Thought Leadership
Angesichts des zunehmenden regulatorischen Drucks ist eine wichtige Anforderung fast aller Vorschriften, die Cybersicherheitsexperten betreffen, die Datensicherheit.
Von der DSGVO über HIPAA und NIS2 bis hin zu PCI DSS, NYDFS und darüber hinaus verlangen die regulatorischen Anforderungen, dass Sicherheitsteams nachweisbare Strategien zum Schutz kritischer Daten implementieren.
Gleichzeitig ist die Dringlichkeit von Zero Trust so hoch wie nie zuvor, da 90 Prozent der Cybersicherheitsexperten Zero Trust als Schlüssel zur Verbesserung der Cybersicherheit betrachten. Nachdem die neuesten Zero-Trust-Richtlinien der CISA bestätigt haben, dass Mikrosegmentierung eine grundlegende Säule der Zero-Trust-Sicherheit ist, betrachten Unternehmen Mikrosegmentierung als strategische Notwendigkeit und nicht mehr nur als wünschenswerte Optimierung.
Zum Glück für Sicherheitsverantwortliche überschneiden sich diese beiden Prioritäten, anstatt miteinander zu konkurrieren. Unternehmen können Zero-Trust-Prinzipien auf die Datensicherheit anwenden, indem sie identitätsbasierte Mikrosegmentierung nutzen, um Zugriff mit geringsten Rechten durchzusetzen, den Explosionsradius drastisch zu reduzieren und die Compliance zu optimieren.
Was ist Zero-Trust-Datensicherheit?
Datensicherheit ist der Ansatz, mit dem digitale Informationen vor unbefugtem Zugriff, Beschädigung und Diebstahl geschützt werden. Zero-Trust-Datensicherheit (ZT) erfordert die Anwendung des Kernprinzips von ZT „Niemals vertrauen, immer überprüfen“ zum Schutz von Daten.
Datensicherheit wird oft im Zusammenhang mit Kontrollmechanismen wie Verschlüsselung oder Redigierung diskutiert. Aus der Perspektive von Zero Trust wandelt sich Datensicherheit jedoch von einem eigenständigen Werkzeug zu einer mehrschichtigen operativen Initiative. Mit anderen Worten: Zero-Trust-Datensicherheit ist eine Säule einer umfassenderen, vernetzten Zero-Trust-Architektur.
Leitfaden zur Zero-Trust-Datensicherheit der US-Bundesregierung: Wichtigste Erkenntnisse
Da die US-Bundesregierung die Einhaltung der Verordnung (EO) 14028 zur Verbesserung der Cybersicherheit des Landes vorantreibt, haben Behörden wie CISA und NSA sowie gemeinsame Task Forces wie die Zero Trust Data Security Working Group Leitlinien veröffentlicht, um Unternehmen bei der Umsetzung der Zero-Trust-Prinzipien zu unterstützen. Der Federal Zero Trust Data Security Guide bietet einen umfassenden Leitfaden für die Umsetzung von Zero-Trust-Strategien speziell im Bereich der Datensicherheit.
Der Leitfaden weist Sicherheitsteams an:
- eine datenzentrierte Sichtweise mit umfassender Transparenz über alle Umgebungen hinweg anzunehmen
- überall Richtlinien für den Zugriff mit geringsten Berechtigungen zu standardisieren
- die Wahrscheinlichkeit und die Auswirkungen von Sicherheitsverletzungen messbar zu reduzieren, um über den Erfolg von Datensicherheitsinitiativen zu berichten
- Datensicherheit sollte während ihres gesamten Lebenszyklus anpassungsfähig und risikobewusst sein
Die Konzentration auf Prinzipien wie diese hilft, die Rolle der Mikrosegmentierung in der Zero-Trust-Datensicherheit zu verdeutlichen. Während die Daten- und Netzwerk-Säulen innerhalb einer ganzheitlichen Zero-Trust-Architektur klar voneinander getrennt sind, heben Cybersicherheitsbehörden die Mikrosegmentierung ausdrücklich als Mittel zur Verbesserung der Datensicherheit hervor.
Wie Zero-Trust-Mikrosegmentierung die Datensicherheit erhöht
Eine umfassende Mikrosegmentierung erhöht direkt die Datensicherheit, indem sie den Zugriff mit geringsten Rechten erzwingt und die Angriffsfläche bei Sicherheitsverletzungen minimiert. Laut CISA-Leitfaden zur Mikrosegmentierung in Zero Trust heißt es: „Mikrosegmentierung kann die Sicherheit von Systemen und Daten erheblich verbessern und dazu beitragen, den Bereich zu verringern, auf den sich eine kompromittierte Ressource auswirken kann (…) Mikrosegmentierung schränkt die Möglichkeiten für Bedrohungen ein, netzwerknahe Systeme und Daten durch Schwachstellen oder andere Schwächen auszunutzen. Dadurch begrenzt die Mikrosegmentierung die Auswirkungen auf ein Unternehmen, wenn sie ausgenutzt wird.“
Die CISA betont auch die Notwendigkeit einer Mikrosegmentierungslösung, um einen richtliniengesteuerten Zugriff zu ermöglichen – einen adaptiven Ansatz für die Gewährung von Zugriff auf der Grundlage von Identität, Gerätezustand, Verhaltensindikatoren und mehr. Wie im Federal Zero Trust Data Security Guide dargelegt, können Sicherheitsteams die Datensicherheit am effektivsten verbessern und Zero-Trust-Prinzipien anwenden, indem sie die Durchsetzung von Zugriffs- und Segmentierungsrichtlinien kombinieren, um Bedrohungen auf allen möglichen Ebenen zu blockieren.
Dies verdeutlicht, dass Mikrosegmentierung die Datensicherheit verbessert, indem sie Zero-Trust-Prinzipien sowohl durch Netzwerksegmentierung als auch durch identitätsbasierte Zugriffsrichtlinien operationalisiert.
Dynamische Kontrolle des Zugriffs auf sensible Daten mit identitätsbasierten Richtlinien
Durch die Überwachung des legitimen Netzwerkverhaltens, um den erforderlichen Zugriff jeder Identität zu ermitteln, erstellt die identitätsbasierte Zero-Trust-Mikrosegmentierung Zugriffsrichtlinien mit minimalen Berechtigungen, die sich an Veränderungen im Netzwerk anpassen. Dadurch wird der Zugriff auf sensible Daten sowohl genau überwacht als auch auf das geringste Privileg beschränkt, sodass gestohlene Anmeldedaten für Angreifer keinen uneingeschränkten Zugriff ermöglichen.
Allzu oft sammeln Identitäten weit mehr Zugriffsrechte an als nötig, sodass Hacker ein falsch konfiguriertes Konto für einen zerstörerischen Angriff nutzen können – eine Realität, die durch Beispiele aus der Praxis untermauert wird. Bei einem kürzlich von Michael Matok, Incident Remediation & Recovery Lead bei Sygnia, untersuchten Sicherheitsvorfall nutzten Angreifer die in einem kompromittierten System gespeicherten Anmeldedaten eines Dienstkontos, um sich über RDP-Sitzungen von einem Domänenadministratorkonto aus seitlich zu bewegen. Was eigentlich ein LDAP-Bind-Konto mit geringen Berechtigungen und Lesezugriff sein sollte, verfügte über übermäßige Zugriffsrechte, die es Hackern ermöglichten, das Passwort des Domänenadministratorkontos zu ändern.
Begrenzung des Explosionsradius zur Isolierung von Bedrohungen
Mikrosegmentierung ist der Goldstandard zur Verhinderung lateraler Bewegungen. Durch den Schutz aller Assets innerhalb ihrer eigenen isolierten Zone stellt die Mikrosegmentierung sicher, dass ein einzelnes kompromittiertes Asset nicht zu einer weitreichenden Datenverletzung eskaliert.
Beispielsweise nutzte die Akira-Ransomware-Gruppe kürzlich eine kompromittierte Webcam als Vektor für laterale Bewegungen, um von der ungeschützten Ressource aus zu sensibleren Bereichen des Netzwerks zu gelangen. Mit Mikrosegmentierung hätten Angreifer niemals eine laterale Bewegung durchführen können. Stattdessen wäre die Bedrohung sofort neutralisiert worden.
Anwendung von Just-in-Time-MFA für privilegierten Zugriff
Auf Identitäten basierende Zugriffsrichtlinien mit geringsten Privilegien sind der Schlüssel zur Beseitigung übermäßiger Berechtigungsrisiken und zur tatsächlichen Umsetzung von Zero Trust. Bestimmte Konten und Aktivitäten erfordern dennoch einen erweiterten Zugriff. Sicherheitsteams benötigen eine Möglichkeit, administrative Aktivitäten durchzuführen, ohne operative Reibungsverluste oder Schutzlücken zu verursachen.
Mit einer identitätsbasierten Mikrosegmentierung, gestützt durch MFA auf Netzwerkebene, können Unternehmen Just-in-Time-MFA anwenden, um zusätzliche Überprüfungen für Administrator- und Dienstkonten, privilegierte Ports oder den Zugriff auf wichtige Systeme zu verlangen. Dies ist sogar für ältere Datenbanken und andere Nicht-SaaS-Ressourcen möglich, die mit herkömmlicher MFA nur schwer zu schützen sind.
Wichtige Funktionen für Zero Trust-Mikrosegmentierung: Adaptiver Schutz und Identitätsausrichtung
Während moderne Mikrosegmentierung die Datensicherheit erheblich verbessern kann, sind einige Funktionen entscheidend, um die Branchenrichtlinien einzuhalten, die Herausforderungen älterer Segmentierungslösungen zu überwinden und Daten effektiv zu schützen:
- Automatisierte Erstellung und Durchsetzung von Richtlinien: Um sicherzustellen, dass eine Mikrosegmentierungslösung echte geringste Privilegien basierend auf dem beobachteten Netzwerkverhalten durchsetzt, sollte sie deterministische Automatisierung nutzen, die Segmentierungs- und Zugriffsrichtlinien dynamisch aktualisiert, wenn sich das Netzwerk weiterentwickelt.
- Identitätsbasierte Zugriffsrichtlinien: Regeln sollten auf der Grundlage der Identität von Benutzern, Geräten oder Anwendungen erstellt werden. Durch das Erfassen aller Anmeldeaktivitäten, Kontoverhaltensweisen und Zugriffsmuster auf Ressourcen für jeden Benutzer können deterministische Richtlinien auf der Grundlage legitimer Identitätsaktivitäten erstellt werden.
- Integrierte MFA-Funktionen: Um die Compliance zu optimieren und besonders sensiblen Systemen und Daten eine zusätzliche Schutzebene hinzuzufügen, sollte eine Mikrosegmentierungslösung eine Just-in-Time-MFA-Überprüfung für privilegierten Zugriff ermöglichen.
Aufbau einer resilienten Sicherheitsarchitektur
Mit automatisierter, identitätsorientierter Mikrosegmentierung können Sicherheitsteams die Datensicherheit verbessern, indem sie Richtlinien für den Zugriff mit geringsten Berechtigungen in komplexen Umgebungen durchsetzen. Für alle sensiblen Daten erfolgt eine Just-in-Time-MFA-Verifizierung. Die proaktive Isolierung von Assets durch umfassende Mikrosegmentierung dient dazu, die Angriffsfläche zu minimieren. Teil der sich selbst schützenden Netzwerkarchitektur ist auch umfassende Echtzeit-Sichtbarkeit über Netzwerkaktivitäten und Zugriffsmuster, während die dynamische Anpassung von Richtlinien es ermöglicht, den Schutz bei der Weiterentwicklung des Netzwerks aufrechtzuerhalten.
Unternehmen können jetzt die Zero-Trust-Mikrosegmentierung vereinfachen, um ihre Datensicherheit und Resilienz zu stärken, ohne zusätzlichen manuellen Aufwand oder operative Probleme zu verursachen.
