Eines der wichtigsten Themen im Bereich des Netz- und Anwendungszugangs war in den letzten Jahren das Konzept des „Zero Trust“. In diesem Beitrag zeigen wir, wie sich dieser Ansatz im Wesentlichen durch eine Reihe von einfachen Überzeugungen charakterisieren lässt, die sich nicht nur auf den Zugang, sondern auch allgemeiner auf den gesamten Bereich der Cybersicherheit anwenden lassen.
Dieses Dokument stellt einen Rahmen vor, der die weitreichenden Konzepte rund um Zero Trust umfasst und sie mit dem bestehenden geschäftlichen Hintergrund in Beziehung setzt, der heute Führungskräfte im Bereich der Anwendungssicherheit motiviert. Schließlich enthält dieses Dokument eine Charakterisierung des Zero-Trust-Glaubenssystems – die treibende Kraft für die Implementierung von Tools und Sicherheitslösungen zur Bewältigung der aktuellen und aufkommenden Bedrohungen, die im Fokus eines Folgedokument stehen werden.
Dieser Beitrag dient zweierlei Zielen: erstens der Vermittlung einer sicherheitsorientierten Denkweise, die Führungskräfte im Bereich der Anwendungen einnehmen sollten, und zweitens der Einführung eines Rahmens für Sicherheitsexperten, den wir in künftigen Whitepapers weiter ausbauen werden.
Der Begriff „Zero Trust“ wird mit einer Reihe unterschiedlicher Konzepte auf verschiedenen Abstraktionsebenen in Verbindung gebracht: Manchmal versteht man darunter eine spezifische Lösungsarchitektur, manchmal ein Rezept zur Anwendung bestimmter Technologien und manchmal eine Produkteigenschaft. Unserer Ansicht nach stellt Zero-Trust-Sicherheit im Kern eine Denkweise dar, ein Glaubenssystem, aus dem Techniken und Taktiken hervorgehen, die spezifische Technologien zum Einsatz bringen, die wiederum zur Bekämpfung eines breiten Spektrums an Sicherheitsbedrohungen genutzt werden können.
Das Glaubenssystem, das der Zero-Trust-Sicherheit (ZTS) zugrunde liegt, kann als nächster Schritt in einer Entwicklung des Sicherheitsdenkens betrachtet werden, die vor Jahren mit einer tiefgreifenden Verteidigungsstrategie begann. Diese tiefgreifende Verteidigungsstrategie basiert auf der Überzeugung, dass jeder einzelne Schutzschirm zwar eine geringe, aber reale Wahrscheinlichkeit eines Angriffs bietet, dass aber die Hinzufügung zusätzlicher Schutzschichten für wichtige Ressourcen diese Wahrscheinlichkeit verringert und die Angreifer bremst, während diese gleichzeitig gezwungen sind, mehr Ressourcen für einen erfolgreichen Angriff einzusetzen.
Der Zero-Trust-Ansatz stellt eine Weiterentwicklung dieser Denkweise in drei Dimensionen dar:
Diese Entwicklung ist zum Teil das Ergebnis von Zeit und Erfahrung, wird aber zunehmend auch durch das Zusammentreffen zweier anderer Trends in der Anwendungssicherheit vorangetrieben. Insbesondere eröffnen die Anwendungsarchitekturen von heute einen viel größeren Raum für potenzielle Anwendungsschwachstellen – insbesondere Bedrohungen im „Inneren“ der Anwendungsinfrastruktur –, die von den immer raffinierter agierenden Angreifern ausgenutzt werden können. Glücklicherweise haben die gleichzeitig gemachten Fortschritte im Bereich der Sicherheitstools, insbesondere wenn diese in Verbindung mit modernen Datenerfassungs- und -analysefunktionen verwendet werden, die praktische Umsetzung der Kernkomponenten der Verteidigungsstrategie möglich gemacht.
Der Rest dieser Einleitung bietet einen Überblick über den Rahmen und Umfang unseres Zero-Trust-Sicherheitsansatzes. In den folgenden Abschnitten werden die Problemstellung und ihre Beziehung zu anderen aktuellen Zero-Trust-Ansätzen vertieft, was zu einer Erörterung der Grundüberzeugungen – dem „Warum“ – führt, die als Richtlinie bei der Wahl der Lösungstechnologien und ihrer Anwendung dienen sollte. Künftige Beiträge werden sich mit dem „Wie“ befassen – den Anforderungen an spezifische Technologien wie Authentifizierung, Zugriffskontrolle und KI-gestützte Analysen, die mit dem Zero-Trust-Reifegradmodell in Verbindung stehen.
Simon Sineks Ansatz „Beginnen Sie mit dem Warum“ ist ein wirksames Instrument zur Vermittlung des ZTS-Rahmens, wie Abbildung 1 unten verdeutlicht. Sie können diese Grafik von außen nach innen betrachten, beginnend mit den verschiedenen Bedrohungsklassen, gegen die ZTS vorgeht, dann die angewandten Sicherheitsmethoden untersuchen und schließlich alles zu gemeinsamen Grundsätzen zusammenfassen. Sie können sie aber auch von innen nach außen betrachten, wobei die Grundüberzeugungen als „Polarstern“ den Ausgangspunkt bilden, aus dem sich die entsprechenden Instrumente und Techniken ergeben, die Sie schließlich in die Lage versetzen, ein breites Spektrum an Bedrohungen zu bewältigen.
In den folgenden Abschnitten werden die einzelnen konzentrischen Schichten dieses Diagramms detailliert erläutert, doch hier ein kurzer Überblick:
Zero-Trust-Sicherheit erstreckt sich ganzheitlich über den gesamten Anwendungs-, Infrastruktur- und Bereitstellungsstapel und sollte die ganze Entwicklungspipeline umfassen. Im Einzelnen sollten folgende Punkte abgedeckt sein:
Traditionell liegt der Schwerpunkt des Zero-Trust-Ansatzes auf den Teams für Anwendungsentwicklung und -bereitstellung, die oft als die Personas Dev, DevOps, DevSecOps und SRE bezeichnet werden. Wir weisen darauf hin, dass ein umfassender Zero-Trust-Ansatz idealerweise auch nichttraditionelle Personas und Infrastrukturen sowie zusätzliche Arbeitsabläufe, wie z. B. die Beschaffungsstrategie für die Lieferkette, einbeziehen sollte.
Eine der obersten Prioritäten für Informationstechnologieleiter (CIO) und Informationssicherheitsverantwortliche (CISO) ist die Modernisierung der Informationstechnologie zur Beschleunigung der Geschäftsabläufe. Sie spielen auch eine Schlüsselrolle bei der Steuerung der Unternehmensrisiken. Ihr Ziel ist es, das Unternehmen dabei zu unterstützen, Kunden mit neuen digitalen Erlebnissen zu begeistern, die betriebliche Effizienz durch digitale Vernetzung mit Dritten zu steigern und Mitarbeitern die Möglichkeit zu geben, von überall aus produktiv zu sein, während sie gleichzeitig die Geschäftsrisiken minimieren. Dies setzt voraus, dass die CIO- und CISO-Organisationen ihren Mitarbeitern die Möglichkeit geben, die neuesten Technologien, Architekturen und Best Practices für mehr Flexibilität zu nutzen, und gleichzeitig dieselben Leute damit beauftragen, angemessene Sicherheitsmaßnahmen zu ergreifen und Kontrollen über das Verhalten der Mitarbeiter, die Informationen, auf die sie zugreifen, und die Technologie, die sie verwenden, einzurichten, um Verluste zu vermeiden.
Unternehmen müssen die Risiken erkennen und kontrollieren, die im Zusammenhang mit Änderungen an den Markt- und makroökonomischen Bedingungen, dem Verbraucherverhalten, der Lieferkette und den Sicherheitsangriffsflächen entstehen. Eine korrekte Risikobewertung und die Fähigkeit, rasch risikomindernde Maßnahmen zu ergreifen, stellen für Unternehmen einen Wettbewerbsvorteil dar. In diesem Beitrag konzentrieren wir uns auf das Risiko von Sicherheitsangriffsflächen, die unter anderem den Verlust von geistigem Eigentum, die Unterbrechung von Geschäftsprozessen, den Verlust personenbezogener Daten und von Aufsichtsbehörden verhängte Geldstrafen nach sich ziehen können. Das Sicherheitsrisiko lässt sich berechnen, indem man die folgenden Aspekte einer zu betrachtenden Situation evaluiert:
Die Herausforderung besteht darin, das mit jeder einzelnen Transaktion verbundene Risiko annähernd in Echtzeit zu berechnen und geeignete Abhilfemaßnahmen zu ergreifen, um die Auswirkungen einer möglichen Gefährdung zu kontrollieren.
Die Forderung nach einer Beschleunigung der Geschäftsabläufe führt zu neuen Praktiken, die das Cybersicherheitsrisiko erhöhen. Auf diesen Punkt gehen wir im Folgenden näher ein.
Nach einer Flut von hartnäckigen Cyberangriffen auf verschiedene US-amerikanische Bundes-, bundesstaatliche und Kommunalbehörden sowie auf mehrere US-amerikanische Unternehmen erließ Präsident Joe Biden am 12. Mai 2021 eine Anordnung zur Verbesserung der nationalen Cybersicherheit. Eines der Schlüsselelemente dieser Anordnung bestand darin, dass die Regierungsbehörden die Grundsätze des Zero-Trust-Ansatzes anwenden sollten, um sich auf Cyberangriffe vorzubereiten. Die Biden-Regierung folgte dieser Anordnung am 26. Januar 2022 mit einem Memorandum des Office of Management and Budget (OMB), das sich an die Leiter der Exekutivabteilungen und -behörden richtete. Dieses Memorandum des OMB „legt eine Bundesstrategie für eine Zero-Trust-Architektur (ZTA) fest, die von den Behörden verlangt, bis zum Ende des Geschäftsjahres 2024 bestimmte Cybersicherheitsstandards und -ziele zu erfüllen, um die Abwehr der Regierung gegen immer ausgefeiltere und anhaltende Bedrohungskampagnen zu stärken.“1 Sowohl die Anordnung des US-Präsidenten als auch das OMB-Memorandum beziehen sich auf die Zero-Trust-Architektur, die in der im August 2020 veröffentlichten Publikation SP 800-207 des National Institute for Standards and Technology (NIST) beschrieben ist, und verlangen von den Regierungsbehörden, diese zu befolgen.
Vordenker in Regierungsbehörden und im privaten Sektor haben Dokumente veröffentlicht, die die Zero-Trust-Architektur näher erläutern und Ratschläge bezüglich ihrer Einführung geben. Im Folgenden fassen wir die in diesen Beiträgen enthaltenen Ideen zusammen. Festzuhalten ist, dass die in diesen Papieren enthaltenen Ideen und Vorschläge sich darauf beziehen, alle Transaktionen dahingehend zu untersuchen, wer welche Aktion gegenüber wem ausführt, und in Echtzeit zu entscheiden, ob die Transaktion auf der Grundlage einer Berechnung des damit verbundenen Risikos zugelassen oder abgelehnt werden soll.
Das NIST-Team führt die Grundsätze des Zero-Trust-Ansatzes auf und definiert in dem Dokument NIST SP 800-207 eine abstrakte Zero-Trust-Architektur (ZTA).2 Darüber hinaus werden verschiedene Varianten von Zero-Trust-Ansätzen und diverse Möglichkeiten zur Bereitstellung der abstrakten Architektur erörtert.
Die wichtigsten Abstraktionen, die in diesem Dokument behandelt werden, sind der Policy Decision Point (PDP) und der Policy Enforcement Point (PEP), die in Verbindung miteinander funktionieren. Der Policy Decision Point besteht aus der Policy Engine (PE) und dem Policy Administrator (PA). Die Policy Engine entscheidet anhand eines Vertrauensalgorithmus, ob einem Subjekt der Zugang zu einer Ressource gewährt werden soll. Diese Entscheidung wird vom Policy Administrator umgesetzt, der mit dem Policy Enforcement Point kommuniziert, um eine neue Sitzung zuzulassen oder zu verbieten und um eine bestehende Sitzung zu ändern oder zu beenden. Darüber hinaus werden Varianten des Vertrauensalgorithmus, Netzwerkkomponenten für eine Zero-Trust-Umgebung und verschiedene Anwendungsfälle oder Einsatzszenarien erörtert. Schließlich werden Möglichkeiten beleuchtet, wie die Zero-Trust-Architektur von Angreifern durchkreuzt werden kann, wodurch Implementierer sich der Bedrohung bewusst werden und geeignete Maßnahmen zum Schutz ihrer Zero-Trust-Architekturkomponenten ergreifen.
Mit dem Ziel, die Behörden bei der Entwicklung ihrer Zero-Trust-Pläne zu unterstützen, haben Vordenker der Cybersecurity and Infrastructure Security Agency (CISA) ein Zero-Trust-Reifegradmodell veröffentlicht.3 Die Arbeit baut auf der abstrakten Zero-Trust-Architektur auf, die in dem Dokument NIST SP 800-207 beschrieben wird. Die Autoren haben fünf Bereiche identifiziert und empfehlen den Unternehmen, die Zero-Trust-Prinzipien in allen Bereichen konsequent einzuhalten. Bei den Bereichen handelt es sich um (i) Identität, (ii) Gerät, (iii) Netzwerk, (iv) Anwendungsworkload und (v) Daten. Es wird empfohlen, in jedem der fünf Bereiche auf Transparenz und Analysen sowie auf Automatisierung und Orchestrierung zu setzen.
Das Dokument bietet ein überblicksartiges Reifegradmodell aller fünf zuvor genannten Grundpfeiler des Zero-Trust-Ansatzes und geht dann tiefer auf die einzelnen Bereiche ein. Unternehmen können das Reifegradmodell nutzen, um ihren aktuellen Status einzuordnen und einen iterativen Kurs in Richtung des optimalen Status einzuschlagen.
Nach der Entdeckung der SolarWinds-Angriffe gab die National Security Agency (NSA) mit ihrer Publikation „Einführung eines Zero-Trust-Sicherheitsmodells“ einen Leitfaden heraus, in dem sie Cybersicherheitsteams rät, ein Zero-Trust-Sicherheitsmodell einzuführen.4 Experten aus dem gemeinsamen Zero-Trust-Engineering-Team der Defense Information Systems Agency (DISA) und der National Security Agency verfassten das Dokument „Verteidigungsministerium (DOD): Zero-Trust-Referenzarchitektur“.5 Die Autoren bringen die Notwendigkeit der Einführung des Zero-Trust-Modells mit der folgenden Aussage zum Ausdruck: „Sicherheitslücken, die anlässlich von Datenschutzverletzungen innerhalb und außerhalb des Verteidigungsministeriums zutage getreten sind, zeigen die Notwendigkeit eines neuen und robusteren Cybersicherheitsmodells auf, das fundierte, risikobasierte Entscheidungen ermöglicht.“6
Die Empfehlungen im Zusammenhang mit dieser Referenzarchitektur basieren auf den Abstraktionen, die im Dokument NIST SP 800-207 „Zero-Trust-Architektur“ definiert sind. Das Dokument stellt ein umfassendes Betriebsmodell vor und geht detailliert auf die einzelnen Elemente ein. Es enthält auch ein überblicksartiges Reifegradmodell und ordnet Möglichkeiten zur Anwendung von Zero-Trust-Prinzipien verschiedenen relevanten Bereichen zu. Zusammen helfen diese Dokumente Unternehmen dabei, ihren aktuellen Status zu bewerten und einen Plan zu entwickeln.
Eine Einstellung, die von einer Sicherheitsverletzung ausgeht, und die Befolgung der Zero-Trust-Prinzipien können Unternehmen bei ihrem Risikomanagement und ihrer Führungspraxis helfen. Die Zero-Trust-Prinzipien der „kontinuierlichen Überwachung“ und „eindeutigen Verifizierung“ der an den Transaktionen beteiligten Akteure ermöglichen es Unternehmen, eine dynamische Risikobewertung für alle Akteure und deren Aktivitäten zu erstellen. Dies entspricht der Empfehlung von Gartner, die CARTA-Methode (Continuous Adaptive Risk and Trust Assessment – kontinuierliche, adaptive Risiko- und Vertrauenswürdigkeitsbewertung) zur Verbesserung der bestehenden Sicherheitsprogramme einzusetzen. Die Anwendung des Prinzips, einen Zugriff auf Ressourcen ausschließlich nach dem „Least Privilege“-Prinzip zuzulassen, verringert das Verlustrisiko auch im Falle einer Sicherheitsverletzung. Die durch kontinuierliche Überwachung und eindeutige Verifizierung gewonnenen Informationen sind auch für die Erstellung von Compliance-Berichten nützlich.
Dieser Abschnitt widmet sich der Denkweise – dem Glaubenssystem bzw. dem „Warum“, das hinter der Strategie und der Entscheidung für bestimmte Instrumente und Konzepte steht, die ein Unternehmen zur Erreichung der Zero-Trust-Sicherheit einsetzen sollte. De facto kann man den Antrieb für alle Methoden und Komponententechnologien, die von den heutigen Zero-Trust-Lösungen eingesetzt werden, auf vier einfache Schlüsselprinzipien herunterbrechen. Dieser Abschnitt beginnt mit einer Vorstellung dieser Prinzipien und setzt sich dann damit auseinander, wie sie im breiteren Kontext des Lebenszyklus der Anwendungsentwicklung angewandt werden können – wie also diese Prinzipien im Vorfeld, in der Designphase sowie operativ bei der Bereitstellung und Ausführung der Anwendung berücksichtigt werden können.
Versteht man Zero-Trust-Lösungen als Fundament für den Aufbau von Vertrauen in Systeminteraktionen – „Wer unternimmt was gegenüber wem?“ –, dann kann der Aufbau eines interaktionstauglichen Vertrauensniveaus in vier Komponenten heruntergebrochen werden.
Wie der Name schon sagt, folgt die Zero-Trust-Denkweise dem Ansatz „Niemals blind vertrauen, immer zuerst überprüfen“. Somit muss jeder Akteur im System – das Wer und das Wem in den Systeminteraktionen – folgende Voraussetzungen erfüllen:
Darüber hinaus lässt sich das Prinzip der eindeutigen Verifizierung nicht nur auf die Identität, sondern auch auf die Aktion – das „Was“ der Transaktion – anwenden. Oft kommt es vor, dass die Aktion in einem API-Aufruf besteht, z. B. im Fall einer API zur Durchführung einer Datenbankabfrage. In diesem Beispiel kann das Prinzip der eindeutigen Verifizierung nicht nur dazu verwendet werden, um Vertrauen in die Identität des Akteurs zu fassen, der die API aufruft, sondern auch, um die Korrektheit der Verwendung der API-Aktion zu überprüfen, wie z. B. um zu überprüfen, ob die an die API übermittelten Parameter die entsprechenden Vorgaben einhalten.
In einer ausgereiften Zero-Trust-Denkweise ist ein „Nachweis“ nahezu nie eine absolute Größe. Identitätsnachweise können gestohlen und Geräte kompromittiert werden; API-Parametervorgaben sind oft unvollständig. Daher sollte der Begriff „Vertrauen“ in einem Zero-Trust-Kontext eher als Hinweis darauf verstanden werden, wie wahrscheinlich es ist, dass die bescheinigte Identität oder die Transaktionsparameter legitim sind. Der „Grad der Vertrauenswürdigkeit“ sollte daher als ein wichtiger, jedoch nicht als der einzige Faktor bei der Entscheidung über die Zulassung, Sperrung oder weitere Prüfung einer Transaktion angesehen werden.
Sobald ein akzeptabler Grad an „Vertrauen“ in die an einer Transaktion beteiligten Akteure hergestellt ist, verlangt der Zero-Trust-Ansatz, dass dem Akteur (in der Regel dem Anfragenden, dem Wer) nur jene Mindestberechtigungen gewährt werden, die er benötigt, um das zu tun, was er in diesem System erreichen soll. Dieses Prinzip verkörpert ein sogenanntes „positives Sicherheitsmodell“ – einen Ansatz, bei dem alle Aktionen standardmäßig verboten sind und bestimmte Rechte nur dann gewährt werden, wenn sie für den Systembetrieb erforderlich sind. So kann es beispielsweise sein, dass ein Reservierungssystem anonymen Benutzern das Durchsuchen der Flugpläne gestattet, dass aber anonyme Benutzer nach den Anforderungen des Anwendungsentwurfs keinen Flug buchen dürfen.
Diese Berechtigungen können für einzelne Akteure oder Gruppen von Akteuren gelten. In der Regel sind Anwendungsnutzer entweder menschliche Akteure oder Proxys anstelle von Menschen, und sie werden in Klassen wie „anonyme Nutzer“, „Kunden“, „Partner“ oder „Mitarbeiter“ eingeteilt. Für die weniger vertrauenswürdigen Akteurklassen liegt die Schwelle der zu erreichenden Vertrauenswürdigkeit in der Regel niedriger, wenn es darum geht, die Authentifizierung zu bestehen, doch können sie auch auf weniger oder nur auf weniger sensible APIs zugreifen. „Interne“ Akteure, die zur Anwendung oder ihrer Infrastruktur gehören, wie z. B. bestimmte Dienste oder Container innerhalb einer Anwendung, verfügen oft über individuell angepasste Berechtigungen, wie z. B. „Nur Container und dürfen auf die Datenbank zugreifen, nur darf in den Objektspeicher schreiben, aber und dürfen darin lesen“.
Eine wichtige Überlegung bei der Umsetzung des „Least Privilege“-Prinzips ist das Bestreben, es auf maßgeschneiderte Weise und mit Voraussicht anzuwenden.7 Anstatt eine allgemeine Reihe von Berechtigungen für alle Akteure oder eine Klasse von Akteuren gelten zu lassen, sollte eine ausgereifte Zero-Trust-Implementierung das Augenmerk verstärkt darauf legen, welche Aktion durchgeführt werden soll. Sehr „grobkörnig“ betrachtet kann z. B. die Berechtigung „Zugriff auf Dateisystem“ gewährt werden, während „Lesezugriff auf das Dateisystem“ eine genauere Spezifikation des tatsächlich erforderlichen Rechts ist, was zu einer qualitativ hochwertigen Umsetzung des positiven Sicherheitsmodells führt.
Schließlich können anspruchsvollere Versionen des „Least Privilege“-Prinzips in Verbindung mit ausgereiften Implementierungen der „eindeutigen Verifizierung“ so funktionieren, dass die einem Akteur eingeräumten Rechte nicht als absolut betrachtet werden, sondern stattdessen als abhängig von der mit der Authentifizierung einhergehenden Vertrauenswürdigkeit. Somit werden Berechtigungen nur dann gewährt, wenn das Vertrauen in die bescheinigte Identität (Wer) einen Mindestschwellenwert erreicht, wobei die Schwellenwerte von der jeweils angestrebten Aktion abhängen. So kann beispielsweise eine besonders folgenreiche Aktion (z. B. das Herunterfahren des Systems) ein Vertrauen von 90 % oder mehr in die Tatsache erfordern, dass der Akteur ein Administrator ist. Falls in diesem Beispiel zu dem Zeitpunkt, zu dem die Abschaltung versucht wird, das Vertrauen des Systems in die Identität nur 80 % beträgt, würde das System eine zusätzliche Verifizierung verlangen, um das Vertrauen in die bescheinigte Identität zu erhöhen, bevor die Aktion zugelassen wird.
Die eindeutige Verifizierung und das „Least Privilege“-Prinzip sind Schlüsselkonzepte; der Grundsatz der kontinuierlichen Bewertung trägt jedoch dem Umstand Rechnung, dass diese Prinzipien kontinuierlich bewertet werden müssen:
Das letzte Prinzip beruht auf der Annahme hoch motivierter Gegner vor dem Hintergrund einer gesunden Paranoia. Konkret lautet die Prämisse: „Gehen Sie davon aus, dass Ihre Sicherheit verletzt wurde“. „Sicherheitsverletzung“ wird dabei definiert als „Transaktion, die (bei perfekter Kenntnis und Ausführung) hätte verweigert werden müssen, stattdessen aber zugelassen wurde“. Die Ursache für dieses Versehen kann in lückenhaften Kenntnissen bestehen (z. B. einem fälschlicherweise zu hoher Vertrauenswert, der sich aus einer Authentifizierung ergibt und auf unentdeckt gebliebene betrügerische Anmeldedaten zurückzuführen ist), oder auf eine eingeschränkte Implementierung (z. B. nicht ausreichend feinkörnige Spezifität der gewährten Berechtigungen, wie z. B. die Berechtigung „Netzwerkverbindung öffnen“ ohne die Möglichkeit, anhand des geografischen Standorts des Netzwerkziels zu differenzieren), oder das Versehen kann aus einer unvollständigen Zero-Trust-Implementierung resultieren (z. B. keine Anwendung des Zero-Trust-Ansatzes auf intern verwendete Open-Source-Komponenten, die Sicherheitslücken aufweisen).
Daher muss sich die Zero-Trust-Denkweise auch mit der Frage befassen, wie die Auswirkungen solcher Sicherheitsverletzungen am besten bewältigt bzw. minimiert werden können.
Die Umsetzung dieses Prinzips weist stärkere Abweichungen auf als die der anderen Prinzipien, läuft jedoch im Allgemeinen folgendermaßen ab:
Wird der Ansatz der richtlinienbasierten Anpassungen gewählt, können die Anpassungen mithilfe aller verfügbaren statischen Richtlinieninstrumente vorgenommen werden. Ein Beispiel für eine richtlinienbasierte Anpassung wäre die Einschränkung der Zugriffskontrollberechtigungen für einzelne Transaktionen (d. h. es wird nicht mehr zugelassen, dass wer was gegenüber wem unternimmt) oder die Anwendung eines strengeren „Nachweisstandards“ (also das Erfordernis einer MFA oder eines höheren Vertrauenswerts) auf einen Akteur (oder eine Akteurklasse) zur Durchführung einer bestimmten Aktion.
Wird stattdessen der Ansatz einer zusätzlichen „Auffangnetz“-Schicht gewählt, kann auch diese Strategie entweder feinkörnig oder grobkörnig umgesetzt werden. Die feinkörnigste Strategie bestünde darin, genau jene und nur jene Transaktionen zu blockieren, die ein bestimmtes Risiko-Nutzen-Verhältnis überschreiten, obwohl diese Lösung auch die Möglichkeit bietet, für einzelne zulässige Transaktionen unannehmbare Latenzzeiten festzulegen, wenn die Implementierung zusätzliche Analysen erfordert. Stattdessen können grobkörnigere Strategien angewandt werden, z. B. die Sperrung künftiger Transaktionen eines bestimmten Akteurs in einer Sandbox oder sogar der vollständige Ausschluss des Akteurs aus dem System. In extremen Fällen können sogar noch gröbere Abhilfemaßnahmen – wie das Deaktivieren der Datei-Eingabe und -ausgabe – angemessen sein.
Natürlich ist unter ansonsten gleichen Bedingungen eine feinkörnigere Abhilfemaßnahme mittels Auffangnetzes im Allgemeinen vorzuziehen. Allerdings müssen aufgrund von Einschränkungen bei den verfügbaren Lösungstechnologien oft Kompromisse eingegangen werden, und ein grobmaschiges Auffangnetz ist in der Regel besser als gar keines. Wenn beispielsweise die grobkörnige Reaktion zur Abwehr mutmaßlicher Ransomware darin besteht, die Dateieingabe und -ausgabe zu deaktivieren, sind die Nebenwirkungen dieser Reaktion u. U. immer noch der Alternative vorzuziehen, dem Akteur zu erlauben, weiterhin ungehindert im System zu operieren, wenn man davon ausgeht, dass das Ergebnis der Untätigkeit ein durch Ransomware verschlüsseltes Dateisystem wäre.
Der beste Startzeitpunkt für eine sichere Anwendungsentwicklung nach dem Zero-Trust-Prinzip ist – wenig überraschend – der Anfang. Die Grundprinzipien, die eine Anwendung von Zero-Trust-Grundsätzen ermöglichen, sollten bereits in der Designphase der Anwendungsentwicklungsprozesse berücksichtigt werden. Daher muss jede Diskussion über eine operative Zero-Trust-Lösung, die in die CI/CD-Pipeline integriert wird, mit einem Verständnis dieser grundlegenden Elemente beginnen, die zu den wichtigsten Designüberlegungen gehören sollten.
Der Kern dieser grundlegenden Elemente sollte das gewünschte/beabsichtigte Verhalten der Interaktion von Systemverhaltensweisen erfassen, gekoppelt mit ausreichender Transparenz und Kontrolle, um Abweichungen zu erkennen und darauf zu reagieren. Die beabsichtigten Interaktionen werden verwendet, um die gewünschte Reihe von Aktionen (was) für jeden Akteur (wer) gegenüber den einzelnen Zielen (wem) zu definieren. Allerdings kann es Szenarien und Umgebungen geben, in denen die beabsichtigten Interaktionsmuster unbekannt sind. In solchen Fällen kann ein Unternehmen verstärkt auf Transparenz setzen, um die Reihe von geeigneten Interaktionen zu „entdecken“8, die es dann in Richtlinien festlegen kann.
Bei den heutigen ZTNA-Lösungen, die sich auf eine identitätsgesteuerte Kontrolle des Zugriffs auf die externen APIs einer Anwendung konzentrieren, sind beispielsweise Transparenz und Kontrolle der Authentifizierungs-APIs erforderlich. Im Zusammenhang mit der Cloud Workload Protection Platform (CWPP) erfordert die Erkennung, dass eine Container-Workload kompromittiert wurde, einen Einblick in die Aktionen der einzelnen Container, und zwar in Echtzeit, falls eine Abhilfe in Echtzeit erforderlich ist.
Nachfolgend finden Sie eine Liste von übergeordneten Kategorien in Verbindung mit grundlegenden Überlegungen, die in den Designprozess einfließen sollten, und zusätzliche Fragestellungen im Zusammenhang mit den einzelnen Schlüsselpunkten:
Indem Sie diese Fragen ausdrücklich stellen, können Sie Lücken im Zero-Trust-Fundament aufspüren. Oftmals führt die bloße Frage in einem frühen Stadium der Entwicklung dazu, dass die Lücke mit minimalem zusätzlichem Entwicklungsaufwand behoben wird. Und wenn eine Lücke fortbesteht, hilft schon die Kenntnis der Lücke dabei, zusätzliche Sicherheitsschwerpunkte zu setzen oder anfällige Angriffsflächen zu identifizieren.
Diese Art, die Entwicklung im Vorfeld auf ihre Sicherheit hin zu analysieren, ist ein wesentlicher Bestandteil der Zero-Trust-Denkweise. Dennoch liegt der Zero-Trust-Schwerpunkt von heute darauf, was nach dem ursprünglichen Design passiert, und die meisten Unternehmen konzentrieren sich auf jene Zero-Trust-Aspekte, die nach dem Design zum Tragen kommen. Wenn man sich jedoch bereits in der Entwurfsphase Gedanken über eine effektive Implementierung des Zero-Trust-Prinzips macht, kann man verhindern, dass nach der Bereitstellung der Anwendung ein viel größerer inkrementeller Aufwand zum „Flicken der Löcher“ erforderlich ist.
Wie die Prämisse „Annahme einer Sicherheitsverletzung“ zeigt, muss ein Sicherheitsexperte davon ausgehen, dass ein hinreichend motivierter Angreifer es schafft, eine bösartige Transaktion auszuführen. Dabei handelt es sich um einen Fall von „Wer unternimmt was gegenüber wem“, der den Regeln der Richtlinie entspricht, aber in einer perfekten Welt nicht hätte zulässig sein dürfen. In solchen Fällen verlagert sich der Schwerpunkt auf einen wirksamen Auffangnetzmechanismus, der solche Fälle – in der Regel anhand von Beobachtungen von Transaktionsmustern und Systemnebeneffekten – aufspüren kann, wie im Abschnitt „Annahme einer Sicherheitsverletzung“ beschrieben.
Wie bei der Identität wird jedoch auch hier das Wissen darüber, ob eine bestimmte Transaktion bösartig ist oder nicht, niemals lückenlos sein. Daher sollte eine ideale Zero-Trust-Lösung, genau wie bei der Identität, einen „Vertrauenswert“ für die Rechtmäßigkeit der Transaktion angeben. Wenn beispielsweise ein Hintergrundprogramm 10 Sekunden lang das 10-fache der normalen Dateirate liest und schreibt, könnte dies zu einem Vertrauenswert (der Bösartigkeit) von 70 % führen. Steigt jedoch die Rate über eine Minute hinweg um das 100-fache an, könnte sich der Vertrauenswert auf 95 % erhöhen. In diesem Beispiel besteht immer noch eine gewisse Wahrscheinlichkeit (30 % oder 5 %), dass die Abhilfemaßnahme, nämlich das Unterbinden künftiger Schreibvorgänge, die falsche Reaktion ist – ein „falsch positives Ergebnis“. Daher muss bei der Entscheidung, ob Abhilfemaßnahmen ergriffen werden sollen oder nicht, das Risiko von falsch positiven Ergebnissen gegenüber den potenziellen Auswirkungen der Zulassung des möglicherweise bösartigen Verhaltens abgewogen werden.
Das Beispiel soll verdeutlichen, dass jede Entscheidung, eine für den Benutzer sichtbare Abhilfemaßnahme zu ergreifen, in Wirklichkeit eine geschäftliche Entscheidung ist, bei der alle mit der verdächtigen Aktivität verbundenen Risiken, Kosten und Vorteile berücksichtigt werden. Wird die Transaktion zusätzlich erschwert, so steigt die Wahrscheinlichkeit, dass der Wert nicht erreicht wird. Wird jedoch nicht eingegriffen, steigt das Risiko einer Kompromittierung. Daher hängt die Entscheidung, in solchen Fällen zu handeln (oder nicht), von drei Faktoren ab:
Während also eine Zero-Trust-Strategie die Tatsache einkalkulieren muss, dass es zu Sicherheitsverletzungen kommen wird, folgt eine durchdachte Herangehensweise bei der Entschärfung von Transaktionen, die zwar erlaubt sind, aber verdächtig erscheinen, einem Risiko-Nutzen-Ansatz. Dabei werden das Risikoniveau der verschiedenen Anwendungstransaktionen und die Folgen der Abhilfemaßnahmen berücksichtigt und Abhilfemaßnahmen nur dann getroffen, wenn das Risikoniveau den erwarteten geschäftlichen Nutzen übersteigt.
1 https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf
2 https://csrc.nist.gov/publications/detail/sp/800-207/final
3 https://www.cisa.gov/zero-trust-maturity-model
5 https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v1.1(U)_Mar21.pdf
6 https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v1.1(U)_Mar21.pdf
7 Die Vorüberlegungen beginnen bereits in der Entwurfsphase, wie später beschrieben.
8 Oder zumindest die Reihe der „vermeintlich angemessenen“ Interaktionen, die das System zu erfordern scheint. Es besteht immer das Risiko, dass die aus der Beobachtung abgeleitete Reihe der Interaktionen unvollständig oder mit einem bereits bestehenden Risiko behaftet sein könnte. Daher ist eine vorausschauende Entwurfsplanung stets vorzuziehen.