Barracuda full logo

So arbeiten Zero Trust und das Prinzip der geringsten Privilegien zusammen

Themen:
27. Okt.. 2023
|
Christine Barry

Das Prinzip der geringsten Privilegien (Principle of Least Privilege – PoLP) und Zero Trust Network Access („Zero Trust“ oder ZTNA) sind zwei Sicherheitsframeworks, die sich gegenseitig ergänzen, indem sie robuste, proaktive Sicherheitsmaßnahmen durchsetzen.

Das Prinzip der geringsten Privilegien (PoLP) konzentriert sich auf die Zugriffskontrolle auf Benutzerebene. Die Idee besteht darin, einem Benutzer oder Gerät nur den Zugriff zu gewähren, der zur Ausführung seiner Aufgabe erforderlich ist, und so den potenziellen Schaden durch ein kompromittiertes Konto oder einen bösartigen Mitarbeitenden zu begrenzen. PoLP reduziert den Umfang des Zugriffs erheblich, indem es die laterale Bewegung im gesamten Netzwerk einschränkt, und verringert so den Schaden, der angerichtet werden kann. Zu den Best Practices von PoLP gehören die Einrichtung gruppen- und rollenbasierter Zugriffskontrollen, die Verwendung separater Admin- und Standardkonten sowie die Durchführung regelmäßiger Berechtigungsprüfungen. Die grundlegendste Best Practice besteht darin, PoLP als Standard festzulegen und alle Konten nur mit den für die Rolle erforderlichen Berechtigungen zu erstellen.

Zero Trust konzentriert sich neben der Zugriffskontrolle auch auf die Autorisierung. Zero Trust geht davon aus, dass es sich bei allen Anfragen auf geschützte Ressourcen um Bedrohungen handelt, und überprüft daher kontinuierlich die Authentifizierung und Autorisierung von Benutzern und Geräten. Während des Verifizierungsprozesses wird ermittelt, wer und was Zugriff anfordert und ob die Anfrage normal oder verdächtig ist. Eine erfolgreiche ZTNA-Bereitstellung erfordert ein gründliches Verständnis der Angriffsfläche und der Ressourcen, die geschützt werden müssen. 

Unternehmen sollten beide Frameworks integrieren, um eine starke Sicherheitsmethodik zu schaffen. Im Folgenden sehen wir uns an, wie die Frameworks der Zugriffskette zugeordnet sind, wenn sich ein Benutzer bei einem Netzwerk oder einer Anwendung anmeldet:

1. Identifizierung: Der erste Schritt in der Zugriffskette besteht in der Erkennung und Unterscheidung von Benutzern, Anwendungen und Systemen.

Zero Trust verlangt bei jeder Anfrage eine Identitätsprüfung.

Der Fokus von PoLP liegt auf der Sicherstellung minimaler Berechtigungen, was in späteren Phasen eine größere Rolle spielt.

2. Authentifizierung: Zugangsdaten von Benutzern werden anhand der gespeicherten Informationen überprüft, um die behauptete Identität eines Benutzers, einer Anwendung oder eines Systems zu überprüfen.

Zero Trust geht davon aus, dass es sich bei der Anfrage um eine potenzielle Bedrohung handelt. Das National Institute of Standards and Technology (NIST) erläutert dies ausführlich in dieser Veröffentlichung (S. 7):

Alle Ressourcenauthentifizierungen und -autorisierungen sind dynamisch und werden strikt durchgesetzt, bevor Zugriff gewährt wird. Es handelt sich um einen kontinuierlichen Zyklus der Zugriffsvergabe, des Erfassens und Bewertens von Bedrohungen, der Anpassung und der kontinuierlichen Neubewertung des Vertrauens in die laufende Kommunikation. 

Das Prinzip der geringsten Privilegien schreibt keine Authentifizierungsmechanismen vor. Zero Trust stellt sicher, dass PoLP-Richtlinien durchgesetzt werden und dass nur Personen mit den entsprechenden Berechtigungen auf Ressourcen zugreifen können.

3. Autorisierung: Die Festlegung, welche Aktionen ausgeführt werden können oder auf welche Ressourcen basierend auf der authentifizierten Identität des Benutzers zugegriffen werden kann.

Zero Trust wertet viele Datenpunkte in Echtzeit aus. Dazu können unter anderem Benutzerverhalten, Gerätezustand, Tageszeit und Standort gehören. Es sind nicht ausschließlich die voreingestellten Berechtigungen ausschlaggebend.

PoLP schreibt vor, dass Benutzern nur die Mindestberechtigungen gewährt werden, die zur Ausführung ihrer Aufgaben erforderlich sind. Die Autorisierung sollte standardmäßig restriktiv sein und nur dann erweitert werden, wenn ein echter Bedarf besteht.

4. Zugriff: Der Prozess der Gewährung oder Verweigerung der Fähigkeit zur Interaktion mit einer Ressource auf der Grundlage einer authentifizierten Identität und autorisierter Berechtigungen.

Nachdem der Zugriff anfänglich gewährt wurde, wiederholt Zero Trust den Verifizierungsprozess, bis die Sitzung beendet ist. Dies kann dazu führen, dass ein aktiver Benutzer plötzlich den Zugriff verliert, wenn sein Verhalten von akzeptablen Parametern abweicht.

Die Bewegung innerhalb eines Systems wird durch eine ordnungsgemäß konfigurierte PoLP-Strategie eingeschränkt. Selbst wenn ein Bedrohungsakteur die Zugriffskette bis zu diesem Punkt erfolgreich durchlaufen konnte, sind die Möglichkeiten des kompromittierten Kontos immer noch begrenzt.  

5. Prüfung und Verantwortlichkeit: Dieser Schritt beinhaltet die Überwachung und Protokollierung der Aktivitäten von Benutzern, Anwendungen und Systemen.

Zero Trust führt eine kontinuierliche Bewertung des Benutzerverhaltens und des Kontexts durch, was ein umfassendes Prüfprotokoll erfordert. Das Prüfprotokoll wird verwendet, um die Fähigkeit des Systems zu verbessern, potenzielle Bedrohungen zu erkennen und darauf zu reagieren. Kurz gesagt: Diese Daten sind ein Schlüsselfaktor bei der Suche nach Bedrohungen und der Incident Response.

PoLP-Berechtigungssätze sind möglicherweise nicht auf die tatsächlichen Bedürfnisse der Benutzer abgestimmt. Audit-Protokolle können Muster von Versuchen erkennen, auf nicht autorisierte Ressourcen zuzugreifen, oder zeigen, dass eine bestimmte Ressource nicht wie erwartet verwendet wird. Admins können diese Informationen nutzen, um die bestmögliche Sicherheit zu gewährleisten und gleichzeitig sicherzustellen, dass die Mitarbeitenden über das verfügen, was sie brauchen.

Unternehmen sollten beide Frameworks integrieren, um eine starke Sicherheitsmethodik zu schaffen. Barracuda kann Ihnen helfen, Zero Trust Access und andere robuste Sicherheits- und Datenschutzlösungen schnell und einfach bereitzustellen. Besuchen Sie http://www.barracuda.com, um mehr zu erfahren.

 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
 Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
 Umfrage zeigt weltweiten Rückgang der Kosten bei einer Datenpanne
Umfrage zeigt weltweiten Rückgang der Kosten bei einer Datenpanne
 WolfGPT: Die „aufgerüstete“ dunkle KI für Malware
WolfGPT: Die „aufgerüstete“ dunkle KI für Malware
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.