Die Welt der Sicherheit entwickelt sich ständig weiter und mit ihr die Sprache der Techniker und der Sicherheitsbranche sowie neue Technologien.
Einer der im letzten Jahr immer häufiger vorkommenden Begriffe ist „Zero Trust“. Aber sind wir sicher, dass wir wissen, was es ist?
Wie ich es in diesen Fällen immer tue, ist es ratsam, von Anfang an, dh von der Definition, auszugehen.
Um zu verstehen, was es bedeutet Zero Trust Es ist hilfreich, eine Referenzveröffentlichung zu finden, und in diesem Fall ist es NIST 800-207. Wie schon oft erwähnt, ist das NIST (National Institute of Standards and Technologies of the Department of Commerce of the United States of America) eine unerschöpfliche Informationsquelle.
Insbesondere die Veröffentlichung 800-207 behandelt den Rahmen Zero Trust.
Im Moment ist es der Referenzstandard sowohl für amerikanische Regierungsorganisationen (obligatorisch ab Mai 2021 nach einer Executive Order von Präsident Biden) als auch für alle, die in irgendeiner Weise mit dem verteilten und Cloud-Arbeitsmodell zu tun haben. . Laut Gartner werden bis 2025 mindestens 60 % der Organisationen (öffentliche und private) das Framework einsetzen Zero Trust.
Die Hauptprinzipien des 800-207-Frameworks sind im Wesentlichen drei:
- kontinuierliche Überprüfung. Das heißt, vertraue niemals irgendetwas oder irgendjemandem;
- Einschränkung des Interessenbereichs im Falle eines Unfalls. Implementieren Sie eine Reihe von Verfahren und technischen Maßnahmen, um den durch einen möglichen Unfall verursachten Schaden zu begrenzen;
- Automatische und kontinuierliche Erfassung von Kontext- und Verhaltensdaten, um eine genaue Antwort zu gewährleisten.
Das Modell Zero Trust basiert auf der Annahme, dass die einmalige Überprüfung des Nutzers, seiner Privilegien und der verwendeten Geräte und Dienste nicht ausreicht, um die Sicherheit eines sich ständig weiterentwickelnden Systems zu gewährleisten, in dem sich auch Technologien und Risiken ständig weiterentwickeln.
Der Begriff „Zero Trust“ wurde von John Kindervag (Forrester Research Analyst) mit der Bedeutung von eingeführt vertraue niemals und überprüfe immer!
Dies bedeutet natürlich, viele Daten und Informationen zu sammeln, die Ihnen bei der Verarbeitung eine genaue Vorstellung von der Situation der Benutzer (Berechtigungen, Zeiten, Orte der wahrscheinlichen Verbindung usw.), Geräte, Dienste und Risiken ermöglichen denen unsere Organisation unterliegt.
Wie Sie sich vorstellen können, ist dies keine leichte Aufgabe, aber angesichts des aktuellen Risikoniveaus wahrscheinlich notwendig.
Der Übergang zu einer „Zero Trust“-Organisation ist nicht einfach, da er die Arbeitsweise der Menschen beeinflusst und daher natürliche Widerstände gegen Veränderungen hervorrufen kann, weshalb die Aufgabe eines CISO zumindest in den Phasen der Projektdefinition und darüber hinaus noch komplexer wird in der Regel in den ersten Bewerbungsphasen.
In einigen Märkten könnte dies bedeuten, dass Unternehmen kurzfristig mit einer Erhöhung der Beratungshonorare rechnen müssen.
Bei näherer Betrachtung wäre es notwendig, das Prinzip anzuwenden Zero Trust auch auf der Ebene der Softwareentwicklung und Interaktion zwischen den verschiedenen Komponenten einer Infrastruktur. Tatsächlich basieren viele Angriffe auf dem Fehlen oder der Schwäche von Authentifizierungstools und einer kontinuierlichen Integritätsprüfung zwischen den verschiedenen Modulen. Modell Zero Trust es findet sowohl auf der Mikroebene (Hardware, Betriebssystem, Softwarekomponenten ...) als auch auf der Makroebene (Interaktion zwischen Systemen, Unternehmensorganisation ...) Anwendung.
Im Allgemeinen sind für den Erfolg eines solchen Programms die interne Kommunikation und die Fähigkeit, die Bedürfnisse der Benutzer zu unterstützen, aber vor allem die interne Mitarbeiterschulung äußerst wichtig, um sowohl das Bewusstsein für Cyber-Risiken zu schärfen als auch den Widerstand gegen Veränderungen zu minimieren.
NIST 800-207 ist, wie gesagt, der Referenzrahmen, aber natürlich haben die wichtigsten Sicherheitssignaturen ihre eigene Deklination des „Zero Trust“-Konzepts, das sich oft auf ihre eigenen Produkte bezieht.
Das heißt wie immer Risiken von Lieferantenbindung, dass Sie müssen vor der Implementierung eines Programms sorgfältig evaluiert werden, aber das ist immer so.
Alessandro Rugolo, Maurizio D’Amato, Giorgio Giacinto
Um mehr zu erfahren:
- Was ist Zero-Trust-Sicherheit? Prinzipien des Zero-Trust-Modells (crowdstrike.com)
- Zero-Trust-Modell – Moderne Sicherheitsarchitektur | Microsoft-Sicherheit
- Exekutivverordnung zur Verbesserung der Cybersicherheit der Nation – Das Weiße Haus
- Universal ZTNA ist grundlegend für Ihre Zero-Trust-Strategie | SecurityWeek.Com
