Warum Zero-Trust-Netzwerkzugang nicht die universelle Lösung ist

Am 19. September 2024 waren bei Kevin Crane, Moderator von Digital Transformation, Jean Carlos, VP Cyber Security, BOXT, Sasha Henry, Senior Managing Consultant, Cyxcel, und Karim Eldefrawy, CTO und Mitbegründer, Confidencial, zu Gast.

 

Meinungen zu den Nachrichten

Mit der Einführung eines neuen Cybersicherheitsgesetzes (Cyber Security Bill) hat Australien einen wichtigen Schritt in der Gesetzgebung zum Thema Cybersicherheit getan: Unternehmen müssen Zahlungen von Ransomware an die Regierung melden. Der Gesetzentwurf, der dem australischen Bundesparlament am Donnerstag vorgelegt wurde, soll die Bekämpfung von Cyber-Bedrohungen in Australien nach einer Reihe von öffentlichkeitswirksamen Angriffen verbessern. In den USA gibt es bereits eine Meldepflicht für Cyberangriffe und es wird erwartet, dass andere Regierungen weltweit diesem Beispiel folgen werden - auch in der EU gibt es NIS2 und DORA. Die Regulierung nur bestimmter Arten von Cyberangriffen birgt das Risiko, dass Cyberkriminelle neue Arten von Bedrohungen entwickeln. Da die Teams für Cybersicherheit durch die Einhaltung von Vorschriften bereits überlastet sind, könnte die Einführung neuer Gesetze kontraproduktiv sein. Es stellt sich auch die Frage, zu welchem Zeitpunkt der forensischen Untersuchung die Berichterstattung erfolgen sollte und welche Details sie über den Angriff enthalten sollte. Die Berichterstattung im Bereich der Cybersicherheit wird durch die Geschwindigkeit, mit der sich Vorfälle in diesem Bereich ereignen, noch schwieriger.

 Darum ist Data Labelling der Schlüssel zu ZeroTrust

 

ZeroTrust steht für Widerstandsfähigkeit und Schutz, wenn das Vertrauen schwindet. Das Framework gibt es in der Verteidigung schon seit langem, und jetzt wird es auch von der Geschäftswelt übernommen. Ein erhebliches Hindernis bei der Anpassung sind die Schwierigkeiten, die Datenklassifizierung und -verwaltung sowie die Mikrosegmentierung unstrukturierter Daten mit sich bringen. Eine derartig große Umstellung erfordert eine komplette Umstrukturierung der Netzwerkarchitektur, die Neukonfiguration der Zugriffskontrollen in getrennten OT- und IT-Umgebungen. Aufgrund des Umfangs eines solchen Projekts erfolgt die Umstellung auf ZeroTrust oft schrittweise. Die Umstellung erfordert auch eine große Anzahl von Ingenieuren und Schulungen für die Mitarbeiter, um ihnen die Nutzung der Technologie beizubringen.

 Auch die Kryptographie spielt eine wichtige Rolle. Transport Layer Security (TLS), ein Sicherheitsprotokoll, das den Netzwerkverkehr verschlüsselt, um Daten und Privatsphäre zu schützen, ist zum Beispiel ein großer Erfolg. Die Anwendung von ZeroTrust auf die Daten kann weniger einschneidend oder störend sein, als die gesamte Infrastruktur zu zerreißen. Der Sinn des TCP/IP-Stacks, einer Reihe von Kommunikationsprotokollen, die die Datenübertragung zwischen Computern im Internet regeln, liegt in der Unabhängigkeit von der Infrastruktur auf der höchsten Ebene. Wenn die Daten außerdem in Dateien und Containern gesichert werden, besteht die Sicherheit unabhängig davon, wo die Daten letztendlich gespeichert werden. Ein Unternehmen muss herausfinden, wo sich seine wichtigsten Daten befinden, und je nachdem, wie oft und von wie vielen Benutzern eine bestimmte Art von Daten genutzt wird, unterschiedliche Sicherheitsstufen anwenden. Trotz der Komplexität von ZeroTrust gilt: Wer heute damit beginnt, seine Daten zu klassifizieren und richtig zu sperren, wird unmittelbare Ergebnisse bei seiner Sicherheitslage sehen. Da MFA bei den Anwendern Frustration hervorruft, besteht die Chance, dass neue Diskussionen über risikobasierte Authentifizierung beginnen werden. Auch der Zugriff der Benutzer auf dieselben Daten kann variieren. Einige haben nur Leserechte, während andere, z.B. im Finanzbereich, dieselben Daten auch manipulieren können.

 Unternehmen, die in verschiedenen Rechtsordnungen tätig sind, müssen eine Vielzahl von Datenschutzbestimmungen einhalten. Dies hat Auswirkungen darauf, was ein Arbeitgeber bei der Auswahl von Kandidaten und der Überwachung von Mitarbeitern tun kann. Der Einsatz von KI zur Automatisierung der Datenklassifizierung wirft das Problem der Data Governance auf, denn es entsteht eine Schleife. Bevor KI zum Einsatz kommt, müssen die Daten des Unternehmens jedoch verstanden werden. In THE LM sind alle regulatorischen Daten und behördlichen Informationen über Regeln eingespeist, aber wenn die Benutzer des Modells weitere Daten hinzufügen, kann sich der Wortlaut gegenüber der Grundlinie verzerren. Daher ist es wichtig, dass Unternehmen festlegen, wer Informationen zum Modell hinzufügen kann. Anstatt nichts zu tun, können Unternehmen in einem ersten Schritt Daten unter einer Reihe von Bezeichnungen klassifizieren (z.B. öffentlich, intern usw.). Dadurch werden die Mitarbeiter darauf aufmerksam gemacht, dass es verschiedene Arten von Daten mit unterschiedlichen Sicherheitskontrollen gibt. Ohne weitere Maßnahmen zu ergreifen, kann das Unternehmen auch einfach im Hintergrund überwacht werden und die daraus gewonnenen Informationen können als Richtschnur für die Implementierung von Kontrollen dienen. 

 

Empfehlung des Gremiums

• Es ist fast unmöglich, ZeroTrust im gesamten Unternehmen zu implementieren. Daher ist es wichtig, die kritischen Bereiche zu identifizieren, in denen eine Mikrosegmentierung und eine eingeschränktere Datenklassifizierungsmethode angewendet werden kann.
• Es wird mindestens ein Jahrzehnt dauern, bis ZeroTrust zur Norm wird.
• Bislang hat die Reise zu ZeroTrust 5 Jahre gedauert, und es könnte noch weitere 10 oder mehr Jahre dauern.
• Zunächst sollten Sie in Ihrem Unternehmen darauf hinarbeiten, dass Daten mit einem Label gekennzeichnet werden.
• Finden Sie heraus, welche Version von ZeroTrust zu Ihnen passt und womit Sie Ihr derzeitiges Zugriffsmanagement ergänzen sollten - EDR, SIEM oder PAM?