Da Zero Trust Network Access (ZTNA) von 44 % der IT-Experten geplant wird, hat SEC.OS, unsere Community von CISOs, kürzlich die Vorteile und Best Practices von ZTNA mit Paul Keely, Chief Cloud Officer von Open Systems erörtert. Paul ist ein langjähriger Microsoft MVP und Autor des Buches „Microsoft Cloud Security for the C-Level.“

Paul schlug vor, dass es im Zuge der Weiterentwicklung der Remotearbeitsumgebung Menschen gibt, die auf EINEM Netzwerk arbeiten, d. h. Remotezugriff, ebenso wie diejenigen, die auf DEM Netzwerk arbeiten, auch bekannt als das traditionelle Unternehmensnetzwerk. Während wir uns alle möglicherweise auf Office 2.0 oder die vollständig Remotearbeit zubewegen, finden viele der schädlichsten Angriffe heute immer noch auf DEM Netzwerk statt.

Menschen sind intelligenter, aber KI ist schneller

Angreifer können in kürzester Zeit auf „DAS Netzwerk“ zugreifen und es lateral infiltrieren. Nehmen wir zum Beispiel den Maersk Ransomware-Angriff, bei dem das „Netzwerk innerhalb von sieben Minuten lahmgelegt wurde [und] der Grossteil des Schadens innerhalb einer Stunde entstand.“ Um vor solchen Angriffen geschützt zu sein, müssen Sie das Unheil erkennen, bevor es sich ausbreitet. Nachdem Sie die Bedrohung identifiziert haben, müssen Sie das Netzwerksegment umgehend melden und blockieren, um sie einzudämmen.

Diese Angriffe verlaufen exponentiell und erfordern eine exponentielle Gegenreaktion. Paul wies daraufhin, dass zur schnelleren Identifizierung und Reaktionszeit der einzige zukunftssichere Ansatz jetzt künstliche Intelligenz (KI) beinhaltet – insbesondere bei der Erkennung von Netzwerkanomalien –, da KI einen exponentiellen Anstieg der Reaktion und Geschwindigkeit verspricht. Dies ist jetzt ein Schwerpunkt für Microsoft ebenso wie für Partner-Service-Anbieter wie Open Systems. Die Strategie mit künstlicher Intelligenz besteht nicht einfach darin, Indikatoren für Kompromittierungen (IoCs) oder Bedrohungsinformationen (TI) zu melden, sondern aktiv zu reagieren und die Prozessautomatisierung zu nutzen, um Angriffe autonom einzudämmen. Und zwar schnell.

Wunder sind grossartig, aber unvorhersehbar

Bei Angriffen geht es nicht nur um das Eindringen von Aussenstehenden. Sowohl die IT-Abteilungen als auch die Nutzer arbeiten auf der Grundlage des Konzepts des impliziten Vertrauens, und zwar innerhalb EINES Netzwerks wie auch DES Netzwerks. Mitarbeiter erhalten oft zu viel Zugriff auf Ressourcen und Daten, die sie nicht benötigen, während Sie sich in Bezug auf die Websites, die sie besuchen oder die E-Mail-Links, die sie anklicken, auf ihr eigenes Urteilsvermögen verlassen. Die Pandemie führte dazu, dass die meisten Benutzer Vollzeit Remote arbeiteten, dass Netzwerke ausgedehnt wurden und die Sicherheitslage von Unternehmen auf den Prüfstand gestellt wurde. Heute sind viele Netzwerke noch anfälliger, da die verteilten Mitarbeitenden überall auf nicht verwalteten Geräten arbeiten.

Wie Peter Drucker es ausdrückte: „Wunder sind grossartig, aber unberechenbar.“ Die Sicherheit Ihres Unternehmens kann nicht vom Zufall abhängen, um Bedrohungen zu erkennen – Sie müssen jederzeit und überall Kontrollmechanismen haben, um externe Angreifer und interne Benutzer davon abzuhalten, Ihr gesamtes Unternehmensnetzwerk im Handumdrehen zu gefährden.

Zero Trust Everything mit einem ZTNA-Service

Da Anwendungen in die Cloud verlagert werden und Benutzer nicht unbedingt im Unternehmen selbst arbeiten, wird die Zugriffskontrollverwaltung für IT-Abteilungen immer komplexer. Herkömmliche Zutrittskontrollsysteme sind schwerfällig, kompliziert und fehleranfällig – sie sind nicht darauf ausgelegt, die Arbeitsabläufe von heute zu schützen, und IAM berührt nicht unbedingt das Netzwerk. Secure Access Service Edge (SASE) gewinnt an Dynamik, mit einem umfassenden Ansatz zur Verbindung und Sicherung von Remote-Benutzern und ihren Cloud-Anwendungen. Darüber hinaus fügt ZTNA eine neue Sicherheitsebene hinzu, die SASE-Vorteile auf mehr Benutzer erweitert, die sich überall befinden und jedes Gerät verwenden.

Gemäss dem ZTNA-Mantra „niemals vertrauen, immer verifizieren“, beginnt die Technologie mit einer „alles verbergen – jeden Zugriff verweigern – Haltung: Wo herkömmliche VPN das Netzwerk auf Benutzer ausdehnen, verbirgt ZTNA es. Wo Anwendungen offen zum Zugriff angeboten werden, maskiert ZTNA sie vollständig. Verschiedene ZTNA-Lösungen können Netzwerkzugriff, Identitätszugriff, Anwendungszugriff, Datenzugriff und mehr unterstützen. Diese Kontrolle erfolgt basierend auf Richtlinien, einer Vielzahl von Faktoren und kontextbezogenen Daten, sodass Sie Ihre Benutzer gruppieren können, um ihren Zugriff zu gewähren (wann, von wo, auf was). Mitarbeitende in Vertrieb, HR, Finanzen, Engineering, Betrieb usw. haben sowohl geteilte als auch separate Zugriffsrichtlinien, sodass Sie genau entscheiden können, wie Sie Ihre Umgebung schützen möchten. Und diese granulare Kontrolle ist keine einmalige Aktion – ZTNA authentifiziert, autorisiert und bewertet den Zugriff kontinuierlich.

So fantastisch das klingt, so umfasst dieses Mass an Kontrolle eine Menge an Erstkonfigurationen, so Paul. Die gute Nachricht ist, dass Sie Partner haben, die Ihnen Fachwissen, Know-how und einsatzbereite Bibliotheken mit bestehenden Richtlinien zur Verfügung stellen, mit denen Sie spezifische Zugriffsrechte definieren können. Die Zusammenarbeit mit einem geeigneten Partner hilft Ihnen auch dabei, hohe Kosten für eigene Infrastruktur und Personal zu vermeiden.

Bei der Bewertung eines ZTNA-Partners sind jedoch mehrere Aspekte zu berücksichtigen:

  • Da ZTNA Teil von SASE ist, brauchen Sie einen Partner, der Ihnen die SASE-Komponenten mit der Zusatz-Option ZTNA bietet.
  • Wie tiefgehend ist das Fachwissen und die Integration Ihres potenziellen Partners hinsichtlich anderer Sicherheitstechnologien, z. B. EDR (Endpoint Security), MDR (Security Operations Support) und so weiter?
  • Vergewissern Sie sich, dass Sie genau wissen, wie viel Service die ZTNA-Lösung wirklich bietet. Achten Sie auf:
    • Eine einzige Schnittstelle zur Verwaltung der Zugangskontrolle
    • Intelligentes Routing
    • NOC- und SOC-Support durch L3-Experten

Gibt es also eine Technologie, die alles unter einen Hut bringt? Wohl kaum.

ZTNA ist nur ein Aspekt einer umfassenden Sicherheitsstrategie. Jedoch ist das Bindeglied zwischen Ihren verschiedenen Sicherheitslösungen stärker, von der Konnektivität mit SASE bis hin zur KI-unterstützten Bedrohungserkennung mit MDR, wenn sie gut miteinander verbunden sind und Ihnen Sichtbarkeit, bessere Reaktionszeit und Möglichkeiten bieten.

Paul's Tipps

Schnelle Schritte, die Sie mit einer Microsoft-Umgebung ausführen können, um sie zu schützen.

  • Benutzereinschränkung – Ordnen Sie die Benutzer in Gruppen ein und beschränken Sie ihren Zugriff auf das, was sie brauchen und nicht mehr.
  • Geräteeinschränkung – Nutzen Sie APIs, um unbefugte oder schlecht gesicherte Geräte daran zu hindern, in Ihr Netzwerk einzudringen und auf Schwachstellen zu prüfen.
  • Dateneinschränkung – Nutzen Sie E5-Datensicherungsfunktionen. Oder: mithilfe von CASB-Tools blockieren Sie den Zugriff auf und die Verschiebung von sensiblen Daten.
  • Bedingter Zugriff – Begrenzen Sie die Aktionen, die ein Benutzer ausführen kann, basierend auf dem zu diesem Zeitpunkt verfügbaren Authentifizierungsgrad.