Dem Thema Zero Trust habe ich mich auf diesem Blog schon das ein oder andere Mal gewidmet. Dabei geht es um einen ganz neuen Sicherheitsansatz, der sich von den bisherigen grundlegend unterscheidet. Wie sich die eigene Zero Trust-Strategie umsetzen lässt, darüber hat Milad Aslaner vom Sicherheitsanbieter SentinelOne ausführlich gesprochen. Dieser Beitrag fasst seine wichtigsten Aussagen mithilfe geeigneter Tweets zusammen.
Schnell wurde während des Videotalks mit Milad klar: Zero Trust-Konzepte entstehen nicht einfach so, und auch nicht innerhalb weniger Tage. Für eine wirksame Implementierung sollten eher Monate angesetzt werden.
Das Implementieren einer wirkungsvollen Zero Trust-Konzepts geschieht nicht über Nacht und ist nicht produkt-basiert. @SentinelOneDE #zerotrust #security #xdr pic.twitter.com/oUJqllOwYQ
— Michael Hülskötter (@mhuelskoetter) April 13, 2022
Die Ideen und Ansätze hinter „Zero Trust“ sind alles, nur nicht wirklich neu. Denn ein „gesundes Misstrauen“ wird schon in vielen Bereichen des täglichen Lebens angewandt. Daher folgt Zero Trust drei wesentlichen Prinzipien:
- Traue niemandem und überprüfe kontinuierlich deine Sicherheitsmechanismen.
- Gehe stets von einem möglichen Sicherheitsvorfall aus. Hierbei geht es nicht um die Frage, OB Unternehmen einer Cyberattacke zum Opfer fallen, sondern WANN.
- Prüfe deine Sicherheit explizit nach.
Die Prinzipien von "Zero Trust" sind nicht wirklich neu, halten allerdings im Security-Umfeld mehr und mehr Einzug. Dazu gehört unter anderem die Einsicht, dass die Gefahr immer und überall lauert. @SentinelOneDE #zerotrust #security #xdr pic.twitter.com/voTTy2Y3x2
— Michael Hülskötter (@mhuelskoetter) April 13, 2022
Die Cloud und das mobile Arbeiten verändern die Sicherheitslage
Unternehmen bewegen sich zunehmend in der Cloud, und viele Anwender:innen sind mehr und mehr mit mobilen Endgeräten unterwegs. Und doch sagen gerade einmal 42 Prozent der befragten Firmen einer groß angelegten Studie, dass sie über das Implementieren einer passenden Zero Trust-Strategie nachdenken. Angesichts der zunehmenden Sicherheitsbedrohungen ist das eine Zahl, die ein wenig verwundert.
Gute Gründe, sich mit dem Thema Zero Trust zu beschäftigen: Es einfach zu tun, vor allem, wenn sich Unternehmen in der Cloud befinden. Zudem nimmt der Anteil an mobilen Anwendern stetig zu. @milad_aslaner @SentinelOneDE #zerotrust #webinar pic.twitter.com/CnN9sNNlUD
— Michael Hülskötter (@mhuelskoetter) April 13, 2022
Immerhin verändern sich die Security-Paradigmen angesichts einer veränderten Sicherheitslage kontinuierlich. Wo einst nur Anwender:innen eines Unternehmens ihre Identität nachweisen mussten, betrifft das heute außerdem Geschäftspartner, Anwendungen, Vertragspartner und sogar Kunden. Denn all diese Beteiligten stellen per se ein Sicherheitsrisiko dar.
Nicht nur das Cloud-basierte und mobile Arbeiten hat die Sicherheitslage und die hierfür notwendigen Mechanismen habe die Security-Paradigmen vollständig verändert. @milad_aslaner @SentinelOneDE #zerotrust #webinar pic.twitter.com/izQnXTCXaH
— Michael Hülskötter (@mhuelskoetter) April 13, 2022
Zero Trust erfordert ganz neue Sicherheitsmodelle und -ansätze
Und so entstehen gerade Zero Trust-Modelle, die von ganz neuen Voraussetzungen ausgehen. Hierzu gehört einerseits, dass deutlich mehr Endpunkte angreifbar sind als früher. Das erfordert eine sogenannte Vertrauensgrenze, die sämtliche Bereiche eines Unternehmens umfasst.
Daraus resultieren neue Maßnahmen wie das Eliminieren eines impliziten Vertrauens, das Definieren von Risiko-basierten Regeln, das Festlegen von Netzwerk-Segmenten im kleinstmöglichen Maßstab, und vor allem die hohe Transparenz eines Netzwerks sowie dessen permanente Analyse und Überwachung.
Zero Trust erfordert neue Security-Modelle, neu Mechanismen und neues Denken, was die gesamte IT-Infrastruktur betrifft. @milad_aslaner @SentinelOneDE #zerotrust #webinar pic.twitter.com/aqhagtaAQx
— Michael Hülskötter (@mhuelskoetter) April 13, 2022
Ist erst einmal klar, wie die eigene Zero Trust-Strategie aussehen soll, geht es ans Eingemachte. Soll heißen: Wie setze ich mein Sicherheitsmodell in die Praxis um. Hierfür sind fünf wesentlichen Schritte erforderlich:
- Definiere die notwendigen Schutzfunktionen.
- Bilde die Transaktionsströme in geeigneter Art und Weise ab.
- Entwirf die Rahmenbedingungen.
- Lege die Zero Trust-Regeln fest.
- Überwache und verwalte das gesamte Umfeld.
Diese 5 Schritte sind für den Aufbau eines Zero Trust-basierten Sicherheitsmodells erforderlich. @milad_aslaner @SentinelOneDE #zerotrust #webinar pic.twitter.com/1f4zI3AIBS
— Michael Hülskötter (@mhuelskoetter) April 13, 2022
Das eigene Zero Trust-Modell hängt auch stark von den vier Pfeilern des Unternehmens ab, auf denen es basiert. Das betrifft sämtliche Endpunkte und deren Schutz, die vorhandene Hardware und Cloud-Instanzen, sämtliche Identitäten sowie das zu schützende Netzwerk.
Die 4 Pfeiler eines Zero Trust-Konzepts: die Endpunkte eines Unternehmens, sämtliche Anwendungen, die vorhandenen Identitäten und das Firmenetzwerk. @milad_aslaner @SentinelOneDE #zerotrust #webinar pic.twitter.com/REoryNfXcA
— Michael Hülskötter (@mhuelskoetter) April 13, 2022
Fazit: Zero Trust erfordert zahlreiche Schritte und viel Zeit
Es bleibt also festzuhalten: Das Umsetzen und Implementieren der eigenen Zero Trust-Strategie erfordert zahlreiche Schritte, die sich grundlegend in der Betrachtungsweise unterscheiden können. So spielt vor allem die grundsätzliche Herangehensweise eine wesentliche Rolle.
Es macht nämlich einen enormen Unterschied, inwieweit man beispielsweise Identitäten verwaltet und absichert. Das gilt in ähnlicher Art und Weise für die vorhandenen Endpunkte, für das gesamte Netzwerk und natürlich für die Anwendungen, die im Unternehmen eine Rolle spielen.
Und Zero Trust erfordert noch eines: Zeit und Geduld.
Das Implementieren des eigenen Zero-Trust-Konzepts erfordert zahlreiche Überlegungen und Schritte. @milad_aslaner @SentinelOneDE #zerotrust #webinar pic.twitter.com/qKXdlVyWNl
— Michael Hülskötter (@mhuelskoetter) April 13, 2022
Disclaimer: Diesen Blogpost habe ich im Auftrag von SentinelOne verfasst und veröffentlicht.