Autor
Reinhold Zurfluh
Veröffentlicht
07. Dezember 2023
Weltweit sind Unternehmen bestrebt, sich durch beschleunigte Innovation einen Wettbewerbsvorsprung und mehr Agilität zu schaffen. Sicherheitsexpert*innen sind sich einig: Um dies zu erreichen, ohne die Sicherheit von Usern, Workloads und Geräten in zukunftsfähigen IT-Umgebungen zu beeinträchtigen, müssen herkömmliche Netzwerk- und Sicherheitsansätze überdacht werden. Dazu empfiehlt sich die Umstellung auf eine Zero-Trust-Architektur. In einer fünfteiligen Blogserie zeigen wir Ihnen konkrete Ansätze für die praktische Umsetzung anhand der fünf Säulen «Identity», «Devices», «Networks», «Applications & Workloads» und «Data». Teil eins widmet sich der Gerätesicherheit – ein entscheidender Faktor in einer Welt, in der Cyber-Bedrohungen kontinuierlich zunehmen.
In einer zunehmend digitalen Welt mit ständig fortschreitenden Cyber-Bedrohungen ist der Bedarf an robusten Cyber-Sicherheitsstrategien von grösster Bedeutung. Hier kommt Zero Trust 2.0 ins Spiel: Ein umfassender Rahmen, der von der Cyber Security and Infrastructure Security Agency (CISA) entwickelt wurde. In einem anderen Blogartikel haben wir bereits darüber berichtet.
Zero Trust 2.0 baut auf den Grundsätzen der Zero-Trust-Architektur auf und führt fünf miteinander verbundene Säulen ein, um eine verstärkte Verteidigung gegen moderne Cyber-Bedrohungen zu schaffen. In unserer Blogserie gehen wir auf jede Säule ein und stellen konkrete Massnahmen und Ansätze vor, mit denen sich unter Verwendung vorhandener Technologien ein fortgeschrittenes Sicherheitsniveau erreichen lässt.
Gerätesicherheit als tragende Säule
Eine Säule von Zero Trust 2.0 konzentriert sich auf die Sicherung von Geräten. In der Cyber-Sicherheit bilden Geräte eine Grundlage für unsere digitale Welt. Von Laptops über Smartphones bis hin zu IoT-Geräten dienen diese Endpunkte als Verbindung ins digitale Universum, stellen jedoch auch erhebliche Schwachstellen dar. Hier kommt bei Zero Trust 2.0 die Gerätesicherheit ins Spiel.
In diesem Abschnitt werden wir die kritischen Aspekte dieser Säule beleuchten und konkrete Massnahmen sowie Ansätze untersuchen, mit denen Sie Ihre Gerätesicherheit auf ein fortschrittliches Niveau heben können – und das alles unter Verwendung vorhandener Technologien.
Um ein fortgeschrittenes Sicherheitsniveau zu erreichen, sollten Unternehmen:
- Endpoint Detection & Response (EDR)-Lösungen implementieren, um Geräte kontinuierlich zu überwachen und auf Bedrohungen zu reagieren.
- Mobile Device Management (MDM)-Systeme einsetzen, um Sicherheitsrichtlinien auf mobilen Geräten durchzusetzen.
- Network Access Control (NAC) einsetzen, um sicherzustellen, dass nur vertrauenswürdige Geräte auf das Netzwerk zugreifen können.
Kontinuierliche Wachsamkeit mit Endpoint Detection & Response (EDR)
Das Herzstück der Gerätesicherheit ist das Prinzip der ständigen Wachsamkeit. Herkömmliche Sicherheitsmodelle stützten sich auf den Schutz der Umgebung, aber Zero Trust 2.0 erkennt an, dass Bedrohungen auch von innen kommen und sich schnell anpassen können. Um diese Risiken zu minimieren, sollten EDR-Lösungen implementiert werden.
EDR geht über herkömmliche Antiviren-Software hinaus, indem es Endpunkte kontinuierlich auf verdächtige Aktivitäten überwacht. Wird eine potenzielle Bedrohung erkannt, reagiert die EDR-Lösung in Echtzeit, isoliert das Gerät oder ergreift die notwendigen Massnahmen, um die Bedrohung zu neutralisieren. Dieses Mass an proaktivem Schutz ist in der heutigen Bedrohungslandschaft unerlässlich.
Mobile Geräte erfordern besondere Aufmerksamkeit
Die Allgegenwärtigkeit mobiler Geräte im beruflichen wie privaten Alltag prädestiniert sie zu einem Hauptziel von Cyber-Kriminellen. Daher ist es wichtig, die Grundsätze von Zero Trust auf diese Geräte auszuweiten. Mobile Device Management (MDM)-Systeme spielen hierbei eine entscheidende Rolle. MDM-Lösungen ermöglichen es Unternehmen, Sicherheitsrichtlinien für mobile Geräte durchzusetzen. Sie gewährleisten zudem, dass diese Geräte mit aktuellen Patches versorgt, die Verschlüsselung aktiviert und sicher konfiguriert sind. Dies trägt dazu bei, dass mobile Geräte nicht zu Schwachstellen in der Sicherheitskette werden.
Zugriffskontrolle mit Network Access Control (NAC)
Die Kontrolle darüber, dass nur berechtigte Personen und Geräte auf Ihr Netzwerk zugreifen können, ist ein Eckpfeiler von Zero Trust. NAC-Lösungen bieten die Möglichkeit, genau das zu tun. Sie setzen Richtlinien durch, die den Zugriff basierend auf dem Gerätezustand und der Identität gewähren oder verweigern. So kann beispielsweise einem Gerät, das nicht über eine aktuelle Antiviren-Software verfügt oder bekannte Schwachstellen aufweist, der Zugriff auf sensible Ressourcen verweigert werden, bis es die Sicherheitsstandards erfüllt. NAC erhöht somit die Sicherheit, indem es sicherstellt, dass nur vertrauenswürdige Geräte eine Verbindung zum Netzwerk herstellen können. Dadurch wird die Angriffsfläche reduziert und der Zero-Trust-Ansatz optimal abgedeckt.
Ein einheitlicher Ansatz für Gerätesicherheit
Ein fortschrittliches Sicherheitsniveau der Geräte erfordert einen ganzheitlichen Ansatz. Es genügt nicht, sich ausschliesslich auf (r)eine Technologie oder Strategie zu verlassen. Unternehmen sollten daher EDR, MDM und NAC in ein einheitliches Sicherheits-Framework integrieren. Diese Technologien arbeiten im Tandem und bilden zusammen eine optimale Verteidigung gegen Bedrohungen am Endpunkt – auf Basis von Zero Trust. Darüber hinaus können regelmässige Sicherheitsbewertungen und Penetration-Tests Schwachstellen in Ihrer Gerätesicherheitsstrategie aufdecken und eine kontinuierliche Verbesserung ermöglichen.
Unser konkreter Umsetzungstipp zur Gerätesicherheit auf Basis von Zero Trust
Die Implementierung des Zero-Trust-Frameworks erfordert eine sorgfältige Planung. Ein Schlüsselaspekt ist dabei die Kategorisierung von Endpunkten für den Zero Trust Network Access (ZTNA), sei es anhand von Agenten oder Kommunikationsverhalten – auch bei IoT-Geräten.
Beispiele einer Kategorisierung der Endpunkte
- Interne konforme Geräte
Hierbei handelt es sich um Geräte, die der Domäne angehören und bestimmte Sicherheitsanforderungen erfüllen, beispielsweise ein gültiges Zertifikat oder aktuelle Anti-Malware-Software. - Interne Geräte mit Zugriff auf sensible Daten
Diese Geräte müssen spezifische Anforderungen (wie interne konforme Geräte) erfüllen; ergänzend ein gültiges Unternehmenszertifikat, aktuelle EDR-Lösung und mehr. - Weitere Kategorien wie externe Geräte, IoT-Geräte usw.
Wichtige Entscheidungskriterien für Sicherheitsregeln
Eine Kategorisierung sämtlicher Endpunkte ist für die Erstellung von Sicherheitsregeln auf einer Firewall resp. Policy Enforcement Point (PEP) unerlässlich. So wird jedes Gerät identifiziert und der Zugriff nur autorisierten Endgeräten gewährt.
Die Kategorisierung von Endpunkten ist jedoch nur ein Teil des Puzzles. Um den ZTNA-Ansatz vollständig umzusetzen, müssen weitere Informationen berücksichtigt werden. Dazu gehören:
- Benutzer und Gruppenzugehörigkeiten
Identifizierung des Benutzers und seiner Gruppenzugehörigkeiten, um den Zugriff basierend auf den individuellen Berechtigungen zu steuern. - Standort (Geo-IP, IP-Range)
Berücksichtigung des Standorts des Benutzers oder Gerätes, um Zugriffe aus bestimmten geografischen Regionen zu steuern. - Eingesetzte Applikation
Identifizierung der verwendeten Applikationen anhand des Datenverkehrs, um den Zugriff auf spezifische Anwendungen zu kontrollieren. - Ziel des Zugriffs
Berücksichtigung des Ziels, auf das zugegriffen werden soll und eventuell eines Zeitplans für den Zugriff. - Weiterführende Datenanalyse
Eine zusätzliche Analyse der Daten, wie beispielsweise die Erkennung von Malware, Zero-Day-Angriffen und Command-and-Control-Verkehr, um Bedrohungen in Echtzeit zu identifizieren.
Durch die Umsetzung dieser technischen Massnahmen und die fortlaufende Überwachung der Endpunkte können Organisationen ein höheres Mass an Sicherheit und Compliance erreichen. Die Kombination all dieser Faktoren ermöglicht eine präzise und adaptive Steuerung des Netzwerkzugriffs der Endgeräte, die dem Zero-Trust-Prinzip entspricht.
Zero Trust am Endgerät – eine Zusammenfassung und Ausblick
Zusammenfassend bildet die Gerätesicherheit innerhalb des Konzepts von Zero Trust 2.0 das Fundament einer jeden robusten Cyber-Sicherheitsstrategie. Durch die Implementierung von EDR für kontinuierliche Wachsamkeit, MDM für die Kontrolle mobiler Geräte und NAC für die gezielte Zugriffskontrolle können Unternehmen ihre digitale Verteidigungslinie stärken. Dabei wird das fortschrittliche Niveau der Gerätesicherheit nicht durch eine einzelne Massnahme erreicht, sondern durch einen umfassenden, integrierten Ansatz, der sich an die sich ständig verändernde Bedrohungslandschaft anpasst.
Die Implementierung geeigneter Technologien und Strategien trägt dazu bei, dass Ihre Geräte in der digitalen Welt zu verlässlichen Partnern werden und nicht zu anfälligen Schwachstellen. Dies ist entscheidend, um sich in einer zunehmend komplexeren und bedrohungsreicheren digitalen Welt zu schützen.
Zero Trust – und so geht es weiter…
Im zweiten Teil der Blogserie widmen wir uns einem weiteren wichtigen Aspekt von Zero Trust 2.0: den Identitäten. In der dynamischen Bedrohungslandschaft ist die Kontrolle über den Zugang zu Ihrem digitalen Reich von immenser Bedeutung. Identitäten sind hierbei die Torwächter.
Sie wollen Ihre Zero-Trust-Umsetzung überprüfen? Hier geht's zu unserem Zero Trust Readiness Assessment.
Möchten Sie Ihren Einblick vertiefen?
Unsere Blogserie «Zero Trust 2.0 - In 5 Schritten umgesetzt» eröffnet Ihnen eine vollständige 360°-Perspektive:
- Teil 1: Gerätesicherheit
- Teil 2: Identitätenmanagement
- Teil 3: Netzwerksicherheit
- Teil 4: Datensicherheit
- Teil 5: Analytik und Automatisierung
Wir wünschen Ihnen eine inspirierende Lektüre.
