Vertrauen ist ein Luxus, von dem IT-Führungskräfte gelernt haben, dass sie ihn sich nicht leisten können, wenn es um Identity and Access Management (IAM) geht.
In den letzten zehn Jahren und darüber hinaus hat sich das Konzept des traditionellen Perimeters aufgelöst. Was nicht nachgelassen hat, ist die Notwendigkeit für Unternehmen, ihre Angriffsfläche zu reduzieren und den Zugriff zu kontrollieren. Diese Realität hat Zero Trust als grundlegende Komponente der Cybersicherheit etabliert. Dennoch lernen Unternehmen auch nach 15 Jahren, dass der Weg zu Zero Trust nicht immer geradlinig ist.
"Viele denken, Zero Trust sei etwas, das man einfach kaufen kann", sagt Bob Lyons, Senior Solutions Engineer bei Okta. "Aber es ist kein einzelnes Produkt; es ist ein strategisches Framework und eine Philosophie, die eine Kombination aus Richtlinien, Prozessen und integrierten Technologien erfordert." Sie können nicht einfach eine Lösung kaufen und Zero Trust-konform sein."
Lyons war der Haupttechniker von Okta für die Special Publication (SP) 1800-35 des National Institute of Standards and Technology (NIST), die im Juni veröffentlicht wurde. Das Dokument bietet Einblicke, wie eine Zero Trust Architektur (ZTA) von 24 Branchenmitarbeitern, darunter Okta, aufgebaut werden kann. Es werden auch 19 Showcases von Implementierungsbeispielen präsentiert, die mit kommerziellen, von der Stange erhältlichen Lösungen entwickelt wurden.
"Wir erkennen deutlich die Notwendigkeit, insbesondere da Unternehmen mit zunehmend verteilten Belegschaften, Multi-Cloud-Umgebungen und komplexen Bedrohungslandschaften konfrontiert sind", sagt Lyons.
Zero Trust in die Realität umzusetzen, ist jedoch eine Journey der kleinen Schritte.
Am Anfang gab es Vertrauen.
Traditionelle Sicherheitsmodelle gingen davon aus, dass alles innerhalb des Netzwerks vertrauenswürdig war. Da jedoch Sicherheitsverletzungen immer häufiger auftraten, wurde deutlich, dass ein neuer Ansatz erforderlich war – einer, der den Benutzern nach der Authentifizierung nicht blindlings unendliches Vertrauen schenkte. Dieses Vertrauens-aber-Verifizieren-Modell wurde schließlich durch einen strengeren Ansatz ersetzt: Vertrauen ist gut, Kontrolle ist besser. Zero Trust wurde entwickelt.
Heute hat die perimeterlose Natur von Unternehmen dazu geführt, dass Zero Trust zu einer Grundvoraussetzung geworden ist. Dennoch existieren immer noch Mythen über Zero Trust. Zwei davon halten sich hartnäckig: die Vorstellung, dass Zero Trust ein Produkt und das A und O der Cybersicherheitsstrategie ist, sagt Alper Kerman, einer der Mitautoren von SP 1800-35.
"Zero Trust ist kein Ersatz für bestehende Sicherheitsmaßnahmen, sondern eine Sicherheitsstrategie, die mit anderen Sicherheitsansätzen integriert werden muss, um eine robustere und ganzheitlichere Sicherheitslage zu schaffen", sagt Kerman.
Dies ist das Ziel der Service Provider 1800-35-Anleitung: Unternehmen auf ihrem Implementierungspfad mit praxisnahen Beispielen zu unterstützen. Um zu beginnen, empfiehlt das NIST den Unternehmen, die folgenden Schritte zu befolgen:
Entdecken und inventarisieren Sie die bestehende Umgebung.
Erstellen Sie Zugriffsrichtlinien, die geschäftliche Anwendungsfälle Support bieten
Identifizieren Sie bestehende Sicherheitsfunktionen und Technologien.
Verwenden Sie einen risikobasierten Ansatz, der auf den Wert der Daten fokussiert ist, um Richtlinienlücken zu schließen
Implementieren Sie Zero-Trust-Komponenten und nutzen Sie schrittweise die bereitgestellten Sicherheitslösungen
Überprüfen Sie die Implementierung, um Zero Trust-Ergebnisse zu unterstützen.
Kontinuierlich verbessern und weiterentwickeln als Reaktion auf Veränderungen in der Bedrohungslandschaft, der Mission, der Technologie und den Anforderungen.
Die Integration von Zero Trust-Prinzipien in bestehende, oft heterogene IT-Umgebungen kann eine schwierige Aufgabe sein, sagt Lyons und fügt hinzu, dass kultureller Widerstand gegen Veränderungen ebenfalls erhebliche Hürden darstellen kann.
"In den letzten Jahren hat die rasche Einführung von KI diesen Herausforderungen neue Facetten hinzugefügt", sagt er. "Während KI ein immenses Potenzial zur Verbesserung der Zero-Trust-Funktionen durch automatisierte Bedrohungserkennung und adaptive Zugriffsrichtlinien bietet, eröffnet sie auch neue Angriffspunkte und Bedenken hinsichtlich der Datenintegrität, die Unternehmen proaktiv in ihren Zero-Trust-Frameworks angehen müssen." Es ist eine kontinuierliche Evolution."
Erfolgsmessung
Die Erfolgsmessung ist entscheidend und beginnt damit, dass Sicherheitsverantwortliche eine klare Ausgangsbasis für die Sicherheitslage ihrer Umgebung festlegen, fügt Lyons hinzu. Einige wichtige Kennzahlen, die es zu berücksichtigen gilt, sind der Prozentsatz bekannter Bedrohungen, die erfolgreich durch Zero-Trust-Kontrollen identifiziert und blockiert werden, der Prozentsatz der Benutzer, die die Multi-Faktor-Authentifizierung (MFA) nutzen, und die Erfolgsrate bei der Verweigerung unbefugten Zugriffs zu überwachen.
"Regelmäßige Audits und Überprüfungen von Richtlinien sind ebenfalls entscheidend, um sich an sich entwickelnde Bedrohungen und sich ändernde Geschäftsanforderungen anzupassen", sagt Lyons und fügt hinzu, dass die Kultivierung einer starken Sicherheitskultur mit fortlaufendem Training die kontinuierliche Wachsamkeit erleichtern wird.
Kerman sagt, dass Unternehmen auch die Anzahl der Sicherheitsverletzungen, die Zeit bis zur Bedrohungserkennung und die Häufigkeit, mit der Anomalien und Schwachstellen aufgrund verstärkter kontinuierlicher Überwachung entdeckt werden, tracken können.
„Die Analyse verschiedener Arten von Logs und Telemetriedaten, die aus der Umgebung gewonnen werden, kann dazu beitragen, die Sicherheit zu erhöhen, indem bestehende Zugriffsrichtlinien angepasst und neue, granularere Richtlinien erstellt und hinzugefügt werden“, sagt Kerman „ZTAs werden im Laufe der Zeit widerstandsfähiger, indem sie diese Arten von Kennzahlen und verschiedene Arten von Logs nutzen, um die Sicherheitslage der Organisation zu stärken.“
Eine strategische Priorität
"Zero Trust ist nicht nur Technik; es ist strategisch", sagt Lyons.
Unternehmen sollten ihre Zero-Trust-Bemühungen auf ein kritisches, wertvolles Asset oder ein spezifisches Netzwerksegment konzentrieren. Er weist darauf hin, dass die Verknüpfung von Zero-Trust-Zielen mit Geschäftszielen die Wahrscheinlichkeit erhöhen kann, die Zustimmung der Führungskräfte und die notwendigen Ressourcen zu erhalten, um eine Zero-Trust-Architektur zu verwirklichen.
„Wenn beispielsweise der Schutz geistigen Eigentums im Vordergrund steht, sollte das Scoping auf F&E-Umgebungen ausgerichtet sein“, erklärt Lyons „Die Ausrichtung von Zero Trust auf Geschäftsergebnisse hilft, die Bemühungen zu priorisieren und einen klaren Mehrwert aufzuzeigen.“
Mehr erfahren, warum Identity der neue Sicherheitsperimeter ist, lesen Sie The ‘superuser’ blind spot: Why AI agents demand dedicated identity security.
