMUs) im Jahr 2017 Datenverletzungen melden.

Das Zero Trust-Konzept wurde von John Kindervag, ehemaliger Analyst bei Forrester Research und jetzt Field CTO bei Palo Alto Networks, gegründet. "Wir müssen eine echte Strategie entwickeln, und genau das ermöglicht Zero Trust", sagte Kindervag am 30. Oktober beim SecurIT Zero Trust Summit in New York. Er fügte hinzu, dass die Idee von Zero Trust entstand, als er sich hinsetzte und das Konzept des Vertrauens gründlich überlegte und wie es die böswilligen Akteure sind, die im Allgemeinen von Unternehmen profitieren, die Parteien vertrauen, die sie nicht sollten.

Dr. Chase Cunningham trat die Nachfolge von Kindervag als Principal Analyst bei Forrester an und setzte sich für einen Zero Trust Access-Ansatz ein. "Zero Trust ist das, was sich aus diesen beiden Wörtern ergibt: Nichts vertrauen, Passwortverwaltung nicht vertrauen, Anmeldeinformationen nicht vertrauen, Benutzern nicht vertrauen und dem Netzwerk nicht vertrauen", sagte Cunningham gegenüber PCMag auf der Zero Trust Gipfel.

Kindervag hat am Beispiel des US Secret Service aufgezeigt, wie eine Organisation nachverfolgen soll, was sie schützen muss und wer Zugriff benötigt. "Sie überwachen und aktualisieren diese Kontrollen fortlaufend, damit sie jederzeit kontrollieren können, was den Mikro-Perimeter passiert", sagte Kindervag. "Dies ist eine Zero Trust-Methode zum Schutz von Führungskräften. Sie ist das beste visuelle Beispiel dafür, was wir mit Zero Trust versuchen."

Lektionen zu Null Vertrauen, die bei OPM gelernt wurden

Ein perfektes Beispiel dafür, wie Zero Trust Organisationen zugute kommen kann, lieferte der ehemalige CIO der US-Bundesregierung. Auf dem Zero Trust Summit beschrieb Dr. Tony Scott, der von 2015 bis 2017 das Amt des US-amerikanischen CIO innehatte, einen schwerwiegenden Datenverstoß, der 2014 beim US-amerikanischen Amt für Personalmanagement (OPM) auftrat. Der Verstoß erfolgte aufgrund von Auslandsspionage Dabei wurden für 22, 1 Millionen Menschen persönliche Informationen und Hintergrundinformationen zur Sicherheitsüberprüfung sowie Fingerabdruckdaten von 5, 6 Millionen Personen gestohlen. Scott beschrieb, dass nicht nur eine Kombination aus digitaler und physischer Sicherheit erforderlich gewesen wäre, um diesen Verstoß abzuwehren, sondern auch eine effektive Anwendung der Zero Trust-Richtlinie.

Wenn sich Menschen für eine Stelle beim OPM bewerben, füllen sie einen ausführlichen Fragebogen mit dem Standardformular (SF) 86 aus und die Daten werden in einer Höhle von bewaffneten Wachen und Panzern bewacht, sagte er. "Wenn Sie eine ausländische Entität wären und diese Informationen stehlen wollten, müssten Sie diese Höhle in Pennsylvania durchbrechen und an den bewaffneten Wachen vorbeikommen. Dann müssten Sie mit Lastwagenladungen Papier abreisen oder eine sehr schnelle Xerox-Maschine oder so ", Sagte Scott.

"Es wäre monumental gewesen, mit 21 Millionen Platten zu fliehen", fuhr er fort. "Aber langsam, als der OPM-Prozess automatisiert wurde, haben wir angefangen, dieses Zeug in Computerdateien auf Magnetmedien abzulegen, und so weiter. Das macht es viel einfacher, es zu stehlen." Scott erklärte, dass das OPM nicht die gleiche Art wirksamer Sicherheit wie die bewaffneten Wachen gefunden habe, als die Agentur digitalisiert wurde. Nach dem Angriff veröffentlichte der Kongress einen Bericht, in dem eine Zero Trust-Strategie zum Schutz dieser Art von Verstößen in der Zukunft gefordert wurde.

"Um die fortschreitenden anhaltenden Bedrohungen zu bekämpfen, die versuchen, die IT-Netzwerke der Bundesregierung zu kompromittieren oder auszunutzen, sollten die Behörden auf ein" Zero Trust "-Modell für Informationssicherheit und IT-Architektur umsteigen", heißt es im Kongressbericht. Der frühere US-Abgeordnete Jason Chaffetz (R-Utah), damals Vorsitzender des Aufsichtsausschusses, schrieb ebenfalls einen Artikel über Zero Trust, der ursprünglich von Federal News Radio veröffentlicht wurde. "Das Office of Management and Budget (OMB) sollte Richtlinien für Exekutivabteilungen und Agenturleiter entwickeln, um Zero Trust effektiv umzusetzen, zusammen mit Maßnahmen zur Visualisierung und Protokollierung des gesamten Netzwerkverkehrs", schrieb Chaffetz.

Null Vertrauen in die reale Welt

In einem realen Beispiel für eine Zero Trust-Implementierung hat Google intern eine Initiative namens BeyondCorp implementiert, die darauf abzielt, die Zugriffskontrolle vom Netzwerkperimeter auf einzelne Geräte und Benutzer zu verlagern. Administratoren können mit BeyondCorp differenzierte Richtlinien für die Zugriffssteuerung für Google Cloud Platform und Google G Suite erstellen, die auf der IP-Adresse, dem Sicherheitsstatus des Geräts und der Identität eines Benutzers basieren. Ein Unternehmen namens Luminate bietet Zero Trust-Sicherheit als auf BeyondCorp basierenden Service an. Luminate Secure Access Cloud authentifiziert Benutzer, validiert Geräte und bietet eine Engine mit einer Risikobewertung, die den Anwendungszugriff autorisiert.

"Unser Ziel ist es, jedem Benutzer von jedem Gerät aus einen sicheren Zugriff auf jede Unternehmensressource zu ermöglichen, unabhängig davon, wo sie gehostet wird, in der Cloud oder vor Ort, ohne Agenten auf dem Endpoint oder auf Geräten wie virtuellen privaten Netzwerken (VPNs) einzusetzen." "Firewalls oder Proxys am Zielstandort", sagte Michael Dubinsky, Leiter des Produktmanagements bei Luminate, gegenüber PCMag auf der Hybrid Identity Protection (HIP) -Konferenz 2018 (HIP2018) in NYC.

Eine wichtige IT-Disziplin, in der Zero Trust schnell Fuß fasst, ist das Identitätsmanagement. Laut dem Bericht "Forrester Wave: Privileged Identity Management, Q3 2016" sind 80 Prozent der Verstöße auf den Missbrauch privilegierter Anmeldeinformationen zurückzuführen. Systeme, die den autorisierten Zugriff genauer steuern, können diese Vorfälle verhindern.

Der Identitätsverwaltungsbereich ist nicht neu, und es gibt eine lange Liste von Unternehmen, die solche Lösungen anbieten. Am verbreitetsten sind wahrscheinlich Microsoft und die Active Directory-Plattform (AD), die in das nach wie vor beliebte Windows Server-Betriebssystem eingebettet ist (OS). Es gibt jedoch eine Reihe neuer Player, die nicht nur mehr Funktionen als AD bieten, sondern auch die Implementierung und Wartung des Identitätsmanagements vereinfachen. Zu diesen Unternehmen gehören Unternehmen wie Centrify, Idaptive, Okta und SailPoint Technologies.

Und während diejenigen, die bereits in Windows Server investiert haben, möglicherweise nicht mehr für die Technologie zahlen können, in die sie bereits investiert haben, kann eine tiefer gehende und besser gewartete Identitätsverwaltungsarchitektur große Gewinne bei vereitelten Verstößen und Konformitätsprüfungen bringen. Außerdem sind die Kosten nicht unerschwinglich, obwohl sie erheblich sein können. Zum Beispiel beginnt Centrify Infrastructure Services bei 22 USD pro Monat und System.

So funktioniert Zero Trust

"Zero Trust definiert unter anderem die Netzwerksegmentierung", sagte Kindervag. Segmentierung ist ein Schlüsselbegriff sowohl für das Netzwerkmanagement als auch für die Cybersicherheit. Dabei wird ein Computernetzwerk logisch oder physisch in Teilnetze aufgeteilt, um die Leistung und Sicherheit zu verbessern.

Eine Zero Trust-Architektur geht über ein Perimeter-Modell hinaus, das den physischen Standort eines Netzwerks umfasst. Es gehe darum, "den Umfang auf die Entität herunterzudrücken", sagte Cunningham.

"Die Entität könnte ein Server, ein Benutzer, ein Gerät oder ein Zugangspunkt sein", sagte er. "Sie drücken die Bedienelemente auf die Mikroebene, anstatt zu glauben, Sie hätten eine wirklich hohe Mauer gebaut und seien in Sicherheit." Cunningham beschrieb eine Firewall als Teil eines typischen Perimeters. "Es ist ein Problem der Herangehensweise und Strategie und des Umfangs", bemerkte er. "Die hohen Mauern und die eine große Sache: Sie funktionieren einfach nicht."

Laut Danny Kibel, dem neuen CEO von Idaptive, einem von Centrify ausgegliederten Unternehmen für Identitätsmanagement, verwendete ein alter Sicherheitsaspekt Router, um Zugang zu einem Netzwerk zu erhalten. Vor Zero Trust würden Unternehmen prüfen und dann vertrauen. Aber mit Zero Trust "verifizierst du immer, vertraust nie", erklärte Kibel.

Idaptive bietet eine Next-Gen Access-Plattform, die Single Sign-On (SSO), adaptive Multifactor Authentication (MFA) und Mobile Device Management (MDM) umfasst. Dienste wie Idaptive bieten die Möglichkeit, die erforderlichen detaillierten Zugriffssteuerungen zu erstellen. Sie können je nachdem, wer Zugriff auf verschiedene Anwendungen benötigt, eine Bereitstellung vornehmen oder die Bereitstellung aufheben. "Es gibt der Organisation die Möglichkeit, den Zugriff genau zu steuern", sagte Kibel. "Und das ist für Unternehmen, die wir sehen, sehr wichtig, da der unautorisierte Zugriff weit verbreitet ist."

Kibel definierte den Ansatz von Idaptive für Zero Trust in drei Schritten: Überprüfen Sie den Benutzer, überprüfen Sie das Gerät, und gewähren Sie nur dann diesem Benutzer Zugriff auf Anwendungen und Dienste. "Wir haben mehrere Vektoren, um das Verhalten des Benutzers zu bewerten: Ort, Geogeschwindigkeit, Tageszeit, Wochenzeit, welche Art von Anwendung Sie verwenden und in einigen Fällen auch, wie Sie diese Anwendung verwenden", sagte Kibel. Idaptive überwacht erfolgreiche und fehlgeschlagene Anmeldeversuche, um festzustellen, wann die Authentifizierung erneut in Frage gestellt oder ein Benutzer insgesamt blockiert werden muss.

Am 30. Oktober führte Centrify einen Cybersicherheitsansatz mit dem Namen Zero Trust Privilege ein, bei dem Unternehmen den am wenigsten privilegierten Zugriff gewähren und überprüfen, wer den Zugriff anfordert. Die vier Schritte des Zero Trust Privilege-Prozesses umfassen das Überprüfen des Benutzers, das Überprüfen des Anforderungskontexts, das Sichern der Administratorumgebung und das Gewähren der geringsten erforderlichen Berechtigungen. Der Zero Trust Privilege-Ansatz von Centrify beinhaltet einen schrittweisen Ansatz zur Risikominderung. Es bringt auch einen Übergang von Legacy Privileged Access Management (PAM), einer Software, mit der Unternehmen den Zugriff auf neuere Umgebungen wie Cloud-Speicherplattformen, Big-Data-Projekte und sogar fortgeschrittene benutzerdefinierte Anwendungsentwicklungsprojekte, die im Web für Unternehmen ausgeführt werden, einschränken können Hosting-Einrichtungen.

Ein Zero Trust-Modell geht davon aus, dass Hacker bereits auf ein Netzwerk zugreifen, sagte Tim Steinkopf, President von Centrify. Eine Strategie zur Bekämpfung dieser Bedrohung wäre laut Steinkopf, die seitliche Bewegung zu begrenzen und MFA überall anzuwenden. "Wenn jemand versucht, auf eine privilegierte Umgebung zuzugreifen, muss er sofort über die richtigen Anmeldeinformationen und den richtigen Zugriff verfügen", sagte Steinkopf gegenüber PCMag. "Der Weg, dies zu erzwingen, besteht darin, Identitäten zu konsolidieren. Dann benötigen Sie den Kontext der Anforderung, dh wer, was, wann, warum und wo." Danach gewähren Sie nur die erforderliche Menge an Zugriff, sagte Steinkopf.

"Sie nehmen den Kontext des Benutzers auf. In diesem Fall könnte es sich um einen Arzt, eine Krankenschwester oder eine andere Person handeln, die versucht, auf die Daten zuzugreifen", sagte Dubinsky. "Sie nehmen den Kontext des Geräts an, von dem aus sie arbeiten, Sie nehmen den Kontext der Datei, auf die sie zugreifen möchten, und dann müssen Sie eine darauf basierende Zugriffsentscheidung treffen."

MFA, Zero Trust und Best Practices

Ein wesentlicher Aspekt eines Zero Trust-Modells ist die starke Authentifizierung. Dazu gehört auch, dass mehrere Authentifizierungsfaktoren zugelassen werden, so Hed Kovetz, CEO und Mitbegründer von Silverfort, das MFA-Lösungen anbietet. Angesichts des Mangels an Perimetern im Zeitalter der Cloud besteht ein größerer Authentifizierungsbedarf als je zuvor. "Die Fähigkeit, MFA von irgendetwas zu machen, ist fast eine Grundvoraussetzung von Zero Trust, und dies ist heute unmöglich, da Zero Trust von der Idee herrührt, dass es keine Perimeter mehr gibt", sagte Kovetz PCMag auf der HIP2018. "Alles hängt also mit allem zusammen, und in dieser Realität gibt es kein Gateway, auf das Sie die Kontrolle ausüben können."

Cunningham von Forrester hat eine Strategie namens Zero Trust eXtended (XTX) entwickelt, um die Kaufentscheidungen für Technologien einer Zero Trust-Strategie zuzuordnen. "Wir haben uns wirklich die sieben Kontrollfunktionen angesehen, die Sie benötigen, um eine Umgebung tatsächlich sicher zu verwalten", sagte Cunningham. Die sieben Säulen sind Automatisierung und Orchestrierung, Sichtbarkeit und Analyse, Workloads, Personen, Daten, Netzwerke und Geräte. Als ZTX-Plattform verfügt ein System oder eine Technologie über drei dieser Säulen sowie API-Funktionen (Application Programming Interface). Mehrere Anbieter, die Sicherheitslösungen anbieten, passen in verschiedene Säulen des Frameworks. Centrify bietet Produkte an, die sich mit der Sicherheit von Personen und Geräten befassen, Palo Alto Networks und Cisco bieten Netzwerklösungen an und IBMs Security Guardium-Lösungen konzentrieren sich auf den Datenschutz, so Cunningham.

Ein Zero Trust-Modell sollte auch verschlüsselte Tunnel, eine Verkehrswolke und zertifikatbasierte Verschlüsselung beinhalten, sagte Steinkopf. Wenn Sie Daten von einem iPad über das Internet senden, möchten Sie überprüfen, ob der Empfänger zum Zugriff berechtigt ist, erklärte er. Laut Steinkopf kann die Implementierung aufkommender Technologietrends wie Container und DevOps dazu beitragen, den Missbrauch privilegierter Rechte zu bekämpfen. Er beschrieb auch Cloud Computing als Vorreiter einer Zero Trust-Strategie.

Dubinsky von Luminate stimmt zu. Wenn Sie sich an ein Cloud-Unternehmen wenden, das Identitätsmanagement oder MFA als Service anbietet, werden diese Sicherheitsverantwortlichkeiten an auf diesen Bereich spezialisierte Unternehmen übertragen. "Sie möchten so viel wie möglich an Unternehmen und Personen auslagern, die für ihre tägliche Arbeit verantwortlich sind", sagte Dubinsky.

Das Potenzial des Zero Trust Framework

Obwohl Experten eingestanden haben, dass sich Unternehmen, insbesondere im Bereich Identity Management, einem Zero Trust-Modell zuwenden, sehen einige keinen Bedarf an großen Änderungen in der Sicherheitsinfrastruktur, um Zero Trust einzuführen. "Ich bin mir nicht sicher, ob ich diese Strategie heute auf irgendeiner Ebene einführen möchte", sagte Sean Pike, Program Vice President der IDC Security Products Group. "Ich bin mir nicht sicher, ob das ROI-Kalkül in einem sinnvollen Zeitrahmen existiert. Es gibt eine Reihe von architektonischen Änderungen und Personalproblemen, die meiner Meinung nach die Kosten als Strategie unerschwinglich machen."

Pike sieht jedoch Potenzial für Zero Trust in den Bereichen Telekommunikation und IDM. "Ich denke, es gibt Komponenten, die heute problemlos übernommen werden können und die keine umfassenden Änderungen der Architektur erfordern - zum Beispiel die Identität", sagte Pike. "Ich bin der festen Überzeugung, dass Adoption nicht unbedingt ein strategischer Schritt in Richtung Zero Trust ist, sondern vielmehr ein Schritt, um neue Verbindungsmöglichkeiten für Benutzer und die Notwendigkeit zu erörtern, sich von kennwortbasierten Systemen zu entfernen und die Zugriffsverwaltung zu verbessern", so Pike erklärt.

Obwohl Zero Trust als eine Art Marketingkonzept interpretiert werden kann, das einige der Standardprinzipien der Cybersicherheit wiederholt, z. B. das Nichtvertrauen von Teilnehmern in Ihr Netzwerk und das Erfordernis, Benutzer zu verifizieren, dient es Experten zufolge als Spielplan. "Ich bin ein großer Befürworter von Zero Trust, wenn es darum geht, zu dieser einzigartigen, strategischen Art von Mantra überzugehen und das innerhalb der Organisation zu verteidigen", sagte Forrester's Cunningham.

Die von Forrester im Jahr 2010 eingeführten Zero Trust-Ideen sind für die Cybersicherheitsbranche nichts Neues, stellte John Pescatore, Director Emerging Security Trends am SANS Institute, einer Organisation, die Sicherheitsschulungen und -zertifizierungen anbietet, fest. "Das ist so ziemlich die Standarddefinition für Cybersicherheit - versuchen Sie, alles sicher zu machen, Ihr Netzwerk zu segmentieren und Benutzerrechte zu verwalten", sagte er.

Pescatore bemerkte, dass um 2004 eine inzwischen aufgelöste Sicherheitsorganisation namens Jericho Forum ähnliche Ideen wie Forrester in Bezug auf "perimeterlose Sicherheit" vorstellte und empfahl, nur vertrauenswürdige Verbindungen zuzulassen. "Das ist so, als würde man sagen: 'Bewege dich an einen Ort, an dem es keine Verbrecher und kein perfektes Wetter gibt, und du brauchst weder ein Dach noch Türen für dein Haus.'", Sagte Pescatore. "Zero Trust hat zumindest den gesunden Menschenverstand der Segmentierung wiederhergestellt - Sie segmentieren immer mit einem Perimeter aus dem Internet."

• Jenseits des Perimeters: Umgang mit mehrschichtiger Sicherheit Jenseits des Perimeters: Umgang mit mehrschichtiger Sicherheit
• NYC Venture strebt nach Jobs, Innovation in der Cybersicherheit NYC Venture strebt nach Jobs, Innovation in der Cybersicherheit
• So bereiten Sie sich auf Ihre nächste Sicherheitsverletzung vor

Als Alternative zum Zero Trust-Modell empfahl Pescatore, die kritischen Sicherheitskontrollen des Center for Internet Security zu befolgen. Letztendlich kann Zero Trust trotz des Hype durchaus Vorteile bringen. Wie Pescatore jedoch feststellte, sind für diese Art von Strategie grundlegende Kontrollen erforderlich, unabhängig davon, ob es sich um Zero Trust oder um etwas anderes handelt.

"Daran ändert auch nichts, dass Sie zum Schutz Ihres Unternehmens grundlegende sicherheitshygienische Prozesse und Kontrollen entwickeln und über geschultes Personal verfügen müssen, damit diese effektiv und effizient funktionieren", sagte Pescatore. Für die meisten Unternehmen ist dies mehr als eine finanzielle Investition, auf die sich Unternehmen konzentrieren müssen, um erfolgreich zu sein.