#84 Sicherung deiner Burg mit Null-Vertrauen
Subscribe to get the latest
on Sat Aug 20 2022 17:00:00 GMT-0700 (Pacific Daylight Time)
with Darren W Pulsipher, Steve Orrin, Cameron Chehreh,
In dieser Folge diskutiert Darren das Thema Zero Trust Security mit Steve Orrin, CTO Public Sector von Intel, und Cameron Chehreh, VP-GM Public Sector.
Keywords
Das alte Sicherheitsmodell könnte mit einer Burg verglichen werden, mit Wachen entlang der Straße und einem Wassergraben, der die Burg umgibt. Alle Kronjuwelen, in diesem Fall Daten, würden zentral in der Burg gesammelt und verwaltet. Das Aufkommen des Zero-Trust hat einen neuen Rahmen geschaffen.
Die größte Bedrohung für die Daten ist der Endbenutzer. Daher ist die Nummer eins Strategie ein Rahmenwerk, das an den äußeren Rändern mit Säulen der Exzellenz und inneren Schutzmaßnahmen beginnt. Diese aktualisierte Denkweise ermöglicht es Organisationen, ihre Mission und Geschäftspartner auf eine echte Art und Weise in das Gespräch einzubinden.
Die alte Denkweise war eher von einem harten Schalenansatz geprägt, mit Schutzmaßnahmen und Kontrollen an verwundbaren Stellen. Ein wichtiger Bestandteil der Zero-Trust-Architektur ist der risikobasierte Ansatz, der dynamischer ist und auf zwei Dingen basiert: was in der Vergangenheit funktioniert hat und was nicht funktioniert hat. Wenn die Angreifer das letzte Mal durch die linke Tür gekommen sind, werden Sie natürlich dort Ihre Verteidigung stärken, aber Sie werden auch aus diesem Angriff lernen und basierend auf neuem Wissen darüber andere Stellen absichern. Ein risikobasierter Ansatz löst nicht nur das Problem des letzten Angriffs, sondern denkt voraus und wendet die richtigen Kontrollen für aktuelle und zukünftige Bedrohungen im gesamten Unternehmen an.
Ein Teil des risikobasierten Ansatzes besteht darin, das Ökosystem zu verstehen. Kunden, Partner und Benutzer sind alle Teil der Sicherheitsberechnung. Der alte Ansatz mit einer harten Schale funktioniert nicht mehr. Genau wie eine Burg Personen und Vorräte hinein- und hinausgehen lässt und die Reichtümer an verschiedenen Orten im Königreich liegen können, geht der Ansatz des Zero Trust einen Schritt weiter und berücksichtigt alle Zugänge und Abgänge für Daten oder Personen, die darauf zugreifen.
Traditionell konnte jemand mit einer einzigen Anmeldung Zugang zur Firmenburg erhalten. Es gibt mehrere Zero-Trust-Prinzipien, aber die zwei Grundlagen sind eine standardmäßige Ablehnung und kontinuierliche Überwachung und Berechtigung. Vertrauen wird nicht automatisch erworben, noch ist es permanent. Zum Beispiel, wenn ein Gast die Burg betritt, wird er an der Rezeption überprüft und dann nach dem Grund seines Besuchs gefragt. Möglicherweise erhält er Zugang, um eine Person in einem Raum für eine bestimmte Zeit zu besuchen und wird dabei begleitet. Auch wird überwacht, was er während seines Besuchs mitbringt und wieder mitnimmt.
Zero Trust gilt für den Zugriff an allen Standorten: Rechenzentren, Clouds, Edge-Geräte, Geschäftsumgebungen usw. Es ist datenzentriert und zugriffsorientiert und ist mit einem risikobasierten Ansatz kombiniert. Es muss eine umfassendere Strategie geben. Der resultierende Zero-Trust-Ansatz wirft nicht einfach das weg, was zuvor gut funktioniert hat, sondern kombiniert bewährte Prozesse, Prinzipien und Technologien und fügt ein zeitliches Element hinzu.
Dieses neue Element ist nicht so schwierig, wie es oft dargestellt wird, aber es ist ein Prozess- und Kulturproblem, das knifflig sein kann.
Viele Entwickler haben die Befürchtung, dass eine Architektur des Null-Vertrauens sie verlangsamen wird. Doch Sicherheitsexperten und Entwickler müssen zusammenarbeiten, um diese Wahrnehmung zu überwinden. Ein reales Beispiel dafür ist Log4j. Vor sechs Monaten konnten Entwickler es problemlos herunterladen, aber mittlerweile hat sich die Bedrohungslage geändert. Ohne einen risikobasierten Ansatz könnte ein Entwickler Log4j herunterladen, bis jemand vom Sicherheitsteam eingreift und es deaktiviert. Mit einem risikobasierten Ansatz sowie Zugriffsbeschränkungen wäre Log4j nicht verfügbar und es würde eine Alternative angeboten werden. Ein weiteres Beispiel wäre, wenn Log4j bereits in ein Produkt integriert ist – hier könnte eine dynamische Vertrauensbewertung zusätzliche Kontrollen hinzufügen, anstatt es komplett zu blockieren. Es geht also um beide Seiten der Gleichung.
Diese Partnerschaft ähnelt dem Cross-Training und dem Informationsaustausch, der in den Entwicklungsprozess zur Sicherheit integriert wird. Während ein Produkt gebaut und getestet wird, überwacht und bewertet die Sicherheit auch in Echtzeit das Risiko sowohl für die beteiligten Unternehmen als auch für die Schwachstellen des Produkts. Die Integration eines risikobasierten Ansatzes in den Prozess nutzt Intelligenz, die viele unserer wahrgenommenen Schwierigkeiten im Kern trifft.
Was ist der erste Schritt für CISOs, CIOs oder CTOs, um eine “Zero-Trust”-Initiative zu starten? Cameron schlägt vor, das “Geek-Sprech” aufzugeben und in einfacher englischer Sprache zu kommunizieren. Es kann herausfordernd sein, die Initiative voranzutreiben, da Führungskräfte normalerweise mit einem bestimmten Ergebnis oder Ziel arbeiten. Bei Zero-Trust gibt es kein definiertes Ziel, auf das hingearbeitet wird, außer einer sichereren Umgebung für Benutzer zu schaffen. Natürlich gibt es KPIs und andere Maßnahmen, um eine erhöhte Sicherheit zu zeigen, aber es ist eine Reise, kein Ziel. Er betont auch kontinuierliche Finanzierung; das Cybersicherheitsbudget sollte nicht in das IT-Budget integriert werden. Es muss separat und klar abgegrenzt sein.
Der beste Ort, um hochwertige Informationen mit praktischen Anweisungen zu finden, ist die NIST-Veröffentlichung SP 800-207. Sie legt auch die fünf Säulen des Vertrauens dar, die gute Ausgangspunkte sind.
Ein wesentlicher grundlegender Aspekt besteht darin, eine gute Bestandsaufnahme der zu schützenden Vermögenswerte wie Datenquellen, Datenbanken, Geschäftsprozesse und Transaktionsanwendungen zu haben. Grundsätzlich müssen Sie den Umfang Ihrer Burg definieren. Es ist wichtig, nicht nur darüber nachzudenken, was Sie besitzen, sondern auch darüber, worauf Sie sich verlassen, wie z.B. die SAAS-Umgebung, die Cloud-Infrastruktur und Tools von Drittanbietern.
Das große Ganze besteht darin, seine Wertschöpfungskette zu kennen. Es geht nicht nur um das, was sich in deinem Schloss befindet, sondern auch darum, wie du Geld verdienst, wie dieses Geld verteilt wird, wen du bezahlst und deine Lieferanten. Jeder einzelne ist ein entscheidendes Element der Kette.