6 CISO-Erkenntnisse aus dem Zero-Trust-Leitfaden der NSA

6 CISO-Erkenntnisse aus dem Zero-Trust-Leitfaden der NSA

Zeitstempel: 15. März 2024, 8:25 Uhr

Die Realität der Cybersicherheit für Unternehmen sieht so aus, dass Angreifer ständig Systeme und Netzwerke gefährden und selbst gut verwaltete Programme zur Verhinderung von Sicherheitsverletzungen oft mit Angreifern innerhalb ihrer Netzwerkgrenzen zu kämpfen haben.

Am 5. März setzte die National Security Agency ihre Best-Practice-Empfehlung an Bundesbehörden fort und veröffentlichte ihr neuestes Cybersecurity Information Sheet (CIS) zur Netzwerk- und Umweltsäule ihres Zero-Trust-Frameworks. Das NSA-Dokument empfiehlt Organisationen, ihre Netzwerke zu segmentieren, um zu verhindern, dass unbefugte Benutzer durch Segmentierung auf vertrauliche Informationen zugreifen. Denn starke Cybersicherheitsmaßnahmen können verhindern, dass Kompromittierungen zu umfassenden Sicherheitsverletzungen werden, indem sie den Zugriff aller Benutzer auf Bereiche des Netzwerks beschränken, in denen sie keine legitime Rolle spielen. 

Das Anleitung der NSA Außerdem können Sicherheitsteams dem Management überzeugendere Business Cases für Sicherheitsmaßnahmen vorlegen. CISOs müssen jedoch Erwartungen festlegen, da die Implementierung ein mehrstufiger und komplexer Prozess ist.

Während das Dokument auf verteidigungsbezogene Regierungsorganisationen und -industrien abzielt, kann die breitere Geschäftswelt von der Zero-Trust-Anleitung profitieren, sagt Steve Winterfeld, beratender CISO beim Internetdienstgiganten Akamai.

„Die Realität ist nicht, ob es zu unbefugten Zugriffsvorfällen kommt, sondern ob man sie erkennen kann, bevor sie zu Sicherheitsverstößen werden“, sagt er. „Der Schlüssel liegt in der ‚Sichtbarkeit mit Kontext‘, die Mikrosegmentierung bieten kann, gestützt durch die Fähigkeit, bösartiges Verhalten schnell zu isolieren.“

Unternehmen haben startete Zero-Trust-Initiativen um ihre Daten, Systeme und Netzwerke schwerer angreifbar zu machen und, wenn sie kompromittiert werden, Angreifer auszubremsen. Das Framework stellt solide Richtlinien für das weitere Vorgehen dar, aber die Umsetzung ist nicht einfach, sagt Mike Mestrovich, CISO bei Rubrik, einem Datensicherheits- und Zero-Trust-Anbieter.

„Die meisten Netzwerke haben sich im Laufe der Zeit weiterentwickelt und es ist sehr schwierig, sie neu zu gestalten und gleichzeitig das Geschäft am Laufen zu halten“, sagt er. „Es ist machbar, kann aber sowohl zeitlich als auch finanziell kostspielig sein.“

Hier sind sechs Erkenntnisse aus den Leitlinien der NSA.

1. Lernen Sie alle sieben Säulen von Zero Trust kennen

Das neueste Dokument der National Security Agency befasst sich mit der fünften Säule der sieben Säulen des Zero Trust: dem Netzwerk und der Umgebung. Doch die anderen sechs Säulen sind ebenso wichtig und zeigen, „wie weitreichend und transformativ eine Zero-Trust-Strategie sein muss, um erfolgreich zu sein“, sagt Ashley Leonard, CEO bei Syxsense, einem Unternehmen für automatisiertes Endpunkt- und Schwachstellenmanagement.

Die sieben Säulen des Zero Trust der NSA

„Netzwerk und Umgebung“ ist die fünfte Säule der sieben Säulen des Zero Trust der National Security Agency. Quelle: NSA

„Unternehmen, die mit Zero Trust beginnen möchten, empfehle ich dringend, die NSA-Informationsblätter zu den Benutzer- und Gerätesäulen zu lesen – der ersten bzw. zweiten Säule von Zero Trust“, sagt er. „Wenn ein Unternehmen gerade erst am Anfang steht, ist es ein bisschen so, als würde man das Pferd von hinten aufzäumen, wenn man sich diese Netzwerk- und Umweltsäule anschaut.“

2. Erwarten Sie, dass Angreifer Ihren Perimeter durchbrechen

Bei der Netzwerk- und Umgebungssäule des Zero-Trust-Plans der NSA geht es darum, Angreifer daran zu hindern, einen Verstoß auszuweiten, nachdem sie bereits ein System kompromittiert haben. Die NSA-Richtlinien weisen darauf hin Zielverstoß von 2013 – ohne das Unternehmen explizit zu nennen – weil die Angreifer über eine Schwachstelle im HVAC-System eines Drittanbieters des Unternehmens eindrangen, sich dann aber über das Netzwerk bewegen und Kassengeräte mit Malware infizieren konnten.

Unternehmen sollten davon ausgehen, dass sie kompromittiert werden, und Wege finden, Angreifer einzuschränken oder zu verlangsamen. Das sagte NSA-Cybersicherheitsdirektor Rob Joyce in einer Erklärung Ankündigung der Veröffentlichung des NSA-Dokuments.

„Organisationen müssen mit der Einstellung operieren, dass Bedrohungen innerhalb der Grenzen ihrer Systeme bestehen“, sagte er. „Dieser Leitfaden soll Netzwerkeigentümer und -betreiber mit den Prozessen ausstatten, die sie benötigen, um Bedrohungen, die Schwachstellen oder Lücken in ihrer Unternehmensarchitektur ausnutzen, aufmerksam zu widerstehen, sie zu erkennen und darauf zu reagieren.“

3. Ordnen Sie die Datenflüsse dem Start zu

Bei den NSA-Richtlinien handelt es sich um ein abgestuftes Modell, bei dem Unternehmen mit den Grundlagen beginnen sollten: die Abbildung der Datenströme in ihren Netzwerken, um zu verstehen, wer auf was zugreift. Während andere Zero-Trust-Ansätze dokumentiert wurden, wie z NISTs SP 800-207 Zero Trust-ArchitekturLaut Winterfeld von Akamai bieten die Säulen der NSA Organisationen die Möglichkeit, über ihre Sicherheitskontrollen nachzudenken.

„Das Verständnis des Datenflusses schafft in erster Linie ein Situationsbewusstsein darüber, wo und welche potenziellen Risiken bestehen“, sagt er. „Denken Sie daran, Sie können nicht schützen, was Sie nicht wissen.“

4. Gehen Sie zur Makrosegmentierung

Nachdem Unternehmen alle anderen Grundpfeiler in Angriff genommen haben, sollten sie ihren Vorstoß in die Säule „Netzwerk und Umwelt“ beginnen, indem sie ihre Netzwerke segmentieren – vielleicht zunächst grob, aber mit zunehmender Granularität. Zu den wichtigsten Funktionsbereichen gehören Business-to-Business-Segmente (B2B), verbraucherorientierte Segmente (B2C), Betriebstechnologie wie IoT, Point-of-Sale-Netzwerke und Entwicklungsnetzwerke.

Nach der Segmentierung des Netzwerks auf hoher Ebene sollten Unternehmen darauf abzielen, die Segmente weiter zu verfeinern, sagt Mestrovich von Rubrik.

„Wenn Sie diese Funktionsbereiche definieren können, können Sie mit der Segmentierung des Netzwerks beginnen, sodass authentifizierte Einheiten in einem dieser Bereiche keinen Zugriff haben, ohne zusätzliche Authentifizierungsübungen zu anderen Bereichen durchführen zu müssen“, sagt er. „In vielerlei Hinsicht werden Sie feststellen, dass es sehr wahrscheinlich ist, dass Benutzer, Geräte und Workloads, die in einem Bereich arbeiten, in anderen Bereichen keine Betriebsrechte oder Ressourcen benötigen.“

5. Reife für softwaredefinierte Netzwerke

Für Zero-Trust-Networking müssen Unternehmen in der Lage sein, schnell auf potenzielle Angriffe zu reagieren. Daher ist Software-Defined Networking (SDN) ein wichtiger Ansatz, um nicht nur die Mikrosegmentierung voranzutreiben, sondern auch das Netzwerk bei einer potenziellen Kompromittierung zu sperren.

Allerdings ist SDN nicht der einzige Ansatz, sagt Winterfeld von Akamai.

„Bei SDN geht es eher um die Steuerung des Betriebs, aber abhängig von Ihrer Infrastruktur ist es möglicherweise nicht die optimale Lösung“, sagt er. „Dennoch benötigen Sie die Vorteile, die SDN bietet, unabhängig davon, wie Sie Ihre Umgebung gestalten.“

6. Erkennen Sie, dass der Fortschritt iterativ sein wird

Schließlich ist jede Zero-Trust-Initiative kein einmaliges Projekt, sondern eine fortlaufende Initiative. Unternehmen müssen nicht nur Geduld und Beharrlichkeit bei der Bereitstellung der Technologie aufbringen, sondern auch Sicherheitsteams müssen den Plan überdenken und anpassen, wenn sie vor Herausforderungen stehen und diese überwinden.

„Wenn Sie darüber nachdenken, mit der Zero-Trust-Reise zu beginnen, ist ihre Anleitung, mit der Zuordnung von Datenflüssen zu beginnen und diese dann zu segmentieren, genau richtig“, sagt Winterfeld, „aber ich würde hinzufügen, dass dies oft iterativ ist, da Sie eine Phase der Entdeckung haben werden, die erforderlich sein wird.“ Aktualisierung des Plans.“

Zeitstempel:

Mehr von Dunkle Lektüre