Zero Trust macht Netzwerke anfällig für laterale Bedrohungen
Zero Trust geht davon aus, dass ein Netzwerk kompromittiert ist. Allerdings machen sich Unternehmen leider mehr Sorgen um die Sicherung des Fernzugriffs als um interne Bedrohungen.
Viele Unternehmen vernachlässigen ein zentrales Prinzip der Zero-Trust-Sicherheit: die Annahme, dass das Netzwerk bereits kompromittiert ist.
Hinweise auf diesen vernachlässigten Grundpfeiler von Zero-Trust liefern Untersuchungen von Enterprise Management Associates (EMA). Für ihren Bericht vom November 2024 über die Unterstützung von Netzwerkteams bei der Cybersicherheit durch Zero Trust befragte EMA 270 Entscheidungsträger und Zero-Trust-Experten in Unternehmen. Die Befragten identifizierten die einflussreichsten Faktoren in ihren Ansätzen für Zero Trust.
Die Antworten zeigten, dass viele Zero-Trust-Initiativen den Schwerpunkt auf die Sicherung des Remote-Netzwerkzugriffs legen und nicht auf die Reduzierung der lateralen Bewegung. Mehr als 63 Prozent der Befragten gaben an, dass sie sich auf den Einsatz von Zero Trust konzentrieren, um unautorisierten Remote-Zugriff zu verhindern. Mehr als 60 Prozent sagten, dass sie die Auswirkungen auf die Leistung und das Benutzererlebnis bei der Entscheidung über die Implementierung von Zero Trust berücksichtigen. Im Gegensatz dazu gaben nur 43 Prozent an, dass sie Zero Trust einsetzen, um laterale Bewegungen im Netzwerk zu verhindern.
Abbildung 1: Die sieben Säulen eines Zero-Trust-Frameworks.
Die Kernprioritäten von Zero Trust
In seiner Sonderveröffentlichung (PDF) zur Zero-Trust-Architektur empfiehlt das NIST drei wichtige Zero-Trust-Initiativen, um Angriffe durch nicht autorisierte Benutzer zu verhindern:
Authentifizierung
Autorisierung
Reduzierung impliziter Vertrauenszonen
Zero Trust sollte Netzwerkverbindungsanfragen streng authentifizieren und autorisieren, um unbefugten Zugriff zu verhindern. Es sollte auch laterale Bewegungen durch die Verkleinerung der Vertrauenszonen eliminieren und gleichzeitig die negativen Auswirkungen auf das Netzwerkerlebnis minimieren.
Diese Prioritäten stimmen gut mit den Empfehlungen des NIST überein. Dessen Empfehlung, Vertrauenszonen zu minimieren, geht davon aus, dass Netzwerke bereits kompromittiert sind. Eine Zero-Trust-Architektur, die das Prinzip der lateralen Bewegungseinschränkung vernachlässigt, kann Sicherheitsrisiken letztlich nicht reduzieren. Beispielsweise erweist sich die perimeterbasierte Sicherheit aus folgenden Gründen zunehmend als ineffizient:
Unternehmen integrieren heute häufig öffentliche Ressourcen wie Cloud-Dienste und das Internet in ihre Unternehmensnetzwerke, wodurch das Netzwerk über seine traditionellen Grenzen hinaus ausgedehnt wird.
Die EMA-Daten zeigen, dass IT- und Sicherheitsteams, die sich nur mit Benutzerauthentifizierung und Zugriffsberechtigungen befassen, Ereignisse innerhalb ihres Netzwerkperimeters nicht untersuchen. Die 43 Prozent der Befragten, die der Eliminierung unautorisierter Fernzugriffe Priorität einräumten, berichteten von einem geringeren Gesamterfolg ihrer Zero-Trust-Bemühungen. Sie versäumten es, ihre Netzwerksegmentierungsschemata zu aktualisieren, um die Vertrauenszonen zu verkleinern und die Möglichkeiten für laterale Bewegungen zu reduzieren.
Zero-Trust-Koryphäen betonen oft, dass es sich um ein Architekturkonzept handelt und nicht um ein Produkt, das Unternehmen kaufen und installieren können. Anbieter verkaufen jedoch Produkte, keine Architekturen.
Das ZTNA-Marketingproblem
Die Diskrepanz zwischen der Funktionsweise von Zero Trust und der Art und Weise, wie es von den meisten Unternehmen eingesetzt wird, ist in erster Linie auf ein Marketingproblem zurückzuführen. Zero-Trust-Koryphäen betonen oft, dass es sich um ein Architekturkonzept handelt und nicht um ein Produkt, das Unternehmen kaufen und installieren können. Anbieter verkaufen jedoch Produkte, keine Architekturen.
Viele Anbieter von ZTNA-Produkten (Zero-Trust Network Access) behaupten, dass ihre Dienste einem Unternehmen Zero-Trust-Sicherheit bieten, indem sie veraltete sichere Fernzugriffstechnologien wie VPNs ersetzen. VPNs sind nach wie vor weit verbreitet, aber viele Unternehmen wechseln mit zunehmender Akzeptanz zu ZTNA.
Die Vermarktung dieser Produkte suggeriert, dass ZTNA den Zero-Trust-Prinzipien entspricht, was jedoch nicht der Fall ist. Unternehmen müssen weiterhin daran arbeiten, die Vertrauenszonen in ihren Netzwerken zu reduzieren, da ZTNA-Produkte selten Auswirkungen auf interne Vertrauenszonen haben. Zero Trust ist eine Reise, kein Produkt.
Umsetzung einer Zero-Trust-Segmentierung
Organisationen können eine Zero-Trust-Segmentierung innerhalb des Netzwerkperimeters auf verschiedene Weise implementieren. Eine Möglichkeit besteht darin, Netzwerksicherheitsgeräte als Ost-West-Gateways zu verwenden. Diese Gateways verfügen über granulare Richtlinien, die die laterale Kommunikation zwischen Netzwerksegmenten einschränken. Dieser Ansatz ist jedoch oft schwierig zu verwalten.
Eine andere Möglichkeit besteht darin, auf eine neue Klasse von Anbietern zurückzugreifen, die Hypervisor-basierte Overlays in Rechenzentren und Clouds sowie Host-basierte Segmentierungsagenten auf Servern oder Client-Geräten anbieten, um eine Mikrosegmentierung zu erzwingen. Obwohl dieser Ansatz über einen zentralen Controller verfügt, kann er aufgrund der dynamischen Natur von Netzwerken schwierig zu handhaben sein.
Abbildung 2: Wie Zero-Trust-Mikrosegmentierung funktioniert.
38 Prozent der EMA-Befragten gaben an, dass die hohe Anzahl an Änderungen und Ausnahmen in ihren Zero-Trust-Segmentierungssystemen ihre Ressourcen stark belastet. Darüber hinaus sagten 26 Prozent, dass sie die Gestaltung und Implementierung einer Zero-Trust-Segmentierung für zu komplex halten. Das Problem der lateralen Bewegung wird nicht vernachlässigt – Unternehmen haben tatsächlich Schwierigkeiten, eine Zero-Trust-Segmentierung zu implementieren.
Diese Faktoren kratzen jedoch nur an der Oberfläche der Zero-Trust-Prinzipien. Authentifizierung, Autorisierung und Zonen mit reduziertem Vertrauen sind nicht die einzigen Faktoren, die berücksichtigt werden müssen. Zero Trust muss auch die Modernisierung von Identitätsdiensten und die kontinuierliche Überwachung und Analyse von Netzwerkaktivitäten und Benutzerverhalten umfassen.
Die Zero-Trust-Branche muss sich diesen Herausforderungen stellen, um sicherzustellen, dass Unternehmen laterale Bewegungen minimieren. Darüber hinaus stellt ein ausgewogenes Zero-Trust-Marketing sicher, dass Unternehmen alle Zero-Trust-Prinzipien berücksichtigen und nicht nur halbe Maßnahmen umsetzen.
