leowolfert - stock.adobe.com
Zero-Trust-Implementierung für IoT-Sicherheit vereinfachen
Zero-Trust-Zugang und Netzwerksicherheit können kompliziert werden. Mit der richtigen Software, Denkweise und Endpunkt-Tools können Admins die Implementierung richtig angehen.
Obwohl die meisten Unternehmen heute zumindest ein Grundverständnis für die Bedeutung von Zero Trust haben, tun sie sich schwer, es umzusetzen. Das Verständnis stimmt nicht mit der Realität überein. In einer Umfrage von Fortinet gaben beispielsweise 59 Prozent der Befragten an, dass sie Benutzer und Geräte nicht kontinuierlich authentifizieren können.
Dies ist ein großes Problem, denn nicht nur die Zahl der Datenschutzverletzungen und anderer Cybervorfälle nimmt zu, diese Angriffe werden auch immer kostspieliger. IBM schätzt die durchschnittlichen Kosten einer Sicherheitsverletzung auf 4,24 Millionen US-Dollar. Es ist daher nicht überraschend, dass immer mehr Unternehmen von implizitem Vertrauen zu Null-Vertrauen (Zero Trust) übergehen wollen. Das Problem dabei ist, dass diese Bemühungen ohne den richtigen Rahmen oft zu kurz greifen.
IT-Experten, insbesondere diejenigen, die IoT-Implementierungen beaufsichtigen, sind an einem Zero-Trust-Sicherheitsmodell interessiert. Anstatt davon auszugehen, dass jedem oder allem, das Zugang zum Netzwerk hat, vertraut werden kann, geht eine Zero-Trust-Denkweise vom Gegenteil aus. Man kann nirgendwo vertrauen, weder außerhalb noch innerhalb des Netzwerkrands.
Der Wechsel von implizitem Vertrauen zu Zero Trust ist eine Reaktion auf die steigenden Vorfälle und Kosten von Cyberkriminalität. Viele Unternehmen haben eine Vorstellung davon, was sie in Bezug auf Zero Trust und Zero-Trust Network Access (ZTNA) wollen oder brauchen, und die meisten von ihnen behaupten, eine Zero-Trust-Access- (ZTA) oder ZTNA-Strategie zu haben, die entweder bereits vorhanden ist oder aktiv eingesetzt wird.
Probleme bei der Implementierung sind weit verbreitet
Obwohl die meisten Teilnehmer der Fortinet-Umfrage angaben, dass sie die Zero-Trust-Konzepte verstehen, waren mehr als 80 Prozent der Meinung, dass die Implementierung einer Zero-Trust-Strategie in einem ausgedehnten Netzwerk nicht einfach sein würde. Sechzig Prozent gaben an, dass es mäßig oder sehr schwierig sei, und weitere 21 Prozent sagten, es sei extrem schwierig.
Viele Administratoren gaben an, dass sie nicht in der Lage sind, Benutzer oder Geräte konsequent zu authentifizieren, und dass sie Schwierigkeiten haben, die Nutzung nach der Authentifizierung zu überwachen. Da die Authentifizierung als grundlegend für eine Zero-Trust-Strategie angesehen wird, scheint es, dass viele Unternehmen Zero Trust entweder falsch verstehen oder unvollständig implementiert haben.
Die Umfrageteilnehmer sind sich fast einstimmig einig, dass es für Zero-Trust-Sicherheits-Workflows unerlässlich ist, in ihre Infrastruktur integriert zu sein, über Cloud- und On-Premises-Infrastrukturen hinweg zu funktionieren und auf der Anwendungsebene sicher zu sein. Als größte Herausforderung beim Aufbau einer Zero-Trust-Strategie nennen die Unternehmen den Mangel an qualifizierten Anbietern mit einem vollständigen Angebot.
Schlüsselbereiche für eine effektive Zero-Trust-Strategie
Zero Trust scheint leichter gesagt als getan, aber das muss nicht so sein. Admins können sich auf drei Schlüsselbereiche konzentrieren, um die Implementierung erfolgreicher zu gestalten. Dazu gehört die Eingrenzung der Personen und Geräte, die sich im Netzwerk befinden, sowie die Frage, was aus den verwalteten Geräten wird, sobald sie das Netzwerk verlassen.
Jedes Unternehmen hat eine Bandbreite von Benutzern, so dass die Antwort auf die Frage, wer sich im Netzwerk befindet, unterschiedlich ausfällt. Es gibt die regulären Mitarbeiter, die auf das Netzwerk zugreifen müssen, aber es gibt auch andere, die auf Anwendungen und Daten Zugriff benötigen, die sich entweder vor Ort oder in der Cloud befinden. Zu dieser Gruppe gehören Partner in der Lieferkette, Auftragnehmer und möglicherweise Kunden.
Damit eine ZTA-Strategie effektiv ist, müssen die Administratoren, die sie umsetzen, bestimmen, wer jeder Benutzer ist und welche Rolle er im Unternehmen spielt. Das Zero-Trust-Modell ist eine Richtlinie, die einem Benutzer nur Zugriff auf die Ressourcen gewährt, die er für seine Rolle oder Aufgabe benötigt.
Als Nächstes sollten sich die Administratoren damit befassen, was sich im Netzwerk befindet. Der enorme Anstieg der Anzahl von Anwendungen und Geräten, die Unternehmen heute nutzen, bedeutet eine Erweiterung des Netzwerkumfangs. Dies erfordert die Verwaltung der explosionsartig ansteigenden Zahl von Geräten, einschließlich Servern, Druckern und IoT-Geräten wie HLK-Steuerungen (Heizung, Lüftung, Klimatechnik) oder Lesegeräte für Sicherheitsausweise. Dazu kommen noch Telefone und Laptops von Endbenutzern.
Bei allen Geräten müssen Zugriffskontrollen konsequent durchgesetzt werden. Bei IoT-Geräte ist das aber besonders schwierig, weil sie keine Zugriffskontrollen auf dem Gerät haben. Es handelt sich in der Regel um Geräte mit geringem Stromverbrauch und kleinem Formfaktor ohne Speicher oder CPU zur Unterstützung von Sicherheitsprozessen. Außerdem verfügen sie häufig nicht über eine Schnittstelle zu Endpunkt-Sicherheits-Tools. Das bedeutet, dass das Netzwerk die wichtigste Sicherheitsebene ist.
Da die Mitarbeiter BYOD-Geräte sowohl für geschäftliche als auch für private Zwecke nutzen, müssen sich die Administratoren Klarheit darüber verschaffen, was passiert, wenn die Geräte das Netzwerk verlassen. Es kann sein, dass sich die Benutzer vom Firmennetzwerk abgemeldet haben, ihr Gerät dann aber für E-Mails, soziale Medien und das Surfen im Internet in privaten und öffentlichen Netzwerken verwenden. Sobald sie wieder in das Unternehmensnetzwerk gelangen, könnten die Benutzer ihre Geräte und Unternehmensressourcen unbeabsichtigt Bedrohungen aussetzen, die sie möglicherweise eingefangen haben, einschließlich Viren und Malware.
Die Endgerätesicherheit muss Teil eines jeden ZTA-Angebots sein. Es sollte die Möglichkeit bieten, die Hygiene außerhalb des Netzwerks zu kontrollieren, was Richtlinien für Patches, Webfilter und Schwachstellen-Scans sowie eine flexible VPN-Konnektivität umfasst.
Fazit
Obwohl die meisten Unternehmen das Zero-Trust-Modell unterstützen, haben IT-Teams oft noch Probleme mit der Implementierung. Administratoren, die die Benutzer eines Unternehmens nachverfolgen, mit dem Netzwerk verbundene Geräte überprüfen und Software für die Endgerätesicherheit verwenden, können die Einführung von Zero-Trust viel einfacher bewältigen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
