Es ist wieder einmal so weit: Es ist an der Zeit, einen Blick auf das vergangene Jahr zu werfen und einen Ausblick auf das kommende Jahr im Bereich der Cybersicherheit zu wagen.
Was für ein Jahr das war
Bereits im Januar 2004 wurde ein loser Zusammenschluss von CISOs namens Jericho Forum offiziell gegründet (die eigentliche Arbeit begann 2003), um das Konzept der De-Perimeterisierung zu definieren und zu fördern (technisch gesehen war es De-Perimeterisierung, da der Begriff erstmals von Paul Simmonds vorgeschlagen wurde und der Erfinder die Schreibweise wählen sollte). Das Jericho Forum vertrat den Standpunkt, dass die traditionellen Netzwerkgrenzen erodieren und die Unternehmen die Auswirkungen dieser Entwicklung auf die Sicherheit noch nicht erkannt haben.
Zu Beginn des Jahres 2020 waren viele der Konzepte, die in den vom Forum zwischen 2004 und 2013 (als das Jericho Forum seinen Erfolg erklärte und in The Open Group aufging) veröffentlichten Dokumenten zum Ausdruck kamen, weitgehend akzeptiert. Dennoch hielten viele Unternehmen an einem losen Konzept eines sicheren Netzwerkrands fest, während sie langsam eine Zero Trust genannte Architektur einführten, um besser mit der zunehmenden Verbreitung von SaaS-Anwendungen umgehen zu können.
Dann kam die Pandemie. Dies verstärkte mehrere Trends, die bereits im Gange waren: (a) der Wechsel zu Software-as-a-Service (SaaS)-Anwendungen anstelle ihrer Vor-Ort-Gegenstücke, (b) der Wechsel zu cloud Dienstanbietern anstelle der Erweiterung der eigenen oder gemieteten Rechenzentren um weitere Racks und (c) die Möglichkeit für Remote-Benutzer, sich direkt mit cloud-basierten Anwendungen zu verbinden, ohne ein VPN zu benutzen (oft als "Mobile-tocloud" bezeichnet). Die Trends (a) und (b) wurden durch den Wunsch angetrieben, keine Racks und Stacks zu bauen (was während einer Pandemie nur schwer möglich ist). Trend (c) resultierte aus der Notwendigkeit, alle Mitarbeiter nach Hause zu schicken und gleichzeitig festzustellen, dass die vorhandene VPN-Kapazität nicht ausreichte, um allen eine sichere (und leistungsfähige) Verbindung zu bieten.
Die Beschleunigung dieser Trends kam in Form von bestimmten Plänen für die nächsten 12 Monate, die in der ersten Woche der Heimarbeitsmandate ausgeführt wurden. Und aus 5-Jahres-Plänen für die Umstellung auf SaaS und cloud wurden plötzlich 24-Monats-Pläne.
Die Auswirkungen solcher Maßnahmen auf die Sicherheit sind tiefgreifend. Anstatt ihre Netzwerke zu entschärfen, indem sie Dinge wie das nicht ganz so vertrauenswürdige Internet der Dinge (IoT) innerhalb des Netzwerks zulassen (was auch schon seit einiger Zeit geschieht), haben Unternehmen ihre Architekturen umgedreht, indem sie die meisten Endnutzer aus dem Unternehmensnetzwerk verdrängt und die meisten Anwendungen auf cloudverlagert haben - entweder in Form von SaaS oder durch Nutzung von Infrastructure as a Service (IaaS) und Platform as a Service (PaaS), die von Unternehmen wie Amazon, Microsoft und Google bereitgestellt werden, um ihre eigenen Anwendungen auf cloud auszuführen.
Ausblick auf das Jahr 2021
Mit Blick auf das Jahr 2021 ist klar, dass die Pandemie den Arbeitsort Ihrer Mitarbeiter weiter einschränken und den Zugang zu Ihren eigenen physischen Rechenzentren erschweren wird. Und selbst wenn diese Beschränkungen (hoffentlich) in der zweiten Hälfte des Jahres 2021 aufgehoben werden, werden die durch die Pandemie verursachten Veränderungen bestehen bleiben: Nur weil die Mitarbeiter ins Büro zurückkehren können, heißt das noch lange nicht, dass sie jeden Arbeitstag dorthin gehen wollen. Die Fernarbeit (wenn auch nur in hybrider Form) wird sich also durchsetzen.
Daraus folgt, dass Ihre Sicherheitsarchitektur in erster Linie für Mitarbeiter geeignet sein muss, die von unbekannten Standorten aus arbeiten (mit zweifelhafter Netzwerksicherheit). Stellen Sie also sicher, dass die Laptops Ihrer Mitarbeiter so weit abgesichert sind, dass Sie ihnen zutrauen, sich in der großen, bösen Welt zurechtzufinden. Investitionen in Sicherheitsmaßnahmen, die die Endbenutzer nur dann schützen, wenn sie sich in Ihrem Büro aufhalten, sind reine Geldverschwendung. Dies bedeutet im Allgemeinen, dass Sie in eine moderne endpoint detection and response (EDR)-Lösung investieren sollten (beachten Sie, dass "Antivirus" offiziell zu einem pejorativen Begriff geworden ist). Und es bedeutet, dass Sie, wenn Sie einen Web-Proxy (von Gartner offiziell als Secure Web Gateway bezeichnet) zwischen den Rechnern der Endbenutzer und dem großen, bösen Internet dazwischenschalten wollen, in eine Lösung investieren sollten, die als SaaS angeboten wird.
Wenn Sie Ihren Endbenutzern den Zugang zu SaaS-Anwendungen (Office 365, G Suite, Salesforce usw.) und internen Anwendungen ermöglichen, die über Ihre cloud Plattform (AWS, Azure, GCP usw.) bereitgestellt werden, sollten Sie Ihre Identitätsinfrastruktur auf cloud verlagern. Anstatt also Active Directory (AD) (vor Ort) als Zentrum Ihres Identitätsuniversums zu verwenden und einige seiner Inhalte mit Azure AD oder Okta oder einem anderen cloud Identitätsanbieter (IdP) zu synchronisieren, sollten Sie in Erwägung ziehen, den Schwerpunkt auf cloud zu verlagern und Ihre Anwendungsfälle vor Ort so umzugestalten, dass sie in diese Architektur passen. Wechseln Sie außerdem von herkömmlichen VPNs, die Zugriff auf das gesamte Netzwerk bieten, zu Zero Trust Network Access (oder ZTNA, ein Akronym, das sich leicht merken lässt), um nur auf die Anwendungen zuzugreifen, auf die der Endbenutzer Zugriff haben soll.
Nachdem Sie alle Ihre Anwendungen aus dem Netz geworfen haben, müssen Sie sich endlich einen Überblick darüber verschaffen, wer was mit Ihren wichtigen Daten macht. Würden Sie es merken, wenn ein (hartnäckiger) Fuchs in Ihren (SaaS-angebotenen) Hühnerstall eingedrungen wäre? Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) ist eine kürzlich standardisierte Kategorie, die Angriffe erkennt und darauf reagiert, ohne auf Agenten auf den Endpunkten (EDR) angewiesen zu sein. Während sich frühe Versionen von NDR auf traditionelle Netzwerke konzentrierten (sie verarbeiteten nur Pakete), umfasst modernes NDR die Erkennung von und Reaktion auf Bedrohungen in diesem neuen hybriden/balkanisierten Netzwerk, das IaaS, PaaS und SaaS umfasst, und vereinheitlicht die Sichtbarkeit des Angriffsverlaufs in, über und durch dieses neue Netzwerk.
Die gute Nachricht
Die Änderungen, die die Sicherheitsteams aufgrund dieser Trends vornehmen, werden uns widerstandsfähiger gegen Angriffe machen und uns flexibler für die unvermeidlichen Veränderungen machen, die Unternehmen durchlaufen. Dies wird nicht der letzte Notfall sein, mit dem wir in unserem Leben konfrontiert werden, auch wenn die nächsten hoffentlich von viel geringerem Ausmaß sein werden - und wir werden beim nächsten Mal viel besser darauf vorbereitet sein, mit einem Notfall umzugehen.