Zerschlagung von ZTDR-Mythen von Jason Garbis
Mythen über Zero Trust entlarven
Zero Trust ist ein lauter und komplexer Markt mit einem hohen Grad an Überschneidung der Lösungen und leider einer Überfülle an Anbieter-Hype. Dies hat zur Entstehung von Zero Trust-Mythen geführt, die wie unerwünschte und giftige Pilze nach einem Frühlingsregen erscheinen. Während wir (leider) im Verlauf dieses Blogbeitrags nichts sprengen werden, werden wir unser metaphorisches Machete auf einige Zero Trust-Mythen anwenden. Also lasst uns in den Nerd-Modus wechseln, unsere Schutzbrillen aufsetzen und einige Mythen entlarven!
Mythos #1: Zero Trust ist schwer
Die Realität ist, dass Informationssicherheit selbst schwer ist, und Zero Trust tatsächlich die Dinge erleichtert. Ein Teil des Missverständnisses könnte darauf zurückzuführen sein, dass Zero Trust eine Sicherheitsphilosophie ist, die einen ganzheitlichen Ansatz betont. Und dies ermutigt die Sicherheitsteams, oft zum ersten Mal, die Dinge aus einer Prozess- und Geschäftsperspektive zu betrachten.
Zero Trust erleichtert dies, weil es Ihnen eine Möglichkeit bietet, einen Teil der Komplexität durch ein einheitliches Richtlinienmodell zu abstrahieren. Zum Beispiel können Sie Zugriffsrichtlinien definieren, die für Benutzer gelten, unabhängig davon, ob sie im Büro (vor Ort) oder remote arbeiten. Dies ist eine erhebliche Verbesserung gegenüber traditionellen Sicherheitsarchitekturen, die völlig unterschiedliche Modelle für remote Benutzer (z.B. VPNs) und vor Ort Benutzer (z.B. NAC) verwenden. Ein weiteres Beispiel - diese Richtlinien können Geräte-Posture-Checks nutzen, auf eine Weise, die konsistent funktioniert, unabhängig davon, ob der Benutzer Windows oder einen Mac verwendet.
Die Erkenntnis: Zero Trust kann einfach sein, um zu beginnen, insbesondere für einen unserer Lieblingsanwendungsfälle, den Zugang zum Datenbackup- und Wiederherstellungssystem abzusichern. Dies sind Systeme von hohem Wert, die oft von Angreifern ins Visier genommen werden, und die Gruppe der Systemadministratoren sollte klein und gut bekannt sein. Um dies zu erleichtern, schlagen wir drei Fragen für Ihr Sicherheitsteam vor:
1. Wie ermöglichen wir sicheren Sysadmin-Zugang zu unserem Datenbackup- und Wiederherstellungssystem?
2. Wie ist das Datenbackup- und Wiederherstellungssystem vor unbefugtem Netzwerkzugang geschützt?
3. Was würde es für Sie bedeuten, wenn wir kontextbezogene und identitätszentrierte Zugriffskontrollen durchsetzen? Wie würde das unsere Sicherheit, Compliance und Betriebsabläufe verbessern?
Hoffentlich werden diese Fragen ein Gespräch über Zero Trust anstoßen und darüber, wie es schnell auf Ihre Datenbackup- und Wiederherstellungsumgebung angewendet werden kann.
Mythos #2: Man muss perfekt sein, um zu beginnen
Wenn wir über Zero Trust sprechen, betonen wir oft die Macht von Zugriffsrichtlinien, die auf Benutzerattributen wie Rollen oder Gruppenmitgliedschaften oder auf Arbeitslastattributen basieren. Dies kann dazu führen, dass die Menschen zu dem falschen Schluss kommen, dass sie ihre Identitätsmanagementprozesse und Gruppenmitgliedschaften sowie ihr Arbeitslastinventar und ihre Freigabeprozesse perfektioniert haben müssen, bevor sie beginnen können. Um den Kultklassiker Repo Man zu zitieren: „schädlicher Unsinn!“
Zero Trust ist eine ungenierte Lernreise und sehr viel eine „Komm wie du bist“-Veranstaltung. Ich habe mit Unternehmen gearbeitet, die eine riesige Vielfalt an Reifegraden in ihren IT- und Sicherheitsökosystemen aufweisen, und jedes von ihnen kann beginnen und kurzfristige Fortschritte auf ihrer Zero Trust-Reise erzielen. Oft können sie eine bessere Sicherheit für ihr Geschäft bieten, indem sie einfach ihre Prozesse verfeinern und die vorhandenen Werkzeuge besser nutzen – ohne zusätzliches Budget für den Erwerb neuer Werkzeuge ausgeben zu müssen.
Die Erkenntnis: Denken Sie über zwei Bereiche relativer Stärke und zwei Bereiche relativer Schwäche in Ihrer Sicherheitsumgebung nach. Zum Beispiel haben Sie vielleicht ein solides Benutzergeräte-Management-Tool, das Sicherheitskonfigurationen durchsetzt. Oder vielleicht haben Sie, wie in vielen Organisationen, eine „unordentliche“ Sammlung von Verzeichnisgruppen (oft als „riesiger Haarknoten“ bezeichnet).
Die Stärken sind gute Kandidaten für die Aufnahme in Ihre anfänglichen Zero Trust-Richtlinien. In unserem Beispiel wäre es einfach und wirkungsvoll, Geräte-Posture-Checks als Teil Ihrer Zugriffsrichtlinien zu verwenden. Die Schwächen sind oft gute Ziele für gezielte Verbesserungen im Rahmen eines Zero Trust-Projekts. Die Bewältigung des riesigen Haarknotens von Verzeichnisgruppen ist ein gewaltiges Unterfangen, aber die Schaffung neuer Gruppen für eine gut verstandene Gruppe von Benutzern – wie Ihre Datenbackup- und Wiederherstellungsadministratoren – ist durchaus machbar und hat auch den Vorteil, klare und saubere Prozesse für die Gruppenmitgliedschaft zu etablieren.
Mythos #3: Zero Trust geht nur um Sicherheit
Während Zero Trust absolut eine Sicherheitsstrategie ist, ist es wichtig, zwei Dinge darüber zu erkennen. Erstens, denken Sie an die grundlegenden Ziele der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit. Die Erreichung der Verfügbarkeit erfordert von den Informationssicherheitsteams, Zero Trust über typische Sicherheitsgrenzen hinaus anzuwenden und den Ansatz ihres Unternehmens für Datenbackup & Wiederherstellung sowie Business Continuity / Disaster Recovery (BC/DR) zu beeinflussen.
Zweitens liefern Zero Trust-Programme absolut geschäftlichen Nutzen. Sie ermöglichen es dem Unternehmen, neue Technologien sicher zu übernehmen, neue Kanäle für sichere Kommunikation und Zusammenarbeit mit Lieferanten, Partnern und Kunden zu öffnen und die Produktivität der Benutzer zu verbessern. Ganz zu schweigen davon, dass sie die Belastung verringern, die Anforderungen an die Einhaltung von Vorschriften zu erfüllen und darüber zu berichten, strategische Geschäftsaktivitäten wie digitale Transformation oder Fusionen & Übernahmen zu beschleunigen und Geschäftsprozesse durch verbesserte Benutzererfahrung und Zugriffsverfahren zu beschleunigen.
Einige dieser Verbesserungen, selbst wenn sie sich auf kleine oder alltägliche Aktivitäten konzentrieren, können überzeugende Ergebnisse liefern. Und kleinere anfängliche Zero Trust-Projekte haben auch den Vorteil, dass sie schnell implementiert und in Betrieb genommen werden können.
Die Erkenntnis: Sprechen Sie mit Ihren Daten- und Anwendungsinhabern über ihre Prozesse und Frustrationen mit Datenbackup- und Wiederherstellungserfahrungen. Wie können die Kategorisierung, das Onboarding, das Testen und die Validierung verbessert werden? Welche zugriffsbezogenen Barrieren kann ein Zero Trust-Projekt beseitigen?
Mythos #4: Zero Trust ist nur eine Initiative der US-Regierung
Es ist wahr, dass die US-Bundesregierung eine öffentliche Haltung zur Verpflichtung zur Übernahme von Zero Trust für ihre Abteilungen eingenommen hat und ihr Bewusstsein und ihre Übernahme verstärkt hat. Sie verdienen viel Anerkennung dafür, da Zero Trust die besten Praktiken und Ansätze unserer Branche verkörpert. Und die von US-Agenturen wie dem National Institute of Standards and Technology (NIST), der National Security Agency (NSA) und dem Department of Defense (DoD) veröffentlichten Zero Trust-Leitfäden und -Architekturen sind solide, wertvoll und global anwendbar für sowohl öffentliche als auch private Organisationen.
Selbst mit all dieser Unterstützung der US-Regierung ist es jedoch wichtig, sich daran zu erinnern, dass Zero Trust im privaten Sektor entstanden ist und von Anbietern, Beratungs- und Analysefirmen sowie Unternehmen weltweit begeistert angenommen und unterstützt wurde. Es gibt auch zahlreiche nicht-US-Regierungen, die Zero Trust übernommen haben, wie Singapur, das Vereinigte Königreich, Kanada, Australien und andere.
Tatsächlich würde ich argumentieren, dass dieser hochgradig dezentrale Ansatz für Zero Trust zu seinem Erfolg beigetragen hat, indem er einen reichen (aber zugegebenermaßen lauten) Marktplatz für Ideen, Lösungen und Ansätze geschaffen hat. Und dieser Marktplatz ist wichtig – selbst mit der Fülle von Dokumenten der US-Regierung gibt es definitiv Bereiche, in denen der private Sektor verbessern und Lücken schließen muss. Zum Beispiel erwähnt das Dokument der NSA „Advancing Zero Trust Maturity Throughout the Data Pillar“ nicht einmal Datenbackup und -wiederherstellung, was ein großer Teil der Mission eines Sicherheitsteams ist. Dafür empfehlen wir unseren Beitrag zur Branche, das Konzept von Zero-Trust-Datenresilienz.
Die Erkenntnis: Überprüfen Sie das NSA Cybersecurity Information Sheet zur Datensicherheit, und lesen Sie dann das Object First Whitepaper als Begleitstück. Nach dem Lesen dieser Dokumente denken Sie darüber nach, wie Ihre Organisation die Datensicherheit im Rahmen Ihrer Zero Trust-Initiative angehen sollte und wie Ihr Datenbackup- und Wiederherstellungssystem gesichert werden sollte.
Fazit: Mythen…Entlarvt!
OK! Lassen Sie uns unsere Schutzbrillen abnehmen, eine Limonade holen und uns setzen. Diese Mythen zu entlarven war harte Arbeit, aber hoffentlich haben wir dadurch Klarheit geschaffen und Ihre Reise zu Zero Trust erleichtert.
Informationssicherheit ist schwer, und daran besteht kein Zweifel. Aber es ist auch ein unterhaltsamer, herausfordernder und lohnender Beruf. Unsere Unternehmen dabei zu unterstützen, ihre Mission zu erreichen, unsere Benutzer sicher und produktiv zu halten und unsere Daten sicher und widerstandsfähig zu machen – das sind würdige und bedeutungsvolle Ziele. Also lassen Sie uns weitermachen, Mythen von Fakten unterscheiden und daran arbeiten, Fortschritte auf unseren Zero Trust-Reisen zu erzielen.