NSA: Zeit, dass die Cybersicherheit erwachsen wird – Zero-Trust-Reife im Netz

Die Nationale Sicherheitsbehörde der Vereinigten Staaten (NSA) hat in regelmäßigen Abständen Leitfäden, so genannte Cybersecurity Information Sheets (CSI), herausgegeben, in denen bewährte Verfahren und Rahmenbedingungen für die Erreichung bestimmter Sicherheitsziele beschrieben werden. 

Der Zweck dieser Dokumente ist es, Regierungsbehörden und Auftragnehmer dabei zu unterstützen, die Ziele der vom Weißen Haus im März 2023 herausgegebenen Nationalen Cybersicherheitsstrategie zu erreichen. Wie jedoch in der NSA CSI „Förderung der Zero-Trust-Reife in der gesamten Netzwerk- und Umgebungssäule“ unter der Überschrift „Zielgruppe“ dargelegt, werden wir uns hier mit diesem Thema befassen.

Diese CSI enthält Anleitungen, die in erster Linie für National Security Systems (NSS), das Verteidigungsministerium (DoD) und die Defense Industrial Base (DIB) bestimmt sind. Sie kann jedoch für Besitzer und Betreiber anderer Systeme nützlich sein, die von ausgeklügelten bösartigen Akteuren ins Visier genommen werden könnten.

Und da „hochentwickelte böswillige Akteure“ es auf praktisch jedes System abgesehen haben, das sie finden können, wird es für so ziemlich jeden in einer Führungsrolle im Bereich Cybersicherheit von Nutzen sein. 

Die sieben Säulen der Zero-Trust-Reife

Die NSA und verschiedene Partnerorganisationen identifizieren sieben „Säulen von Zero Trust“. Die NSA ist dabei, für jede Säule einen CSI zu veröffentlichen. Die Säulen sind:

• Benutzer: Kontinuierliches Authentifizieren, Bewerten und Überwachen von Benutzeraktivitätsmustern, um den Zugriff und die Berechtigungen der Benutzer zu steuern und gleichzeitig alle Interaktionen zu schützen und zu sichern.

• Gerät: Verstehen Sie den Zustand und Status von Geräten, um Risikoentscheidungen zu treffen. Jede Zugriffsanfrage wird in Echtzeit geprüft, bewertet und gepatcht.

• Anwendung und Workload: Sichern Sie alles, von Anwendungen bis hin zu Hypervisoren, einschließlich des Schutzes von Containern und virtuellen Maschinen.

• Daten: Datentransparenz wird durch Unternehmensinfrastruktur, Anwendungen, Standards, robuste Ende-zu-Ende-Verschlüsselung und Daten-Tagging ermöglicht und gesichert.

• Netzwerk und Umgebung: Segmentieren, isolieren und kontrollieren Sie (physisch und logisch) die Netzwerkumgebung mit granularen Richtlinien- und Zugriffskontrollen.

• Automatisierung und Orchestrierung: Automatisieren Sie Sicherheitsreaktionen auf der Grundlage von definierten Prozessen und Sicherheitsrichtlinien, die durch KI ermöglicht werden, z. B. das Blockieren von Aktionen oder das Erzwingen von Abhilfemaßnahmen auf der Grundlage intelligenter Entscheidungen.

• Sichtbarkeit und Analytik: Analysieren Sie Ereignisse, Aktivitäten und Verhaltensweisen, um den Kontext abzuleiten, und wenden Sie KI/ML an, um ein hochgradig personalisiertes Modell zu erstellen, das die Erkennungs- und Reaktionszeit bei Zugriffsentscheidungen in Echtzeit verbessert.

Die Idee dahinter ist, dass Unternehmen darauf abzielen sollten, Zero-Trust-Kontrollen in allen sieben Säulen zu implementieren und kontinuierlich zu aktualisieren, um optimale Sicherheit gegen diese hochentwickelten böswilligen Akteure zu erreichen – und das Risiko potenziell sehr kostspieliger Sicherheitsverletzungen und Datendiebstähle zu minimieren.

Zero Trust für die Säule Netzwerk und Umgebung

In der Einführung in die Säule Netzwerk und Umgebung (N&E) beschreibt CSI ein Beispiel für eine verheerende Datenschutzverletzung, die durch die Einführung von Zero-Trust-Praktiken hätte vermieden werden können. 

Kurz gesagt, die Kriminellen verschafften sich die Zugangsdaten für ein HLK-Unternehmen, das Dienstleistungen für einen großen Einzelhändler erbringt. Um das HLK-System ihres Kunden zu überwachen, hatte diese Firma Zugangsdaten zum Netzwerk des Kunden erhalten. Daher war es den Kriminellen möglich, dasselbe zu tun. Und da der Einzelhändler keine angemessene Segmentierung und Zugriffskontrollrichtlinien hatte, luden sie Malware auf das Kassensystem des Einzelhändlers und stahlen die Daten von etwa 40 Millionen Debit- und Kreditkarten.

Die Einführung geht weiter:

Bei der traditionellen Netzwerksicherheit wurde der Schwerpunkt auf einen Defense-in-Depth-Ansatz gelegt; die meisten Netzwerke investieren jedoch in erster Linie in den Perimeterschutz. Sobald sie sich innerhalb des Netzwerks befinden, erhalten Endbenutzer, Anwendungen und andere Entitäten oft umfassenden Zugriff auf mehrere Unternehmensressourcen. Wenn Netzwerkbenutzer oder -komponenten kompromittiert werden, können sich böswillige Akteure von innerhalb oder außerhalb des Netzwerks Zugang zu wichtigen Ressourcen verschaffen. Idealerweise sollten Organisationen sowohl interne als auch externe Datenverkehrsflüsse verwalten, überwachen und einschränken.

Mit anderen Worten ist es wichtig zu erkennen, dass die Perimeterverteidigung allein unzureichend ist. Oder anders ausgedrückt: Es ist an der Zeit, dass Cybersecurity-Profis erwachsen werden und anfangen, Defense-in-Depth ernst zu nehmen.

Im weiteren Verlauf der ICS wird detailliert erläutert, wie Sie sich auf vier verschiedene Aspekte der Zero-Trust-Sicherheit von Netzwerken und Umgebungen vorbereiten und einen grundlegenden, mittleren und fortgeschrittenen Reifegrad erreichen können:

• Datenfluss-Mapping – Identifiziert den Weg, den Daten innerhalb eines Unternehmens zurücklegen, und beschreibt, wie diese Daten von einem Ort oder einer Anwendung zu einer anderen transformiert werden.

• Makro-Segmentierung – Bietet eine hochgradige Kontrolle über den Datenverkehr, der sich zwischen verschiedenen Bereichen des Netzwerks eines Unternehmens bewegt, indem das Netzwerk in mehrere diskrete Komponenten aufgeteilt wird, von denen jede eine andere Sicherheitsanforderung unterstützt.

• Mikrosegmentierung – Bietet Sicherheit auf einer granularen Ebene, indem ein Teil des Netzwerks in kleinere Komponenten unterteilt wird, um den seitlichen Datenfluss durch strenge Zugriffsrichtlinien zu begrenzen. 

• Software Defined Networking – Bietet einzigartige Vorteile in Bezug auf Granularität durch Mikrosegmentierung, Anpassungsfähigkeit und zentralisiertes Richtlinienmanagement. Die Integration von SDN-Komponenten in die bestehende Infrastruktur kann auch eine anpassbare Sicherheitsüberwachung und Alarmierung ermöglichen.

Wie Barracuda Sie unterstützen kann

Wenn Sie bei der Implementierung von Zero Trust über die sieben Säulen hinweg nicht weit voraus sind, empfehle ich Ihnen dringend, sich die von der NSA herausgegebenen „Advancing Zero Trust Maturity“ ICSs zu besorgen. Sie sind klar und prägnant und bieten einen wertvollen, überschaubaren Fahrplan zum Erreichen einer ausgereiften Zero-Trust-Sicherheit in jeder der Säulen.

Für Zero Trust in der Säule Netzwerk und Umgebung kann Barracuda SecureEdge Ihre Fortschritte bei der Umsetzung dieser Roadmap erheblich beschleunigen. Es handelt sich dabei um unsere fortschrittliche Secure Access Service Edge (SASE)-Plattform, die eine Vielzahl von Funktionen integriert – fortschrittliche Firewall-as-a-Service, Zero-Trust-Zugangskontrollen, Datenflusstransparenz und -kontrolle, SD-WAN-Konnektivität und vieles mehr – die es außerordentlich einfach machen, alle vier in der NSA ICS beschriebenen Sicherheitsaspekte zu erreichen und dauerhaft zu erhalten.