Aufbau einer Zero Trust Architektur (ZTA) Neue Sicherheitsmodelle für die moderne Arbeitswelt

Anbieter zum Thema

TXOne Networks

Specops Software GmbH

SANS Institute, EMEA

Der Grad an Professionalisierung der Cyberkriminalität hat in den letzten Jahren zugenommen, obwohl sich der öffentliche Sektor und die Privatwirtschaft in großem Umfang für eine Verbesserung der IT-Sicherheitslage eingesetzt haben. Bedrohungsakteuren gelingt es dennoch weiterhin, strenge Sicherheitsvorkehrungen scheinbar mühelos zu umgehen.

Dieses Paradox ist größtenteils auf die Diskrepanz zwischen den üblichen Sicherheitskontrollen und der sich entwickelnden Cyber-Bedrohungslandschaft zurückzuführen. Mit der gesellschaftlichen Akzeptanz von Remote- und hybriden Arbeitsumgebungen nach COVID-19 haben Unternehmen die Nutzung von Cloud-Technologien, -Diensten und Anwendungen von Drittanbietern in rasantem Tempo in ihre Arbeitsabläufe integriert.

Diese neue Arbeitsweise hat die Angriffsfläche exponentiell vergrößert und bietet Angreifern ein breiteres Spektrum an externen Schwachstellen, auf die sie mit Social-Engineering-Kampagnen und Malware-basierten Angriffen reagieren können. Vom Aufkommen neuer Kanäle für die geschäftliche Zusammenarbeit wie Slack und Microsoft Teams bis hin zum kometenhaften Aufstieg von IoT-Geräten ist der digitale Fußabdruck eines Unternehmens angreifbarer denn je.

Erschwerend kommt hinzu, dass viele Unternehmen in Sicherheitslösungen investiert haben, die ursprünglich für den Schutz komplexer On-Premises-Umgebungen konzipiert waren, nicht aber für die unstrukturierten Datenbestände ihrer Cloud-basierten Geschäftsökosysteme. Angesichts der zunehmenden Raffinesse und Finanzierung der modernen Cyberkriminalität müssen Unternehmen davon ausgehen, dass ihr Netzwerk angegriffen wird - das heißt, es ist nicht eine Frage des „Ob“, sondern des „Wann“.

Um dieser veränderten Dynamik gerecht zu werden, ist es wichtig, sich von den alten, auf dem Netzwerkperimeter basierenden Kontrollen zu lösen und eine flexiblere Zero-Trust-Architektur (ZTA) zu entwickeln, die Angreifer daran hindert, nach dem unvermeidlichen Einbruch irreparable Schäden zu verursachen.

Die Bausteine der ZTA

Das ZTA-Modell geht über ein einzelnes Element oder eine Kontrolle hinaus. Es handelt sich vielmehr um eine vorgeschriebene Lebensweise, die Sicherheit in jede Ebene des Unternehmens einwebt und Richtlinien für eine effiziente Schadensbegrenzung im Falle einer Kompromittierung enthält. Durch die Aufhebung des impliziten Vertrauens und des darauf basierenden Zugriffs auf bestimmte Berechtigungen wird die Fähigkeit eines kompromittierten Kontos, im digitalen Ökosystem des Unternehmens Schaden anzurichten, reduziert.

Das Erreichen einer echten Zero-Trust-Umgebung ist beileibe kein einfaches Szenario. ZTA erfordert eine komplette architektonische Überarbeitung, die eine kalkulierte Planung, Integration, Zugriffs- und Betriebsverwaltung sowie Verifizierungsmechanismen umfasst. Sie kann sicherlich nicht mit einem Blick auf alte Praktiken erreicht werden.

Zu den grundlegenden Komponenten von ZTA gehören die Identifizierung sowie Inventarisierung von Unternehmensressourcen, die Festlegung von Zugriffsrichtlinien, die Festlegung, wo diese Richtlinien implementiert werden sollen und die Kontrolle der Wartung dieser Richtlinien. Die Einführung von ZTA kann jedoch nur mit einem umfassenden Einblick in die bestehende digitale Infrastruktur eines Unternehmens beginnen, um herauszufinden, welche Assets für Angreifer von höchstem Wert sind. Je attraktiver der Vermögenswert ist, desto strengere Zugriffsrichtlinien werden eingeführt.

Ein Beispiel für einen wertvollen Vermögenswert in einem Gesundheitssystem könnten sensible medizinische Patientenakten mit personenbezogenen Daten sein. Bei einem Finanzinstitut könnte es sich um Datenprotokolle handeln, in denen die Transaktionen von Drittanbietern und die Bankkontonummern eines Großunternehmens aufgeführt sind. Bei Regierungsbehörden könnte es sich um vertrauliche Informationen zu Fragen der öffentlichen Sicherheit handeln. Alles hängt von den Bedingungen ab, die für die Sicherheitsumgebung des Unternehmens gelten, aber unabhängig von der Größe oder dem Sektor sind die Unternehmen dafür verantwortlich, dass ihre Vermögenswerte nicht für böswillige Zwecke missbraucht werden.

Absicherung der hybriden Angriffsfläche

Viele Unternehmen, die von lokalen zu hybriden Arbeitsumgebungen übergegangen sind, verlassen sich immer noch auf virtuelle private Netzwerke (VPN), die Remote-Benutzern gemeinsamen Zugriff auf eine Vielzahl von Endpunkten und Anwendungen gewähren. Wenn jedoch ein Ransomware-Akteur das richtige Konto mit den richtigen Berechtigungen über ein Phishing-Verfahren per E-Mail stehlen würde, wäre dieses VPN im Grunde nutzlos. Nachdem er den engen Schutz des Netzwerks umgangen hat, hält ihn nichts mehr davon ab, das kompromittierte Konto zu nutzen, um sensible Daten zu verschlüsseln und zu erpressen.

Hätte dasselbe Unternehmen jedoch ein ZTA-Modell in seine Sicherheitsumgebung integriert, würden Zugriffsentscheidungen stattdessen an einem zentralen Policy Decision Point (PDP) definiert und nach dem Prinzip der geringsten Berechtigung auf den einzelnen Benutzer abgestimmt. Nachdem der Ransomware-Akteur Zugang zu den gestohlenen Anmeldeinformationen erhalten hat, wäre ein System zur Durchsetzung von Richtlinien (Policy Enforcement Point, PEP), dass die Aktivitäten des Kontos kontinuierlich überwacht, bereits in der Lage, verdächtige Verhaltensweisen zu erkennen und die Sitzung in Echtzeit zu beenden - und so die Auswirkungen des Einbruchs abzumildern. Die von der PDP/dem PEP verwalteten Richtlinien legen für jede Sitzung fest, auf welche Ressourcen jeder Benutzer auf der Grundlage bestimmter Schlüsselkriterien zugreifen darf und auf welche nicht.

Fazit

Zusammenfassend lässt sich sagen, dass Angreifer viel zu viel Erfolg mit ihren Angriffen auf die modernen Unternehmen von heute gehabt haben. Auch wenn das Wachstum von Unternehmen und die Implementierung von Infrastrukturen, gefolgt von neuen Sicherheitstools und Sicherheitskontrollen, weiter voranschreiten, finden Bedrohungsakteure immer wieder Schwachstellen, die sie ausnutzen können. Die Situation wird noch komplizierter, wenn wir die Auswirkungen der letzten 24 bis 36 Monate aus der Sicht der Datenverarbeitung und der Unternehmensarchitektur betrachten.

Mit der Einführung von ZTA ist jedoch noch nicht alle Hoffnung verloren. Unternehmen mit einer Vielzahl von Ressourcen, Systemen, Anwendungen und Daten auf globaler Ebene benötigen ein Sicherheitsmodell, das mit der Geschwindigkeit wachsen kann, mit der sich das Unternehmen weiterentwickeln möchte - und nicht mit einer Geschwindigkeit, die das Wachstum behindert oder Lücken schafft, die Angreifer ausnutzen können.

Über den Autor: Matt Bromiley ist Instructor beim SANS Institute.

(ID:49630558)