Paradigmenwechsel in der Cyber-Security
Zero Trust
Sicherheit im Wandel: Zero Trust als Schutzschild der Zukunft
Mit der digitalen Transformation, mobilen Geräten und Technologien wie IoT oder Cloud haben traditionelle IT-Sicherheitsperimeter ausgedient. Die einzige Strategie, um künftig Datenschutzverletzungen zu vermeiden und Assets zu schützen, basiert auf dem Prinzip Zero Trust: «Vertraue niemandem, überprüfe jeden». In einer Umgebung, in der Anwendungen aus der Cloud bereitgestellt werden, sich Benutzer an beliebigen Orten befinden und eine Vielzahl unterschiedlicher Geräte nutzen, ist das Festhalten einer „Single-Point-of-Trust“ Strategie nicht mehr zeitgemäss.
Was ist Zero Trust?
Zero Trust ist die strategische Initiative und ein Prinzip, das Unternehmen dabei unterstützt, Datenschutzverletzungen zu vermeiden und Assets zu schützen, indem man von der Annahme ausgeht, dass niemandem vertraut wird. Zero Trust geht also über die klassische Perimeter-Sicherheit hinaus. Der Ansatz betrachtet Vertrauen als Sicherheitslücke, während bisherige Konzepte den Benutzern vertrauten, sobald sich diese innerhalb des Unternehmensnetzwerks befanden. So konnten sich auch bösartige Insider oder Bedrohungsakteure darin bewegen, auf Daten zugreifen oder diese exfiltrieren.
Zero Trust als Sicherheitsmodell beinhaltet eine strikte Identitätsprüfung und bringt die Entscheidung über Authentifizierung und Autorisierung näher an den Endpunkt. Der Zugriff auf Unternehmensressourcen ist durch eine dynamische Richtlinie pro Sitzung geregelt. Sie wird anhand des aktuellen Client-Identitätsstatus, der genutzten Anwendung, der abgefragten Assets sowie der gesammelten Informationen aktualisiert und schliesst verhaltens- und umgebungsbezogene Merkmale ein. Die Zugriffsregeln sind so granular wie möglich gebaut, damit die geringsten Rechte für die Ausführung der abgefragten Aktion durchgesetzt werden können.
Die drei Konzepte für den Aufbau einer Zero-Trust-Sicherheitsarchitektur:
Quelle NIST: (National Institut of Standards and Technology)
Der identitätsorientierte Ansatz
Der identitätsorientierte Ansatz für eine Zero-Trust-Architektur stellt die Identität der Benutzer, Dienste und Geräte in den Mittelpunkt. Die Richtlinien für den Zugriff auf Unternehmensressourcen basieren auf Identitäten und zugewiesenen Attributen. Hauptsächliche Anforderung sind die einem bestimmten Benutzer, Dienst oder Gerät zugewiesenen Zugriffsrechte. Gleichzeitig können bei der Durchsetzung der Richtlinie auch andere Faktoren wie genutztes Gerät, Status des Assets und Umgebungsfaktoren einbezogen werden, um eine adaptivere Authentifizierung zu gewährleisten.
Der netzwerkorientierte Ansatz
Basiert auf Netzwerk-Mikrosegmentierung der Unternehmensressourcen, die mittels Gateway-Sicherheit geschützt sind. Zur Umsetzung dieses Ansatzes sollte das Unternehmen Infrastrukturgeräte wie intelligente Switches (oder Router), Next Generation Firewalls (NGFW) oder Software Defined Networks (SDN) nutzen, um Richtlinien durchzusetzen und jede einzelne Ressource oder Gruppe verknüpfter Ressourcen zu schützen.
Der cloudbasierte, kombinierte Ansatz
Nutzt die cloudbasierte Zugriffsverwaltung und Software at the Service Edge (SASE) für eine Zero-Trust-Architektur. Die cloudbasierte Zugriffsverwaltung schützt die Identitäten von Cloud-Anwendungen und -Diensten und setzt diese durch, während SASE-Komponenten wie Software Defined Networks (SDN) oder Next Generation Firewalls (NGFW) On-Premise-Ressourcen schützen und den Netzwerkverkehr überwachen.
Künftige Herausforderungen mit Sicherheit meistern
Identität und Endgerät sind die neuen Sicherheitsperimeter für Anwendungen und Daten, für die ein Unternehmen verantwortlich ist. Die Herausforderung liegt darin, eine umfangreiche Sicherheitslösung zu bauen, die Identitäten und Daten schützt. Zero-Trust als Sicherheitskonzept hilft dabei, sich sicher und agil im modernen Cloud- und Hybrid-Umfeld zu bewegen und künftigen Bedrohungen gewachsen zu sein.
Ein wichtiger Erfolgsfaktor ist auch die Entscheidung, wie Zero Trust in die bestehende Unternehmens-IT eingeführt und darin umgesetzt und anwendet wird. Als erprobte Zero-Trust-Spezialisten können wir dank unserer fundierten Erfahrung gerne aufzeigen, welche der verschiedenen Vorgehensvarianten sich für Ihr Unternehmen besonders eignen.
Richten Sie Ihre IT-Strategie jetzt auf das zukunftsgerichtete Zero-Trust-Modell aus
Zero Trust ist nicht nur ein IT-Security-Architekturmodell, sondern auch ein IT-Strategiemodell. Unternehmen sollten zeitnah von der bisherigen Perimeter-Security-Strategie auf das zukunftsgerichtete Zero-Trust-Modell wechseln. Lernen Sie die Vorteile und das Zero-Trust-Maturitätsmodell kennen, welches bei der Definition der neuen Sicherheitsstrategie Ihres Unternehmens eingesetzt werden kann.
Marcel Kistler, unser erfahrener Expert Strategic Consultant, berät Sie gerne zu folgenden Themen rund um Zero Trust:
- Was beinhaltet das Architektur- und IT-Strategiemodell Zero Trust?
- Warum sollten Unternehmen Zero Trust gerade jetzt angehen?
- Welche Vor- und Nachteile bringt das Modell mit sich?
- Wo muss in der Sicherheitsarchitektur angesetzt werden und wie wird Zero Trust nachhaltig im Unternehmen realisiert?
- Wie mit dem Zero-Trust-Maturitätsmodell die Sicherheitsstrategie definiert wird.
10 Tipps – Worauf müssen Sie bei der Einführung von Zero Trust achten?
- Security-Strategieanpassung Teil 1: «Der neue Perimeter ist das Benutzer-Device.» Denn jeder Endpunkt stellt ein Risiko für die gesamte IT-Umgebung dar. Mit Multi-Vector Endpoint Detection & Response können Sie sogar noch über die Überwachung von Geräten hinausgehen und Ihr ganzes Netzwerk im Auge behalten.
- Security-Strategieanpassung Teil 2: «Assume Breach»! Gehen Sie davon aus, dass jedes IT-System kompromittiert werden kann und führen Sie Ihr Unternehmen weg von der klassischen Verteidigung, hin zum zukunftsgerichteten «Detection & Response»-Ansatz. Die bewährte NIST-Methode hilft Ihnen dabei: Cyber Security – Aveniq
- Definieren Sie Ihre «Zero Trust Maturität». Mit dem Maturitätsmodell von Aveniq verschaffen Sie sich die Übersicht über die für Sie relevanten Felder in Ihrem Unternehmen. Wissen, wo man zuerst ansetzen muss, ist Gold wert.
- Definieren Sie Ihre Cyber-Security-Referenz-Architektur «Cover the place». Das bedeutet, dass Sie für jedes Tool, welches in Ihrem Unternehmen zum Einsatz kommt, eine Entscheidung treffen, zu welchem Zweck das jeweilige Tool angewendet wird.
- Definieren Sie Ihr «MIP Konzept». Microsoft Information Protection ist ein Schutz, der immer mit der Datei reist – wohin sie auch geht. Klassifizieren Sie Ihre Inhalte mit den Sensitivity- & Retention-Labels und legen Sie Label-Policies für Ihr Unternehmen fest. Klingt nach viel Aufwand? Auch hier haben wir ein paar Tricks auf Lager, wie MIP effizient im Unternehmen umgesetzt werden kann.
- Definieren Sie Ihre Communication Compliance. In diesen Richtlinien legen Sie fest, wie mit Dokumenten und Nachrichten in Ihrem Unternehmen umgegangen werden soll. So machen Sie die interne und externe Kommunikation Ihres Unternehmens sicherer.
- Aktivieren Sie die MFA «Multi-Factor-Authentication» für alle Benutzer*innen und Administrator*innen Ihres Unternehmens. Vertrauen ist gut, Kontrolle ist immer besser: Die Zugangsberechtigungen werden so durch mehrere unabhängige Merkmale überprüft. Mit der passenden Authenticator-App richten Sie die MFA einfach und komfortabel für Ihre Belegschaft ein. Wir beraten Sie dazu gerne.
- Begraben Sie die veraltete Authentifizierung mittels Passwörter! Mit Passwörtern werden wir immer gegen Angreifer verlieren, egal wie lang, komplex und unmerkbar sie auch sein mögen. Geisseln Sie Ihre Belegschaft nicht länger mit Passwortschlachten, verwenden Sie stattdessen lieber eine passende MFA-Lösung. Schreiten Sie «passwordless» in die Zukunft. Wir zeigen Ihnen gerne, wie das gelingt.
- Segmentieren Sie Ihre Netzwerke in «mikrosegmentierte Applikationszonen». Einige der Vorteile: Automatisierung der Richtlinienerkennung, Vereinfachung der automatisierten Richtlinienanwendung, erweiterte Sicherheit und Kontrollisolation mit einer agentenlosen Architektur sowie eine interne Firewall, um die laterale Ausbreitung von Bedrohungen zu verhindern.
- Steuern Sie alle User, Zugriffe und Devices über «Conditional Access». Der moderne Sicherheitsperimeter erstreckt sich über das gesamte Netzwerk einer Organisation und bezieht alle Benutzer- und Geräteidentitäten mit ein. Verwenden Sie identitätsgesteuerte Signale als Teil Ihrer Zugangskontrollentscheidungen.
Kontaktieren Sie uns, um gemeinsam eine Lösung zu definieren, welche Ihren aktuellen und künftigen Bedürfnissen entspricht.