7 praktische Tipps für CISOs beim Aufbau von Zero Trust von Netskope CISO Neil Thacker
Zum Abschluss der zweiten Staffel von Das Segment: Ein Zero-Trust-Leadership-Podcast, es ist aufregend, auf die Gespräche zurückzublicken, die ich mit einigen der führenden Experten der Branche geführt habe. Jedes von ihnen bietet eine einzigartige Perspektive darauf, wie sich Unternehmen an die sich ständig ändernde Bedrohungslandschaft von heute anpassen können.
In dieser letzten Folge hatte ich das Privileg, mit Neil Thacker, EMEA Chief Information Security Officer (CISO) bei Netskope, zusammenzusitzen. Neil verfügt über einen reichen Erfahrungsschatz im Aufbau eines belastbaren Zero-Trust-Frameworks. Während unserer Diskussion gab er sieben Tipps, die Sicherheitsverantwortlichen und CISOs helfen können, den Weg zu Zero Trust zu finden.
1. Schauen Sie über den traditionellen Umkreis hinaus
Neil begann in den 1990er Jahren in der Cybersicherheitsbranche und arbeitete an einem Service Desk, der Menschen dabei half, eine sichere Verbindung zum Internet herzustellen. Er wechselte schnell in technische und beratende Funktionen, bevor er in die Geschäftsleitung wechselte.
Neil erinnerte sich an die Anfänge seiner Karriere, als die Sicherung des Perimeters im Mittelpunkt jedes Sicherheitsteams stand. Damals bestand das Ziel darin, das Netzwerk und die Ressourcen des Unternehmens vor externen Bedrohungen zu schützen.
Aber die Zeiten haben sich geändert. Wenn man sich heute auf einen solchen Perimeter verlässt, entsteht ein falsches Sicherheitsgefühl.
„Der Perimeter hat sich aufgelöst“, sagte Neil. „Wir haben das gesehen, noch bevor wir es Cloud genannt haben. Unternehmen verlagerten Daten und Abläufe auf externe Server, und die Sicherung dieser Verbindungen wurde wichtiger denn je.“
Heute, in einer Welt, in der Mitarbeiter remote arbeiten und Daten über hybride Multi-Cloud-Umgebungen verstreut sind, ist die Idee einer herkömmlicher Netzwerkperimeter ist veraltet. Diese neue Art der Vernetzung erhöhte die Komplexität und damit auch die exponentielle Zunahme von Sicherheitsverletzungen und Ransomware-Angriffen.
Neil sagte, CISOs sollten sich dieser neuen Realität stellen, indem sie den Fokus von der Verteidigung fester Grenzen auf die Sicherung von Zugangspunkten verlagern, wo auch immer sie sich befinden. Verschließen Sie nicht einfach die Netzwerktüren — sperren Sie jedes Gerät, jede App und jeden Datenfluss, der für das Unternehmen nicht notwendig ist. Je eher sich Ihr Team der grenzenlosen Welt zuwendet, desto eher sind Sie auf moderne Cyberbedrohungen vorbereitet.
2. Machen Sie Risikomanagement zu Ihrem Leitstern
Anstatt Ihre Ressourcen zu verschwenden, legte Neil Wert darauf, sich auf Risiken zu konzentrieren. In der heutigen Bedrohungslandschaft ist es nicht nur unpraktisch, sondern auch unmöglich, alles gleichermaßen zu schützen. Der Schlüssel liegt darin, zu verstehen, was für Ihr Unternehmen am wichtigsten ist.
„In einer perfekten Welt können Sie alle Daten schützen, mit denen Ihr Unternehmen täglich Transaktionen durchführt. Aber das ist nicht realistisch „, sagte er. „Es dreht sich alles um die Priorisierung von Risiken. Woher kommen Ihre größten Risiken?“
Laut Neil konzentrieren sich die erfolgreichsten Sicherheitsstrategien auf kritische Vermögenswerte und Bereiche mit hohem Risiko. Er ermutigte CISOs, schwierige Fragen zu stellen: Welche Daten sind für das Unternehmen am wichtigsten? Was passiert, wenn Sie den Zugriff darauf verlieren? Was sind die finanziellen oder Reputationsauswirkungen? Diese Antworten sollten die Sicherheitsbemühungen vorantreiben.
3. Lassen Sie nicht zu, dass sich Ihre Zero-Trust-Strategie ausschließlich auf Identität konzentriert
Die Überprüfung der Benutzeridentitäten ist zwar von entscheidender Bedeutung, aber Null Vertrauen Der Ansatz sollte viel weiter gehen, erklärte Neil. Er warnte davor, zu viel Wert nur auf Identität zu legen, was seiner Meinung nach viele CISOs tun.
Stattdessen schlug Neil eine umfassendere Sichtweise vor, die Signale wie Körperhaltung, Standort und Aktivitätsmuster des Geräts einbezieht.
„Identität ist nur ein Teil der Gleichung“, erklärte er. „Sie müssen auch das Gerät, den Standort und den Kontext berücksichtigen, der hinter der Zugriffsanforderung steht.“
Um Ihr Zero-Trust-Modell zu verbessern, empfahl er einen vielschichtigen Ansatz. Stellen Sie sicher, dass Ihre Sicherheitsentscheidungen auf mehreren Signalen basieren und nicht nur auf der Identität. Der Zustand eines Geräts, der Standort und die Vertraulichkeit der Daten, auf die zugegriffen wird, sind alle gleichermaßen wichtig, um zu entscheiden, ob der Zugriff gewährt wird.
4. Lassen Sie die Sicherheit den Daten folgen
Neil bestand darauf, dass Daten in jedem Zero-Trust-Modell immer die Priorität bleiben sollten. Da Benutzer, Geräte und Anwendungen von überall aus eine Verbindung herstellen, muss die Sicherheit den Daten folgen. Dadurch wird sichergestellt, dass Daten geschützt sind, egal wo sie sich befinden.
„Sie können sich nicht mehr darauf verlassen, nur das Netzwerk zu sichern“, sagte Neil. „Sie müssen die Daten schützen, egal wo sie übertragen werden.“ Das bedeutet, dass Sicherheitskontrollen angewendet werden, die sich mit den Daten in allen Umgebungen bewegen.
Es geht nicht nur darum zu überwachen, wer auf die Daten zugreift, sondern auch, wie diese Daten verwendet werden und wohin sie fließen. Datenzentrierte Sicherheit stellt sicher, dass Ihre Daten unabhängig davon, wo sie landen — ob in der Cloud, auf einem Endpunkt oder im Netzwerk eines Partners — durch konsistente Sicherheitsrichtlinien abgedeckt werden.
5. Konsolidieren Sie Ihren Sicherheits-Stack für mehr Effizienz
Neil glaubt, dass eine zentrale Herausforderung für viele CISOs nicht nur in der Abwehr von Bedrohungen besteht, sondern auch in der Bewältigung der Komplexität. Zu viele Sicherheitstools können mehr Kopfschmerzen bereiten als Lösungen. Neil riet Sicherheitsverantwortlichen, ihre Sicherheits-Stacks zu rationalisieren, indem sie die Tools nach Möglichkeit konsolidieren.
„Es gibt einen guten Punkt, wenn es um die Anzahl der Sicherheitstools geht“, stellte er fest. „Wenn Sie Ihren Stapel auf unter 10 reduzieren können, haben Sie einen viel überschaubareren Ort.“
Das Jonglieren mit Dutzenden von Systemen kann zu Lücken in Sichtbarkeit und Sicherheit oder überlappende Funktionen. Neil betonte die Integration weniger, dafür effektiverer Tools, die auf einer einzigen Plattform mehr leisten. Durch die Vereinfachung Ihres Stacks reduzieren Sie die Komplexität, sparen Kosten und erhalten ein klareres Bild von der Sicherheitslage Ihres Unternehmens.
6. Fügen Sie Ihren Sicherheitsberechnungen Zeit hinzu
Neil glaubt, dass ein oft übersehener Aspekt von Zero Trust die Zeit ist. Verstehen wenn Der Zugriff auf Daten kann genauso wichtig sein wie das Verständnis wer greift darauf zu.
„Wenn Sie Zero Trust aufbauen, sollten Sie die Zeit berücksichtigen, da Daten ihren eigenen Lebenszyklus haben“, erklärte er.
Neil führte das Beispiel von Fusionen und Übernahmen (M&A) an, bei denen einige Datenbestände zu einem bestimmten Zeitpunkt streng vertraulich behandelt werden. Nach einem bestimmten Zeitpunkt sind diese Daten nicht mehr so vertraulich.
„Zu verstehen, wie sich Zeit auf Daten und deren Sicherheitsanforderungen auswirkt, muss Teil Ihrer Überlegungen zur Zero-Trust-Strategie sein“, sagte er.
Mit anderen Worten, betrachte die Zeit als ein weiteres Sicherheitssignal. Richten Sie beispielsweise Kontrollen ein, die verhindern, dass vertrauliche Daten außerhalb der Geschäftszeiten abgerufen werden, oder kennzeichnen Sie Zugriffsanfragen, die nicht den typischen Nutzungsmustern entsprechen. Zeitbedingte Anomalien können ein starker Indikator für böswillige Aktivitäten oder ein kompromittiertes Konto sein.
7. Richten Sie Zero Trust auf die Geschäftsziele aus
Eine Zero-Trust-Strategie muss dem Unternehmen dienen — nicht nur der IT-Abteilung. Neil hob hervor, wie wichtig es ist, mit Geschäftsführern in ihrer Sprache zu kommunizieren. Das bedeutet, dass Sie sich darauf konzentrieren müssen, wie Sicherheit Wachstum und Geschäftskontinuität unterstützt, und nicht nur auf die technischen Details Ihres Sicherheitsplans.
„Ich habe den Wert von Diskussionen gesehen, die sich weniger auf die technische Seite konzentrieren“, sagte Neil. „Für den Vorstand geht es nicht darum, wie viele Systeme wir implementieren oder wie viele Vorfälle wir hatten. Letztlich ging es darum, wie wir das Unternehmen unterstützen und dem Unternehmen helfen, voranzukommen.“
Wenn Sie dem Vorstand oder der Geschäftsleitung Zero-Trust-Strategien vorstellen, formulieren Sie diese in Bezug auf geschäftlicher Wert. Wie schützt Zero Trust wichtige Einnahmequellen? Wie werden geistiges Eigentum und Kundendaten geschützt? Indem Sie Ihre Sicherheitsbemühungen an den Geschäftsprioritäten ausrichten, erhalten Sie die Unterstützung der Unternehmensleitung, die Sie benötigen, um Zero Trust im gesamten Unternehmen erfolgreich aufzubauen.
Höre zu, abonniere und rezensiere Das Segment: Ein Zero-Trust-Leadership-Podcast
Wie Neils Erfahrung beim Aufbau von Zero Trust bei Netskope zeigt, handelt es sich bei Zero Trust nicht um einen Ansatz nach dem Motto „Alles einrichten und vergessen“. Es ist eine Denkweise und ein kontinuierlicher Prozess des Lernens, Verbesserns und Skalierens.
Willst du mehr erfahren? Höre dir die ganze Folge an unsere Website, Apple-Podcasts, Spotify, oder wo auch immer du deine Podcasts bekommst. Sie können auch das vollständige Protokoll der Episode lesen.