Das russische Sprichwort "Vertraue, aber überprüfe" (Доверяй, но проверяй), das von Präsident Ronald Reagan während der Gespräche mit der Sowjetunion über die nukleare Abrüstung populär gemacht wurde, ist ein Grundsatz, der sich seitdem in verschiedenen Bereichen der Wirtschaft und der Cybersicherheit durchgesetzt hat. Im Wesentlichen unterstreicht der Satz ein sorgfältiges Gleichgewicht zwischen Vertrauen und Kontrolle und erkennt an, dass Vertrauen zwar notwendig ist, aber immer von einer Überprüfung begleitet werden sollte.
In der modernen Landschaft der Informationssicherheit hat sich diese Philosophie zu dem entwickelt, was wir heute als Zero-Trust-Architektur (ZTA) bezeichnen, die Vertrauen in einer vernetzten Welt grundlegend neu überdenkt. Heute ist Zero Trust zu einem Schlüsselelement für die Sicherheit von Unternehmen geworden, vor allem in Zeiten, in denen Unternehmen mehrerecloud Umgebungen, Remote-Arbeit und vernetzte Systeme einführen.
Der "Trust and Verify"-Ansatz in der Zero Trust Architektur
Im Kern erkennt der Ansatz des "Trust and Verify " die Notwendigkeit eines anfänglichen Vertrauens an - einnotwendiges Element für jede Interaktion. Doch wie die Geschichte gezeigt hat, ist blindes Vertrauen eine Schwachstelle. Im Bereich der Cybersicherheit kann Vertrauen nicht aufgrund von Standort, Identität oder Privilegien angenommen werden, sondern muss ständig überprüft werden.
A Zero-Trust-Architektur spiegelt dieses Konzept wider, indem sie allen Entitäten in einem Netzwerk - ob innerhalb oder außerhalb des Perimeters - misstraut, bis sie authentifiziert und für den Zugriff auf bestimmte Ressourcen autorisiert werden können. In einem Zero-Trust-Modell ist der Zugriff auf Ressourcen kein einmaliges Tor, sondern basiert auf einer kontinuierlichen Bewertung des Verhaltens, der Privilegien und der Sicherheitslage einer Entität.
Herkömmliche Zero-Trust-Ansätze, die sich häufig auf statische Kontrollen wie die anfängliche Authentifizierung und Autorisierung stützen, können jedoch unzureichend sein. Angreifer können privilegierten Zugang ausnutzen oder Anmeldedaten stehlen, um ihre Rechte innerhalb des Netzwerks zu erweitern, nachdem sie den ersten Zugang erhalten haben. In diesen Fällen kann der "Verify"-Teil von "Trust but Verify" zum schwachen Glied werden, was uns zum nächsten Schritt in der Entwicklung von Zero Trust bringt: kontinuierliche adaptive Risiko- und Vertrauensbewertung.
Mehr als statisches Vertrauen: Das Argument für kontinuierliche Verifizierung
In der heutigen Bedrohungslandschaft reichen statische Bewertungen des Vertrauens nicht mehr aus. Cyberangreifer nutzen die Lücken in einem traditionellen Null-Vertrauensmodell aus, indem sie den Diebstahl von Anmeldeinformationen, die Ausweitung von Berechtigungen und die Fehlkonfiguration von Richtlinien ausnutzen, um sich nach dem Durchbrechen des Perimeters seitlich in einem Netzwerk zu bewegen.
Dies zeigte sich bei den jüngsten aufsehenerregenden Angriffen, wie z. B. dem Angriff auf die Lieferkette von SolarWinds und dem Vorfall bei Colonial Pipeline ransomware , bei dem die Angreifer einen ersten Zugang nutzten, um durch Ausnutzung von Schwachstellen in der internen Sicherheit eine weitreichende Netzwerkkontrolle zu erlangen.
Um diesen Herausforderungen zu begegnen, wurde das Konzept der kontinuierlichen adaptiven Risiko- und Vertrauensbewertung (CARTA) aufgetaucht. Wie Gartner feststellt, "müssen die Verantwortlichen für Sicherheit und Risikomanagement einen strategischen Ansatz verfolgen, bei dem die Sicherheit überall und jederzeit anpassungsfähig ist". Dieser Ansatz erfordert eine kontinuierliche Bewertung von Risiko und Vertrauen - nicht nur zum Zeitpunkt des Zugangs, sondern während des gesamten Lebenszyklus der Interaktion eines Unternehmens mit dem Netzwerk.
Im Zusammenhang mit der Philosophie "Vertrauen, aber überprüfen" verkörpert CARTA die Komponente "überprüfen" in Echtzeit. Es bewertet das Vertrauen auf der Grundlage des Verhaltens von Entitäten ständig neu und passt die Sicherheitsmaßnahmen dynamisch an, wenn ihre Handlungen von den erwarteten Mustern abweichen oder das Risiko erhöhen. Mit CARTA werden die Interaktionen zwischen Nutzern, Anwendungen und Diensten auch dann überwacht, wenn der Zugriff einmal gewährt wurde, und der Zugriff wird widerrufen oder angepasst, wenn Risikoschwellenwerte überschritten werden.
Vectra AIKontinuierliche Überwachung mit Privileged Access Analytics
Vectra AI geht bei dieser kontinuierlichen Überprüfung noch einen Schritt weiter mit Privileged Access Analytics (PAA). Während sich viele Sicherheitsplattformen darauf konzentrieren, ob einer Entität Privilegien gewährt werden, betont Vectra AImit PAA, wie die Entitäten diese Privilegien nutzen. Diese Verlagerung von gewährten Privilegien zu beobachteten Privilegien passt perfekt zur Denkweise von "Trust but Verify" (Vertrauen, aber Überprüfung) und ermöglicht eine Echtzeitüberwachung und kontinuierliche Risikobewertung.
Mithilfe der KI-gesteuerten Verhaltensanalyse identifiziert die Plattform Vectra AIAnomalien im Verhalten von Benutzern, Hosts und Diensten im Netzwerk. Durch die Analyse des Netzwerkverkehrs und -verhaltens bewertet PAA kontinuierlich, ob Entitäten ihre Privilegien angemessen nutzen und weist auf potenziellen Missbrauch oder verdächtige Aktionen hin.
Zum Beispiel:
- Diebstahl von Zugangsdaten kann aufgedeckt werden, indem überwacht wird, ob eine Einheit plötzlich auf Ressourcen zugreift, die nicht in ihrem üblichen Bereich liegen.
- Privilegieneskalation Versuche werden erkannt, wenn ein weniger privilegierter Benutzer plötzlich versucht, auf hoch privilegierte Bereiche zuzugreifen.
- Seitliche Bewegung innerhalb des Netzes wird erkannt, wenn Einheiten mit Systemen oder Diensten interagieren, mit denen sie normalerweise nicht in Berührung kommen.
Die Plattform weist außerdem jeder Entität Bedrohungswerte und Risikoprioritäten zu und stellt so sicher, dass sich die Sicherheitsteams in Echtzeit auf die wichtigsten Bedrohungen konzentrieren können. Diese kontinuierliche Überwachung geht über statisches Nullvertrauen hinaus und bietet eine dynamische und anpassungsfähige Sicherheitslage.
Der Vectra AI Vorteil: End-to-End-Sichtbarkeit
Zusätzlich zu Privileged Access Analytics kann die Vectra AI Plattform kontinuierlich die Hosts und ihr Verhalten auf Netzwerkebene. Dies umfasst die Identifizierung von Aktivitäten wie interne Aufklärung, seitliche Bewegungen und Datenexfiltration. Durch die Kombination von PAA und Verhaltensüberwachung bietet Vectra AI Sicherheitsteams einen durchgängigen Einblick in den gesamten Datenverkehr, von cloud bis zum Unternehmen und in hybriden Infrastrukturen.
Die Vectra AI Plattform lässt sich nahtlos in andere Sicherheitstools integrieren und ermöglicht eine adaptive Echtzeit-Bedrohungserkennung in komplexen Umgebungen, in denen Zero-Trust-Richtlinien implementiert sind. Dieser kontinuierliche Überprüfungsprozess stärkt Zero-Trust-Architekturen, indem er sicherstellt, dass Vertrauen niemals vorausgesetzt wird und dass alle Entitäten in Echtzeit überwacht und überprüft werden.
Stärkung von Zero Trust mit Vectra AI
Da Unternehmen zunehmend cloud-native und hybride Umgebungen einsetzen, muss sich das Zero-Trust-Modell weiterentwickeln. Durch die Konzentration auf eine kontinuierliche, adaptive Risiko- und Vertrauensbewertung stellt Vectra AI sicher, dass Vertrauen niemals statisch ist und die Überprüfung ein fortlaufender Prozess ist. Mit der Fähigkeit, das Verhalten auf allen Berechtigungsebenen und in allen Bereichen des Netzwerks zu überwachen, hilft Vectra AI Unternehmen, Bedrohungen in einer Zeit, in der Vertrauen sowohl eine Notwendigkeit als auch eine Schwachstelle ist, einen Schritt voraus zu sein.
Wenn Sie bereit sind, Ihre Zero-Trust-Strategie mit kontinuierlicher Verifizierung und Analyse des privilegierten Zugriffs zu verbessern, kontaktieren Sie uns, um eine Demo zu vereinbaren der Plattform Vectra AI zu vereinbaren, oder sprechen Sie mit einem unserer Mitarbeiter, um mehr darüber zu erfahren, wie wir Ihnen bei der Sicherung Ihres Netzwerks helfen können.