Effektive Zero-Trust-Initiativen

Die USA machen Ernst mit Zero Trust: Fast ein Jahr nach der Unterzeichnung der Executive Order zur „Verbesserung der Cybersicherheit der Nation“ durch Präsident Biden machen viele US-Bundesbehörden erhebliche Fortschritte auf ihrem Weg zu Zero Trust, wie Palo Alto Networks berichtet. Mehr als 70 Prozent der US-Bundesbehörden setzen mittlerweile die Zero-Trust-Prinzipien konsequent um. Einige sind gut positioniert, um ihre Bemühungen zu beschleunigen, da sie in die digitale Transformation investiert haben, die auch den Umbau und die Verbesserung ihres Sicherheitsansatzes beinhaltet. Aber selbst diese Behörden fühlen sich mehr unter Druck gesetzt, ihre Zero-Trust-Reise zu beschleunigen, nachdem das Office of Management and Budget im Januar eine Strategie für die Zero-Trust-Architektur auf Bundesebene veröffentlicht hat, die aggressive Umsetzungsfristen vorsieht.

Auch wenn in Europa solch ein formaler Druck auf Behörden und Unternehmen noch nicht existiert, so steigt auch hier zumindest mittelbar die Anforderung das Konzept von Zero Trust möglichst durchgängig umzusetzen.

Palo Alto Networks nennt hierfür am Beispiel der USA vier auch in Europa umsetzbare Schritte, damit dies gelingen kann:

1. Ändern der Denkweise

Da sich die US-Bundesregierung zunehmend auf Zero Trust konzentriert, gibt es einige zentrale Zero Trust-Grundsätze, die für die IT-Leiter der Behörden hilfreich sind:

• Die Einführung eines Zero-Trust-Ansatzes ist ein kontinuierlicher Prozess. Es handelt sich nicht um eine einmalige Implementierung. Zero Trust ist eine Betriebsphilosophie ist, die ein Umdenken erfordert – eine grundlegende Veränderung der Art und Weise, wie wir Cybersicherheitsmaßnahmen entwerfen, implementieren und aufrechterhalten.
• Der Aufbau eines umfassenden Zero-Trust-Plans ist von entscheidender Bedeutung. Die Konzentration auf ein bestimmtes Produkt oder eine bestimmte Technologie ist nicht gleichbedeutend mit Zero Trust. Zero Trust muss ein End-to-End-Ansatz sein, der das gesamte IT-Ökosystem an Kontrollen umfasst – Netzwerk, Endpunkte, Cloud, Anwendungen, IoT-Geräte, Identität und mehr.
• Es geht darum, zu verstehen, dass ZTNA nur eine Komponente von Zero Trust ist. Die Begriffe Zero Trust Network Access (ZTNA) und Zero Trust sind nicht austauschbar. Es handelt sich eigentlich um eine sehr verbreitete Fehlbezeichnung. ZTNA bezieht sich speziell auf Remote-Benutzer, die auf Unternehmensanwendungen und -dienste zugreifen, und ist ein Element der größeren Zero-Trust-Geschichte. ZTNA ist zwar äußerst wichtig (insbesondere in der Realität einer neuen, hybriden Belegschaft), aber die Implementierung von ZTNA allein ist nicht ausreichend.

Erste Schritte

Letztendlich ist Zero Trust kein Versuch, die Cybersicherheit auf Knopfdruck zu verbessern. Es wird Zeit brauchen und es ist ein kontinuierlicher Prozess. Während einige Behörden mit ihren Zero-Trust-Initiativen gut vorankommen, kämpfen andere mit den ersten Schritten. ZTNA bietet eigentlich einen logischen Ausgangspunkt für eine umfassendere Zero-Trust-Strategie. Die gute Nachricht ist jedoch, dass eine Behörde oder ein Unternehmen überall mit der Implementierung des Zero-Trust-Prozesses beginnen kann. Sie kann vorhandene Tools und Fähigkeiten nutzen, um eine Startlinie zu etablieren. Für diejenigen, die sich noch in der Anfangsphase befinden, gibt es einige Faktoren zu beachten, um ein erfolgreiches Ergebnis zu gewährleisten.

Einen schrittweisen Ansatz planen

Wie jede Reise erfordert auch Zero Trust eine Karte oder einen Aktionsplan, um effektiv voranzukommen.

• Wo Sie anfangen, ist von Behörde zu Behörde und Firma zu Firma unterschiedlich. Die Entscheidung darüber hängt von der Einschätzung ab, wie Zero Trust in Ihrem aktuellen Umfeld angewendet werden kann. Denken Sie sorgfältig über Ihre Schwerpunktbereiche nach und setzen Sie Prioritäten. Prüfen Sie die verschiedenen verfügbaren Spezifikationen der US-Bundesbehörden, wie NIST,CISA und DOD, und wählen Sie diejenige aus, die die Ziele Ihrer Organisation am besten unterstützt.
• Die Einführung von Zero Trust bedeutet nicht, dass Sie mit Ihrer Infrastruktur bei null anfangen müssen. Führen Sie eine Rationalisierung der bestehenden IT-Investitionen durch. Entscheiden Sie, was Ihr Unternehmen tatsächlich nutzt, was funktioniert, was umkonfiguriert oder neu eingesetzt werden könnte und welche neuen Investitionen wirklich notwendig sind.
• Wenn Sie sich entscheiden, in einem Bereich zu beginnen, der neue Investitionen erfordert, ermitteln Sie Finanzierungsprogramme oder -vehikel, die helfen können, die Bemühungen zu beschleunigen. Beurteilen Sie die gegenwärtigen Sicherheitskapazitäten und ob sie so effektiv wie möglich eingesetzt werden. Überlegen Sie, welche davon für die schnelle Anwendung von Zero Trust Best Practices genutzt werden können.

Engagieren Sie die Führungsebene von Anfang an

Die Unterstützung von oben ist wichtig, um Zero Trust effizient voranzutreiben. Wie bereits erwähnt, erfordert dies häufig ein Umdenken in der Führungsebene. Es müssen proaktive, substanzielle Gespräche über den Plan und seine Ziele geführt werden, wobei der CISO mit am Tisch sitzen muss, um sich an den Diskussionen und der Ausrichtung zu beteiligen. Dieser Dialog kann auch dazu beitragen, das Cybersicherheitsbudget von unzureichend zu angemessen zu machen.

Gehen Sie den Plan ganzheitlich an, indem Sie sich mit dem Vorstand, dem CIO oder beiden abstimmen und eine breitere Zero-Trust-Kultur in Ihrer Behörde fördern. Ziehen Sie die Einrichtung eines Zero-Trust-Kompetenzzentrums in Betracht und beauftragen Sie einen leitenden Zero-Trust-Architekten mit der Umsetzung des Prozesses.

Denken Sie daran, dass Sie die Möglichkeit haben, die Sicherheit richtig neu zu gestalten. Ein solider Plan hilft dabei, eine Überlastung durch die Komplexität zu vieler Sicherheitskontrollen zu vermeiden. Konzentrieren Sie sich auf weniger Tools, die die Automatisierung für maximale Ressourceneffizienz nutzen.

Machen Sie es umsetzbar

Um Zero Trust zu erreichen, muss festgelegt werden, was ein Unternehmen braucht, um akute Risiken zu verringern und Widerstandsfähigkeit zu erreichen. Viele Unternehmen beginnen mit Identitätsmechanismen wie der Multifaktor-Authentifizierung, der Anwendung des Least-Privilege-Zugriffs oder ZTNA. Auch hier gilt es, schrittweise vorgehen.

• Entwickeln Sie eine Roadmap und richten Sie diese an Ihrem gewählten Reifegradmodell aus. Wenn Sie zusätzliche Zero-Trust-Funktionen implementieren, unterstützen Sie die Transformation, indem Sie die Wirksamkeit neuer und bestehender Investitionen maximieren, um die bestmöglichen Sicherheitsergebnisse zu gewährleisten.
• Das Hinzufügen von Metriken zu Ihrem Plan hilft Ihnen außerdem dabei, ihn umsetzbar und auf Kurs zu halten. Setzen Sie sich Ziele für die Sicherung von Benutzern, Anwendungen und Infrastruktur über das gesamte Spektrum der Berührungspunkte hinweg, z. B. die Authentifizierung der Identität, die Überprüfung der Integrität von Geräten und Workloads, die Durchsetzung des Zugriffs mit minimalen Rechten und die Überprüfung aller Transaktionen auf Legitimität.

Wenn diese Grundlagen vorhanden sind, können sich Unternehmen getrost auf den Weg zu Zero Trust machen. Wird die Einführung einfach sein? Nein, aber der Anfang sollte nicht schwer sein. Gut definierte Zero-Trust-Grundsätze und -Anforderungen tragen dazu bei, eine gemeinsame Erwartungshaltung darüber zu schaffen, was erreicht werden muss, um sicher zu sein, und machen zumindest den Weg für eine anspruchsvolle Reise klar.

Zero Trust stellt nach Erfahrung von Palo Alto Networks einen grundlegenden Wandel in der Art und Weise dar, wie wir alle Cybersicherheitsmaßnahmen konzipieren, implementieren und langfristig aufrechterhalten wollen. Um erfolgreich zu sein, bedarf es eines soliden, methodischen Plans, einer starken organisatorischen Unterstützung und einer echten Partnerschaft zwischen Regierung und Industrie, damit wir dieses Ziel erreichen.