Share
Beitragsbild zu Der einzige Weg zu Zero Trust führt über Konvergenz

Der einzige Weg zu Zero Trust führt über Konvergenz

Ohne eine wirklich konvergente Identitätslösung haben Unternehmen keine Chance auf Zero Trust.

Viele Führungskräfte außerhalb der IT- und Sicherheitsbranche sind begeistert von Zero Trust und glänzenden neuen Lösungen, die Sicherheit auf Knopfdruck versprechen.

Für diejenigen unter uns, die in der Sicherheitspraxis tätig sind, sind ausgefallene Bezeichnungen und trendige Schlagworte nicht so wichtig wie die Umsetzung der Ideen. In diesem Fall: die Aufrechterhaltung des geringsten Privilegs.

Sicherheitsverantwortliche müssen den internen und externen Stimmen widerstehen, die ihnen suggerieren, sie könnten Zero Trust einfach in ein Produkt oder eine Plattform „einkaufen“. Anbieter sind großartig darin, die Idee einer Option von der Stange zu verkaufen – leider sind nicht alle Sicherheitslösungen gleich geschaffen. Vor allem dann nicht, wenn es um die Unterstützung eines „never trust, always verify“-Ansatzes geht.

Auch wenn die Zero-Trust-Prinzipien dazu beitragen, Lücken in der Cyberabwehr zu schließen, müssen Unternehmen aufpassen, dass sie nicht auf den Trichter kommen, einen ersten verheerenden Fehler zu begehen: die Akzeptanz von Nicht-Konvergenz.

Von Nicht-Konvergenz spricht man, wenn Anbieter disparate Produkte für Identity Governance und Administration (IGA), Privileged Access Management (PAM), Application GRC und Access Governance für Dritte zusammenfügen.

Dies ist die Wurzel des Problems.

Der Einsatz einzelner punktueller Identitätssicherheitsprodukte führt letztendlich zu Sicherheitslücken, Verwaltungsalbträumen und erhöhten Kosten.

Wie Nicht-Konvergenz Null-Vertrauen hemmt

Sie kennen den Spruch: „Ein eckiger Pflock passt nie in ein rundes Loch“.

Im Bereich der Cybersicherheit können wir dies auf die Verwendung fragmentierter Identitätstools anwenden (selbst wenn diese als „integrierte Lösung“ vermarktet werden), um Zero Trust zu unterstützen. Wenn es Unternehmen nicht gelingt, Sicherheitstools oder -funktionen zu vereinheitlichen, schwindet das Prinzip der geringsten Rechte und schwächt die Grundlage von Zero Trust.

Wenn ich die Fallstricke der Nicht-Konvergenz erkläre, sind hier einige der Probleme, die ich hervorhebe:

Nicht-Konvergenz bedeutet separate Einzellösungen.

Nicht konvergente Angebote können als integriert getarnt sein, während sie in Wirklichkeit hinter einer SSO-Wand (Single Sign-On) zusammengeschustert sind und keine einheitliche Architektur aufweisen. Eine konvergente Lösung hingegen ist architektonisch über alle Funktionen auf einer einzigen Codebasis vereinheitlicht, um Silos und blinde Flecken zu beseitigen. Dadurch können Sicherheitsteams die Identitätssicherheit von einem einzigen Kontrollpunkt aus verwalten – ohne Unterbrechungen oder Verzögerungen.

Die Nicht-Konvergenz erfordert das Entwirren sich überschneidender Identitäts-Personas und das Korrelieren von Informationssilos.

Viele IT-Teams setzen auf „eine Identität für das ganze Leben“, um den Zugriff und die risikobasierte Entscheidungsfindung zu verbessern. Durch die Vereinheitlichung von Identitäten können Unternehmen besser erkennen, worauf Benutzer Zugriff haben, um Verstöße gegen die Funktionstrennung zu verhindern. Die Informationen werden auch verwendet, um das Risiko des Zugriffs auf Ressourcen zu bewerten und können sowohl in On-Premise- als auch in Cloud-Umgebungen nachvollzogen werden. Die Konsolidierung mehrerer Identitäten zu einer einzigen Identität vereinfacht auch die Bewertung des Zugriffsrisikos in unterschiedlichen Umgebungen.

Fehlende Konvergenz schränkt die Sichtbarkeit in Multi-Cloud-Umgebungen ein.

Die Unterstützung von Zero Trust erfordert, dass Unternehmen die Sicherheits- und Governance-Herausforderungen lösen, die in Multi-Cloud- und Hybrid-Umgebungen auftreten. Beispielsweise sind Unternehmen mit Ressourcen, die über mehrere Cloud-Anbieter verteilt sind, anfälliger für Risiken durch toxische Berechtigungen. Konvergente Modelle bieten (per Definition) detaillierte Ansichten von Cloud- und On-Premise-Ressourcen.

Sobald jede architektonische Umgebung sichtbar ist, können Sicherheitsverantwortliche Informationen aus verschiedenen Lösungen zentralisieren und Identitäten und Berechtigungen den Compliance-Kontrollen zuordnen. Anschließend können sie diese in ihrem gesamten Sicherheitsprogramm anwenden. Natürlich werden solide Risikoentscheidungen dadurch einfacher.

Die Nicht-Konvergenz schränkt die Nützlichkeit von Zugangsanträgen ein.

Ein weit offener Zugriff durch Superuser ist das Kryptonit von Zero Trust.

Im Gegensatz zu zusammengeflickten Einzellösungen zentralisieren konvergente Identitätsplattformen das Identitätsmanagement und die Governance mit Komponenten, die die zugrunde liegenden Prozesse gemeinsam nutzen. Durch die Zusammenführung von IGA, PAM und der Zugriffssteuerung von Drittanbietern und Anwendungen können Unternehmen den Zugriff besser anpassen, Kontrollen vereinheitlichen und das Risikomanagement für jede Identität, Anwendung und Cloud verbessern.

Sicherheitsadministratoren können außerdem kontextbezogene (z. B. durchschnittliche Nutzung durch Kollegen oder Rollenberechtigungen des Antragstellers) und gerätespezifische Informationen, Benutzerverhalten und Analysen in die Zugriffsanforderungsprozesse einbringen, um ihre IT-Umgebungen besser zu schützen.

Vorwärtskommen

Die Abwehr von Insider-Bedrohungen ist eine der kompliziertesten Verteidigungsmaßnahmen.

Wie Security Intelligence detailliert ausführt, ist die Unterscheidung zwischen der normalen Aktivität eines Benutzers und einer anomalen Aktivität eine Herausforderung. Insider wissen, wo sich sensible Daten befinden, und viele von ihnen verfügen über eine hohe Zugriffsberechtigung.

Konvergente Lösungen verringern die daraus resultierenden Bedrohungen – und reduzieren die damit verbundenen Probleme der Überversorgung und des permanenten Zugriffs.

Natürlich ist Zero Trust eine Denkweise und eine Reise; man kann es nicht kaufen.

Aber Sie können es durch koordinierte Bemühungen ermöglichen, Mitarbeitern, Dritten und Maschinen einen minimalen, bedarfsgerechten Zugriff zu gewähren. Dies erfordert Tools, die flexibel und erweiterbar sind, um den sich ständig ändernden IT-Infrastrukturen, Benutzeranforderungen und Bedrohungen gerecht zu werden.

Autor: Greg Liewer