Zero Trust operationalisieren — Schritt 1: Identifizieren Sie, was geschützt werden muss
Diese Blogserie baut auf Ideen auf, die in meinem letzten Beitrag vorgestellt wurden.“Zero Trust ist nicht schwer... Wenn Sie pragmatisch sind“.
In meinem vorherigen Beitrag habe ich sechs Schritte skizziert, um Zero Trust zu erreichen. In dieser Reihe werde ich jeden der zuvor beschriebenen sechs Schritte untersuchen, um einen soliden Rahmen zu schaffen, der von Fachleuten für Mikrosegmentierung in großen und kleinen Organisationen genutzt werden kann, um ihre Projekte erfolgreicher zu gestalten. Bevor ich beginne, finden Sie hier eine visuelle Darstellung der einzelnen Schritte:
Schritt 1: Identifizieren Sie, was geschützt werden soll
In den Kinderschuhen der Arbeitsplatztechnologie, bevor sie allgegenwärtig wurde, verfolgten Unternehmen einen sehr „Pferde für Kurse“ -Ansatz. Aus Unternehmenssicht bedeutete dies einen taktischen Ansatz bei der Einführung neuer Funktionen — seien es neue Hardware, Betriebssysteme oder Software — es ging immer darum, was für die jeweilige Aufgabe am besten geeignet war, anstatt zu versuchen, Lösungen für einen generischen Anwendungsfall zu finden.
Da die Technologie in kleinem Maßstab eingesetzt wurde, waren Ad-hoc-Lösungen überschaubar und produktiver als der Versuch, Skaleneffekte zu erzielen oder strategische Lösungen zu entwickeln, die für alle relevant sein könnten.
Inzwischen wissen wir jedoch, dass es mit dem Wachstum von Unternehmen einen Wendepunkt gibt, an dem die Kosten und die Effektivität des Betriebs von Ad-hoc-Lösungen durch die Fähigkeit, generische Komponenten zu nutzen, mit denen überall effektive Lösungen entwickelt werden können, zunichte gemacht werden.
Bei der Einführung und dem Einsatz von Sicherheitstechnologien ist das nicht anders, weshalb die Einführung neuer Sicherheitsfunktionen ein so komplexes, langwieriges und langwieriges Unterfangen ist, insbesondere wenn diese Fähigkeit präventiv sein soll.
Warum sage ich das alles oben Genannte? Dieser Kontext veranschaulicht, wie Sie mit einer strategischen (d. h. allumfassenden, langfristigen und komplexen) Initiative wie der Verabschiedung einer Zero-Trust-Mentalität indem Sie mit taktischen (d. h. hochspezifischen, kurzfristigen und relativ einfachen) Schritten beginnen.
Letztlich sollte es unser Ziel sein, in unserer gesamten Organisation ein Zero-Trust-Framework einzuführen. Dieses langfristige Ziel ist für die Bestätigung dieser Fortschritte unerlässlich, und jeder Schritt wird uns diesem Ziel näher bringen. Um ein vollständiges Zero Trust zu erreichen, sind jedoch viele solcher Schritte über einen langen Zeitraum erforderlich, und bei einem „Alles oder nichts“ -Ansatz kann es schwierig sein, den ROI nachzuweisen. Wenn Sie kurzfristig keine messbaren Fortschritte vorweisen können (von Quartal zu Quartal, wenn nicht sogar so aggressiv wie von Monat zu Monat), können Unterstützung und Interesse an der Initiative nachlassen, da andere Prioritäten in den Mittelpunkt rücken.
Versuchen Sie stattdessen, Ihr langfristiges Ziel — die unternehmensweite Einführung von Zero Trust — zu erreichen, indem Sie eine Anwendung oder eine Sammlung von Anwendungen ins Visier nehmen, die:
- Haben Sie einen starken Antrieb für die Einführung der Zero-Trust-Sicherheitsprinzipien. Im Idealfall handelt es sich dabei um ein regulatorisches Mandat oder um ein Prüfungsergebnis, das korrigiert werden muss. Der andere starke Grund für die Einführung von Zero Trust ist ein „Vorfall“ — jeder hat einen, und wie das alte Sprichwort sagt: „Verschwende niemals eine Krise“. Dadurch wird sichergestellt, dass die Bereitschaft (und Notwendigkeit) besteht, Veränderungen zu akzeptieren.
- Sind als kritische Anwendungen gekennzeichnet. Wenn Sie sich zu Beginn des Prozesses auf die wichtigsten Anwendungen konzentrieren, bietet dies die besten Lernmöglichkeiten. Wenn dies gelingt, kann dies jedoch das Vertrauen in den Nutzen der Technologie für andere, weniger wichtige Teile des Unternehmens stärken. Dies sind auch Anwendungen, die den wichtigsten Entscheidungsträgern häufig am besten bekannt sind, sodass sie bei Fortschritten direkten Einblick in den ROI haben, der sich aus der Zero-Trust-Initiative ergibt.
- Seien Sie bereit, Versuchskaninchen zu sein. Dies ist ein Experiment, und es besteht kein Zweifel, dass es mit den damit verbundenen Risiken verbunden ist. Durch die Einführung von Zero Trust stellen Sie die üblichen Zugangsmodelle auf den Kopf, was zu Wachstumsschmerzen führen kann. Die Zusammenarbeit mit Anwendungsteams, die mit den Risiken der Einführung vertraut sind, ist äußerst wertvoll. Sie werden Ihre zukünftigen Champions sein, wenn Sie versuchen, die Akzeptanz zu erhöhen.
Ich finde das SWIFT oder PCI-DSS Systeme, Entwicklungsworkloads in einem Produktionsnetzwerk, kritische Sicherheitsdienste, Anwendungen, die ungepatcht ausgeführt werden, und/oder Komponenten, die nicht mehr verfügbar sind, eignen sich hervorragend als Erstanwender der Zero-Trust-Segmentierung, da sie mindestens zwei der oben genannten Anforderungen erfüllen. Welche Anwendungen haben Sie, die in diese Kategorien passen?
Sobald Sie herausgefunden haben, was Sie schützen möchten, können Sie entscheiden, auf welche Zero-Trust-Säule Sie sich konzentrieren sollten und insbesondere, welche Kontrolle Sie genau durchsetzen werden — beides wird im nächsten Beitrag dieser Reihe behandelt.
Kannst du meinen nächsten Beitrag kaum erwarten, um mehr zu erfahren? Besuchen Sie unsere Seite darüber, wie Sie Ihre Zero-Trust-Strategie mit Mikrosegmentierung operationalisieren können, um Insiderinformationen zu erhalten.