5 Zero-Trust-Mythen, die von John Kindervag und Michael Farnum widerlegt wurden

2010 veröffentlichte John Kindervag Keine zähen Zentren mehr: Einführung des Zero-Trust-Modells der Informationssicherheit, ein Bericht, in dem das von ihm entwickelte neue Konzept von Zero Trust detailliert beschrieben wird.

In den fast 15 Jahren, seit er das Konzept eingeführt hat, hat es in der Cybersicherheitsbranche breite Akzeptanz gefunden. Aber seine Definition wurde im Laufe der Zeit auch missverstanden. Es sind mehrere Zero-Trust-Mythen aufgetaucht, die Unternehmen auf ihrem Weg zur Cyber-Resilienz in die Irre führen.

Kindervag, jetzt Chefevangelist bei Illumio, ist bereit, reinen Tisch zu machen. Deshalb sprach er gemeinsam mit Michael Farnum, beratender CISO bei Trace3, über die häufigsten Zero-Trust-Mythen in der Branche und die Wahrheiten dahinter.

Schau dir ihre an vollständige Diskussion auf Anfrage, und lesen Sie weiter, um die Wahrheit vom Erfinder von Zero Trust und einem führenden Sicherheitsexperten zu erfahren.

John Kindervags Definition von Zero Trust

Der einzigartige Titel von Kindervags Bericht, Keine zähen Center mehr, stammt aus einem seiner Meinung nach alten Sprichwort in der Informationssicherheit: „Wir wollen, dass unser Netzwerk wie ein M&M ist, mit einer harten, knusprigen Außenseite und einer weichen, zähen Mitte.“ Das Motto basiert auf dem traditionellen Vertrauensmodell der Cybersicherheit. Es geht davon aus, dass Angreifer die „harte Außenseite“ des gesicherten Netzwerkperimeters nicht überwinden können.

Kindervag erklärt jedoch: „In der heutigen neuen Bedrohungslandschaft ist dies kein wirksames Mittel mehr, um die Sicherheit durchzusetzen. Sobald ein Angreifer die Shell passiert hat, hat er Zugriff auf alle Ressourcen in unserem Netzwerk.“

Das Zero-Trust-Modell ist die Antwort von Kindervag auf dieses alte Sicherheitsmodell.

„Zero Trust ist eine Strategie. Es ist kein Produkt. Du kannst es nicht kaufen „, sagte er.

Zero Trust wurde laut Kindervag entwickelt, um zwei Dinge zu tun:

• Stoppen Sie Datenschutzverletzungen (Kindervag definiert Datenschutzverletzungen als Vorfälle, bei denen sensible oder regulierte Daten aus einem Netzwerk oder System in die Hände eines böswilligen Akteurs gelangen)

• Verhindern Sie, dass Cyberangriffe erfolgreich sind

Zero Trust bietet eine Roadmap, um diese beiden Dinge auf strategischer Ebene zu erledigen. Es hilft Ihnen dabei, die richtigen Taktiken und Technologien zu finden.

„Cybersicherheit ist eine Reise, kein Ziel. Ich denke, das Gleiche gilt für Zero Trust „, bemerkte er.

Die 5 Schritte von Kindervag zu Zero Trust

1. Definieren Sie Ihre Schutzoberfläche: Sie können die Angriffsfläche nicht kontrollieren, da sie sich ständig weiterentwickelt, aber Sie können die Schutzfläche Ihres Unternehmens in kleine, leicht erkennbare Teile verkleinern. Die Schutzfläche umfasst in der Regel ein einzelnes Datenelement, einen Dienst oder eine einzelne Ressource.

2. Kartenkommunikation und Verkehrsflüsse: Sie können das System nicht schützen, ohne zu verstehen, wie es funktioniert. Ein Einblick in Ihre Umgebungen zeigt, wo Kontrollen erforderlich sind.

3. Schaffen Sie die Zero-Trust-Umgebung: Sobald Sie einen vollständigen Überblick über das Netzwerk haben, können Sie mit der Implementierung von Steuerungen beginnen, die auf jede Schutzfläche zugeschnitten sind.

4. Erstellen Sie Zero-Trust-Sicherheitsrichtlinien: Erstellen Sie Richtlinien, die eine granulare Regel enthalten, die es dem Verkehr ermöglicht, auf die Ressource in der geschützten Oberfläche zuzugreifen.

5. Überwachen und warten Sie das Netzwerk: Injizieren Sie die Telemetrie zurück in das Netzwerk und bauen Sie so eine Feedback-Schleife auf, die die Sicherheit kontinuierlich verbessert und ein robustes, antifragiles System aufbaut.

Zero-Trust-Mythos #1: Es gibt definierte Standards für Cybersicherheit und Zero Trust

„Es gibt keine Cybersicherheitsstandards auf der Welt“, sagte Kindervag. Trotz ihrer veröffentlichten Berichte über Zero Trust legen Organisationen wie NIST und CISA keine Cybersicherheitsstandards fest, sondern nur Leitlinien.

„Wenn du liest Das Zero-Trust-Reifegradmodell von CISA (ZTMM), sie sagen, es ist eine Möglichkeit, wie Sie es tun könnten. Sie sind überhaupt nicht präskriptiv, und ich auch nicht „, erklärte er.

Das bedeutet auch, dass es keinen Standard für Zero Trust gibt. Jedes Unternehmen ist einzigartig und muss beim Aufbau von Zero Trust einen einzigartigen Ansatz verfolgen. Sicherheitshinweise können sehr hilfreich sein, sind aber nicht unbedingt der beste Weg, dies zu tun.

Zero-Trust-Mythos #2: Sie können Zero Trust erlangen, indem Sie einer Checkliste folgen

In Wahrheit wird die Zero-Trust-Reise jedes Unternehmens anders sein. Das hängt von Ihrer Größe, Ihrem Wachstum, Ihrem Budget und Ihren Ressourcen ab.

„Es geht darum, den Punkt im Reifegradmodell herauszufinden, auf den Sie sich konzentrieren möchten und was Sie tun müssen, um ihn zu erreichen“, erklärte Kindervag.

Kindervag empfiehlt, mit der Schutzfläche Ihres Unternehmens zu beginnen. Die Teams müssen sich fragen: Was müssen wir schützen? Das ist etwas anderes als ein Ansatz, der mit der Angriffsfläche beginnt. Dies kann einen endlosen, fruchtlosen Kreislauf in Gang setzen, in dem auf Bedrohungen reagiert wird, anstatt sich proaktiv auf den Schutz der wichtigsten Ressourcen vorzubereiten.

Farnum stimmte zu, dass Trace3 häufig Organisationen beobachtet, die ihre Zero-Trust-Reise damit begonnen haben, sich auf die Angriffsfläche zu konzentrieren, aber dabei auf Fallstricke gestoßen sind. Stattdessen ermutigt Trace3 seine Kunden, anhand ihrer Schutzoberfläche die fünf Schritte von Kindervag zu Zero Trust zu nutzen.

Zero-Trust-Mythos #3: Zero Trust ist nur Identitätssicherheit

Kindervag warnte davor, Zero Trust „zu wörtlich“ zu nehmen. Für viele Sicherheitsverantwortliche kann dies so aussehen, als würden sie sich zu strikt an das Reifegradmodell halten.

„Die Leute haben das Gefühl, zuerst die gesamte Identität klären zu müssen, weil das die erste Zero-Trust-Säule ist“, sagte Kindervag. Stattdessen ermutigt er Unternehmen, sich ihre eigene Schutzfläche anzusehen und sich zuerst auf die Zero-Trust-Säule zu konzentrieren, die ihre wichtigsten Ressourcen schützt.

„Man muss es horizontal betrachten, nicht nur vertikal“, erklärte Kindervag.

Zero-Trust-Mythos #4: Der Kauf einer Zero-Trust-Plattform bedeutet, dass Sie Zero-Trust-Sicherheit haben

Wenn Sie in den letzten Jahren in der Cybersicherheitsbranche tätig waren, haben Sie den Begriff Verteidigung eingehend gehört. Doch für viele Unternehmen hat sich dieses Konzept laut Kindervag zu einem „kostenintensiven“ Konzept entwickelt.

Warum leiden Unternehmen immer noch unter schweren Cybervorfällen, obwohl wir mehr denn je für Sicherheitslösungen ausgeben?

„Wenn es bei der Sicherheit darum geht, genug Dinge zu kaufen oder genug Geld auszugeben, dann haben wir es getan“, sagte Kindervag.

Farnum sagte, er sehe, dass viele Unternehmen Geld für Sicherheitsplattformen ausgeben, ohne vorher zu verstehen, was sie schützen müssen. Sie ermutigen Kunden, ihr Denken über Zero Trust zu ändern, bevor sie weitere Käufe tätigen. Sie erhalten wieder Einblick in ihr Netzwerk und wissen, was am wichtigsten ist, es zu schützen.

Kindervag befürwortete diesen Ansatz. „Wir wollen nur, dass es automatisch auf magische Art und Weise wie Feenstaub funktioniert. Aber so funktioniert das nicht. Man beginnt immer mit der Schutzoberfläche.“

Zero-Trust-Mythos #5: „Zero Trust“ ist nur eine neue Verpackung für ein altes Sicherheitskonzept

Einige in der Cybersicherheitsbranche haben die Gültigkeit von Zero Trust in Frage gestellt. Sie haben es als Marketingjargon verurteilt, der nur eine alte Idee neu verpackt.

Aber für Kindervag zeigt das nur, dass sie das Konzept falsch verstehen. „Was war Zero Trust vor Zero Trust? Es gab kein Zero Trust. Das war das Problem „, sagte er.

In den 20^th Jahrhundert lag der Schwerpunkt auf perimetergestützter Sicherheit. Netzwerke wurden von außen nach innen konzipiert: Dem Äußeren wurde nicht vertraut und dem Inneren wurde vertraut. Dadurch entstanden im Inneren völlig offene, flache Netzwerke. Angreifer können nicht nur in das Netzwerk eindringen, sondern sich dort tagelang, wochenlang, monatelang oder sogar jahrelang aufhalten.

„Du musst deine Denkweise ändern“, stimmte Farnum zu. „Allen Schnittstellen sollte nicht vertraut werden. Nur weil Ihr Netzwerk läuft, heißt das nicht, dass es sicher ist.“

Illumio + Trace3-Partner, der Sie beim Aufbau von Zero Trust unterstützt

Trace3 ist ein führendes Technologieberatungsunternehmen, das Kunden dabei unterstützt, ihren gesamten IT-Bereich, einschließlich Cybersicherheit, aufzubauen, zu innovieren und zu verwalten. Sie haben sich mit Illumio zusammengetan, um Kunden beim Aufbau von Zero-Trust-Sicherheit mit Zero-Trust-Segmentierung zu unterstützen.

Zusammen bieten sie einen umfassenden Ansatz für den Aufbau und die Implementierung einer Zero-Trust-Architektur. Durch die Kombination der strategischen Expertise von Trace3 mit der fortschrittlichen Segmentierungstechnologie von Illumio können Sie einen maßgeschneiderten Zero-Trust-Ansatz finden, der den Sicherheitsanforderungen Ihres Unternehmens entspricht.

Gucke Kindervag's und Farnum's vollständiges Gespräch auf Abruf. Kontaktieren Sie uns noch heute um zu erfahren, wie Illumio + Trace3 Ihrem Unternehmen helfen kann, Zero Trust aufzubauen.