:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Abschied vom Perimeter Ist Ihre Architektur bereit für SASE?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Im Zeitalter der Cloud befinden sich IT-Infrastrukturen inmitten tiefgreifender Veränderungen, welche die Art und Weise, wie Anwendungen und Daten bereitgestellt und genutzt werden, deutlich umstrukturieren. Immer mehr Unternehmen erkennen, dass sich ihre physische Netzwerk- und Sicherheitsinfrastruktur weiterentwickeln muss, um ihre Umgebungen, in denen sich der Perimeter immer mehr auflöst, effektiv schützen zu können.
Cloud-Dienste, Security und Networking konvergieren und schaffen ein neues Modell, bei dem Sicherheit und Networking nicht mehr nur aus einzelnen Anwendungen und Geräten bestehen, sondern als Software-Dienste neben Cloud-basierten Anwendungen bereitgestellt werden.
Gartner hat den Begriff SASE (Secure Access Service Edge) geprägt, um dieses neu entstehende Sicherheits- und Netzwerk-Framework zu beschreiben. Die Analysten weisen auf sieben Bereiche hin, in denen Sicherheits- und Netzwerkteams ihre Architektur mit Blick auf die Vorteile von SASE überprüfen sollten. Im Folgenden werfen wir einen Blick auf diese Bereiche und zeigen die sich hieraus ergebenden Vorteile, um Sicherheits- und Netzwerkteams zu helfen, ihre Position bei SASE einordnen zu können.
:quality(80)/images.vogel.de/vogelonline/bdb/1675700/1675778/original.jpg "Secure Access Service Edge (SASE) bedeutet im Idealfall, dass Unternehmen Sicherheitsfunktionen komplett als Cloud-Service von einem Dienstleister erhalten. (gemeinfrei)")
Secure Access Service Edge (SASE)
Sicherheit für Edge und Multicloud
Von einzelnen Sicherheitslösungen hin zu richtlinienbasierten Sicherheitsdiensten durch eine Cloud-native, auf Mikrodiensten basierende Umgebung.
Eine Architektur, die auf traditionelle Netzwerk- und Sicherheitsanwendungen gründet, welche lediglich als Software in die Cloud portiert wurden, ist nicht SASE-fähig. Dennoch ist dies ein weit verbreiteter Ansatz, obgleich er nicht skaliert, unter Interoperabilitätsproblemen leidet, nicht in der Lage ist, neue Funktionen schnell bereitzustellen und Sicherheitsservices mit einer viel zu hohen Latenz liefert. Nur eine native Cloud-Architektur kann nahtlose Sicherheitsdienste bereitstellen, die den Anforderungen an die Risikominderung in vollem Umfang entsprechen. Es gibt wenig Zweifel daran, dass Cloud-nativen Umgebungen die Zukunft gehöret, da sie sich schnell an den sich wandelnden Netzwerk- und Sicherheitsanforderungen anpassen können und in der Lage sind, neue Produkte nativ zu erstellen und Sicherheitsservices bereitzustellen, ohne dabei die Produktivität des Unternehmens zu behindern oder die Nutzerfreundlichkeit zu beeinträchtigen. Als entsprechend zukunftssicher gelten Investitionen in diesem Bereich der IT-Security.
Die Kombination von Cloud- und Web-Sicherheitstechnologien vereinfacht den Betrieb und senkt die Kosten.
Eine SASE-Infrastruktur unterstützt Unternehmen bei der Implementierung konsistenter Sicherheitskontrollen für SaaS-, Web- und IaaS-Dienste, wodurch die Angriffsflächen minimiert und sensible Daten geschützt werden. Eine SASE-fähige Infrastruktur bietet Secure Web Gateway (SWG)-Funktionen neben anderen Cloud-basierten Netzwerk- und Sicherheitsdiensten wie Cloud Access Security Broker (CASB), Data Loss Prevention (DLP) und Advanced Threat Protection (ATP). Dies ist notwendig, da Unternehmen ihre Anwendungen in die Cloud verlagern und sich nicht mehr auf lokale Firewalls zum Schutz ihrer Daten verlassen können (etwa weil diese Appliances für modernen Cloud-Verkehr wie API-Aufrufe und JSON blind sind). Unternehmen benötigen tiefergehende Sicherheitskontrollen, um einen genaueren Einblick in die Aktivitäten zu erhalten, die über SaaS-, Web- und IaaS-Dienste sowie über gemanagte und nicht gemanagte Geräte hinweg durchgeführt werden.
Durch die Vereinheitlichung dieser Fähigkeiten innerhalb einer einzigen Architektur ermöglicht das SASE-Konzept Unternehmen die Identifizierung und Dekodierung sowohl des Webverkehrs als auch der Cloud-basierten Anwendungen, wobei detaillierte Zusammenhänge wie persönliche und Unternehmensinstanzen derselben Cloud-Anwendung (z.B. Office 365, Gmail, Slack) aufgezeigt werden können. Unternehmen sind so in der Lage, ein umfassendes Bild der Bedrohungslandschaft zu erhalten, das den Kontext der integrierten Sicherheits- und Netzwerkdienste innerhalb der SASE-kompatiblen Plattform einbezieht. Dieses konsolidierte Cloud-Gateway stellt ein SWG der nächsten Generation (NG SWG) dar: Es erweitert den Schutz durch die Identifizierung, das Management und die Sicherung von Web-Datenverkehr und cloudbasierten Anwendungen, die Erkennung und Eindämmung cloudbasierter Bedrohungen und die Durchsetzung von Schutzfunktionen bei Datenverlusten – alles mit einer einheitlichen Engine zur Definition und Durchsetzung von Richtlinien.
Die erfolgreiche Kontrolle der Bewegung sensibler Daten durch kontextbezogene Kontrollen und ein datenzentriertes Sicherheitsmodell.
Datensicherheit ist ein integraler Bestandteil von SASE. Moderne Cloud-DLP-Lösungen bieten vollständige Transparenz und im besten Fall eine Kontexterkennung der Datenbewegung über die Cloud hinweg sowie eine Begrenzung von Datenverlusten und Exfiltrationen. Um DLP zu skalieren und zu optimieren, müssen die Richtlinien dabei datenzentriert sein und unabhängig vom Endpunkt oder Cloud-Service auf die Daten angewendet und verfolgt werden. Die Verwaltung von DLP-Richtlinien wird innerhalb eines SASE-Frameworks vereinfacht, da dieselben Richtlinien auf alle Cloud-Anwendungen und Websites angewendet werden können. Auf diese Weise wird sichergestellt, dass dieselben DLP-Richtlinien auf abgelegte, „statische“ Daten (data-at-rest) und „dynamische“ Daten, auf die (gerade) zugegriffen wird (data-in-motion), angewendet werden. Zudem sollte ein SASE-fähiges Framework Daten effektiv identifizieren und klassifizieren sowie ein genaues Verständnis zur Unterstützung von Richtlinien auf der Grundlage von Kontexten wie Benutzer, Gerätetyp, Dateityp, Datenkennungen und mehr liefern.
Schutz vor Cloud-basierten Bedrohungen und Kombination von Kontrollen für Bedrohungen und Daten für eine effiziente und umfassende Kontrolle in einem Schritt.
Angesichts der rapiden Zunahme von Cloud-basierten Bedrohungen wie etwa Phishing und Drive-by-Angriffen, bieten traditionelle Lösungen nur eine begrenzte Transparenz und stellen so ein erhebliches Risiko dar. Gefragt ist eine skalierbare native Cloud-Plattform, um den Schutz vor Bedrohungen in der Cloud in Echtzeit (schnelles Scannen) und in der Tiefe (Sandboxing) zu unterstützen. Hierdurch können jegliche Malware und Bedrohungen effektiv erkannt und entsprechend bekämpft werden.
Eine ATP-Lösung, die auf dem SASE-Modell basiert, kann erheblich dazu beitragen, die Komplexität und Kosten für SecOps und Incident Response (IR)-Teams zu reduzieren und gleichzeitig die Wirksamkeit und den Umfang der Bedrohungsabwehr zu verbessern. Sie kann auch dabei helfen, alle Sicherheitsereignisse, die über gemanagte und nicht gemanagte Clouds hinweg gesammelt werden, zu zentralisieren und eine einzige, konsolidierte Ansicht aller Aktivitäten zu erhalten. Um effektiv zu sein, muss diese Lösung umfang- und aufschlussreiche Metadaten aus dem Web- und Cloud-Verkehr zur weiteren Analyse und Untersuchung sammeln.
:quality(80)/images.vogel.de/vogelonline/bdb/1681400/1681404/original.jpg "Das neue eBook „Zero Trust – Sicherheit vor Vertrauen“ stellt das Konzept vor und zeigt, warum Zero Trust eine logische Konsequenz der fortschreitenden Digitalisierung ist. (Production Perig - stock.adobe.com)")
Neues eBook „Zero Trust“
Zero Trust wird in der Digitalisierung immer wichtiger
Zero-Trust-Ansatz als Strategie für Fernzugriffe.
Für den Fernzugriff haben sich Sicherheitsteams traditionell auf komplexe und teure VPN-Appliance-Implementierungen verlassen, die nicht skalierbar sind und wachsende Wartungskosten verursachen, aber gleichzeitig schwer zu verwalten sind. Gleichwohl können durch den traditionellen „offenen“ Netzwerkzugang von VPNs sensible Daten leicht exfiltriert werden und kompromittierte Konten oder (böswillige) Insider sich lateral innerhalb des Netzwerks bewegen. SecOps-Teams benötigen eine moderne Lösung für den sicheren Zugang, die sich leicht skalieren lässt und gleichzeitig den sicheren Zugriff von Remote-Benutzern auf ausgewählte private Anwendungen in öffentlichen Clouds und Rechenzentren unabhängig vom Standort ermöglicht. Ein SASE-Anbieter kann eine Cloud-Sicherheitslösung bereitstellen, die den Zugriff auf private Applikationen auf Anwendungsebene auf der Grundlage von Zero Trust-Prinzipien ermöglicht. Dies umfasst die Authentifizierung von Benutzern sowie die Überprüfung und Klassifizierung des Gerätestatus, bevor Benutzer mit definierten privaten Anwendungen verbunden werden.
Ein robustes, globales Edge-Netzwerk, das hochleistungsfähig ist, eine hohe Kapazität aufweist und „Cloud-lastige“ Kommunikation unterstützen kann, bildet das Rückgrat für SASE.
Die globale Netzwerkarchitektur eines Anbieters ist entscheidend dafür, wie lange Kundendaten zu und von den nächstgelegenen Points of Presence (POP) unterwegs sind, bevor sie verarbeitet werden, was die End-to-End-Latenzzeit potenziell erhöht. Letztlich beeinflusst die zugrunde liegende Netzwerkinfrastruktur den Umfang und die Wirksamkeit der Sicherheitskontrollen, wobei traditionelle Netzwerke für ein SASE-Modell nicht geeignet sind.
:quality(80)/p7i.vogel.de/wcms/79/cf/79cffa163c747ed010d471a109828b03/89373832.jpeg "Mit SASE wird IT-Sicherheit selbst zu einem Cloud Service, der sich auf allen Endgeräten anwenden lässt, unabhängig davon, womit die Nutzer auf Apps zugreifen. (Bild: gemeinfrei)")
Sicherheit für SD-WAN mit SASE
Neues Sicherheitskonzept für SD-WAN
Ein Anbieter, der den Prinzipien der SASE-Idee folgt, stellt seine Dienste über ein globales Cloud-Edge-Netzwerk zur Verfügung und bietet Sicherheitsservices, die dem Nutzer am nächsten sind, optimiert das Routing und die Verfügbarkeit und ermöglicht gleichzeitig Sicherheitsfunktionen wie DLP und ATP inline. Dies ermöglicht eine schnelle Verarbeitung mit minimaler Latenz und Unterbrechung für den Anwender. Anbieter, die den Kundenverkehr zu zentralen Rechenzentren zurückführen, handeln im Grunde gegen das SASE-Modell und sind nicht in der Lage, alle erforderlichen Netzwerk- und Sicherheitsdienste zu liefern, die von Unternehmen verlangt werden.
SASE ermöglicht auch eine nahtlose Integration der SD-WAN-Funktionalität in einer Cloud-basierten Architektur, in der die SD-WAN-Funktionalität nativ neben den Sicherheitsservices aufgebaut ist, was die Skalierung der Leistung und Bereitstellung für die Benutzer von Remote-Büros erleichtert. SASE-fähige Architekturen ermöglichen es, SD-WAN-Edge-Lösungen direkt mit dem Edge-Cloud-Netzwerk zu verbinden, wodurch die Komplexität der Bereitstellung physischer SD-WAN-Hubs vermieden und die Kosten und die Komplexität der Bereitstellung mehrerer Netzwerk- und Sicherheitsanwendungen im gesamten Unternehmensnetzwerk reduziert werden. Dieses Zugriffsmodell kann auch dazu beitragen, Overlays zu vereinfachen, die die Komplexität für die Verwaltung des Unternehmensnetzwerks erhöhen.
Integrierte Tools für Management- und Verwaltung reduzieren die Komplexität und steigern die Effizienz.
Die meisten großen Sicherheitsanbieter bieten ein Portfolio von hardware- und softwarebasierten Sicherheitsprodukten an, die durch die Übernahmen anderer Firmen realisiert wurden. Aber auch wenn eine gewisse Integration vorhanden ist, haben die SecOps-Teams mit der komplexen Gestaltung, Konfiguration und Verwaltung ihrer Sicherheitsinfrastruktur zu kämpfen. Im Gegensatz dazu sollte eine SASE-Lösung eine vollständig einheitliche Verwaltung und Administration ermöglichen. Entsprechend sollte man sich vor Produkten hüten, die zwar mit einem „SASE“-Label versehen wurden, aber separate Konfigurationen und Dashboards erfordern, um mehrere Produkte zu gemeinsamen Arbeitsabläufen zu verbinden. Eine „echte“ SASE-fähige Lösung sollte REST-APIs sowie die gemeinsame Nutzung von Bedrohungsinformationen auf der Grundlage von Standards bieten, um ihre Funktionalitäten erweitern zu können.
Ein SASE-Framework bringt wesentliche Sicherheitsservices in einem Cloud-nativen Modell zusammen, das globale Netzwerke mit hoher Kapazität und niedriger Latenz für eine optimierte Anwenderfreundlichkeit nutzt. Unternehmen, die sich für SASE entscheiden, profitieren von einer vereinfachten Umgebung, die auf der Konsolidierung mehrerer Sicherheitstechnologien basiert, sowie von reduzierten Kosten und einer deutlich verbesserten Anwenderfreundlichkeit sowohl für Endbenutzer als auch für Administratoren. Entscheidend ist, dass Unternehmen durch die Einführung einer SASE-Architektur wesentlich besser vor neu auftretenden Bedrohungsfaktoren geschützt und besser gerüstet sind, um den Anforderungen des Datenschutzes und der Datensicherheit auch in Zukunft gerecht zu werden.
Über den Autor: Thomas Ehrlich ist Country Manager DACH von Netskope.
(ID:46667727)
:quality(80)/images.vogel.de/vogelonline/bdb/1881500/1881549/original.jpg "Tommy Grosche, Senior Channel Director Germany bei Fortinet, hält den hybriden SASE-Ansatz in der fertigenden Industrie für sinnvoller als das reine Cloud-Modell. (Fortinet)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")