Wie man aufhört, sich Sorgen zu machen und Zero Trust liebt

Wie man aufhört, sich Sorgen zu machen und Zero Trust liebt

Unzählige Artikel sind in den letzten Jahren zum Thema Zero Trust erschienen, die meisten davon Erkundungen und Exposés für Sicherheitsprofis.

Aber ich möchte für die Remote-Mitarbeiter auf der anderen Seite der sogenannten „Vertrauens“-Gleichung schreiben: die Menschen, die in den nächsten Jahren mit Veränderungen und Fallstricken konfrontiert werden, wenn Zero-Trust-Strategien umgesetzt und verfeinert werden.

Willkommen zu dieser jargonfreien Erklärung von Zero Trust.

Wenn Sie ein Sicherheits- oder IT-Experte sind, speichern Sie dieses Bulletin, um es mit Mitarbeitern, insbesondere Remote-Mitarbeitern, zu teilen, die verstehen müssen, was passiert und warum.

Zunächst einmal ist Zero Trust weder ein Produkt noch eine Dienstleistung, sondern eine Idee, ein Ansatz, eine Strategie.

Wir brauchen Zero Trust, um die Zukunft des Arbeitsplatzes zu sichern. Und der Grund dafür ist, dass die alte Strategie, die Perimetersicherheit, nicht mehr funktioniert.

Zusammen mit der Perimetersicherheit wurde eine Unternehmens-Firewall eingerichtet. Jedes Gerät und jede Anwendung innerhalb der Firewall sollte sicher sein: Ihnen wurde vertraut, weil sie sich darin befanden. Remote-Mitarbeiter können über ein virtuelles privates Netzwerk (VPN) auf die Firewall zugreifen. Dabei handelt es sich um eine Software, die Daten verschlüsselt und einer autorisierten Person den Zugriff auf die Firewall ermöglicht, sogar von einem Heimbüro oder Hotel in einem anderen Land aus.

Die Perimetersicherheit hat früher ziemlich gut funktioniert, aber die Welt hat sich verändert. Und jetzt geht es nicht mehr. Die Konnektivität ist zu komplex und Cyberangreifer sind zu raffiniert geworden. Heutzutage haben wir alle Arten von veralteten Netzwerken, komplexe Cloud-Computing-Anordnungen und eine Vielzahl winziger, verbundener, oft sensorbasierter Einheiten, die alle unter dem Dach des Internets der Dinge (IoT) vereint sind.

Und wir haben Sie. Wenn du.

Der Hauptgrund, warum die Perimetersicherheit nicht mehr funktioniert, ist, dass die Menschen nicht nur von ihrem Heimbüro aus arbeiten, sondern über jede Verbindung, überall und überall.

Denken Sie an Homeoffice. Mit einem Perimeter-Sicherheitsgerät würden Sie sich über ein VPN über Ihr Wi-Fi-Heimnetzwerk verbinden, sodass sich Ihr primärer Arbeits-Laptop innerhalb der Firewall befinden kann. Jetzt können mehrere Dinge passieren:

  • Das Hackerkind der Nachbarin, das von ihrem Schlafzimmer aus auf ihr WLAN zugreifen kann, nutzt diesen Zugang, um sich in ihren Laptop zu hacken, ihre VPN-Software zu kompromittieren und damit das gesamte Geschäft zu kompromittieren, denn jetzt befindet sie sich innerhalb des Perimeters. von Ihrem Arbeitsplatz.
  • Sie gehen für ein paar Minuten von Ihrem Laptop weg und während Sie noch eingeloggt sind, kommt der Freund Ihres Sohnes in Ihr Home Office, um sich einen Porno anzusehen. Dabei besuchen Sie eine verdächtige Seite, die automatisch allerlei Malware auf Ihren Laptop herunterlädt. Nach diesem Ereignis verbindet sich Ihr Laptop rund um die Uhr mit Servern in Osteuropa, sodass professionelle böswillige Hackerbanden den VPN-Zugriff auf Ihre Unternehmensnetzwerke nutzen können.
  • Ihre Eltern kaufen ihren Kindern zu Weihnachten ein Spielzeug, das sich per WLAN verbindet. Sie haben jetzt ein IoT-Gerät in Ihrem Heimnetzwerk von einem Unternehmen, das keine Pläne für die Veröffentlichung eines Sicherheitsupdates hat. Dieses Gerät ist ein weiterer Zugang zu Ihrem WLAN, Ihrem Laptop und Ihrem Unternehmen durch erfahrene Hacker, die von einem Auto vor der Tür aus operieren.
  • Diese Szenarien betreffen einen einzelnen WFH-Mitarbeiter. Stellen Sie sich nun 5000 Remote-Mitarbeiter in einem einzigen Unternehmen vor, die von zu Hause und auf der ganzen Welt arbeiten, alle mit einer unermesslichen Vielfalt an Schwachstellen.

    Sehen Sie, warum Remote-Arbeit der Feind der Perimetersicherheit ist?

    So funktioniert Zero Trust. Anstatt sich auf einen sicheren „Perimeter“ zu verlassen, der nicht gesichert werden kann, muss Ihr Unternehmen jeden Benutzer, jedes Gerät und jede Anwendung einzeln authentifizieren.

    Das bedeutet: Auch wenn Sie und Ihr Laptop berechtigt sind, auf Unternehmensressourcen zuzugreifen, wenn jemand ein USB-Laufwerk an Ihr System anschließt, haben weder dieses Laufwerk noch die darauf befindliche Software Zugriff auf dieselben Ressourcen. Der Hacker von nebenan kommt nicht rein. Malware, die auf Ihren Laptop heruntergeladen wurde, kann nicht darauf zugreifen. Zufällige IoT-Geräte, die in Ihrem Heim-WLAN angezeigt werden, können nicht darauf zugreifen.

    Der Nachteil ist, wie Sie sich vorstellen können, dass all diese Authentifizierungen den Aufwand erhöhen. Sie benötigen eine sehr gute Hygiene und gute Passwortpraktiken. Wahrscheinlich benötigen Sie eine biometrische Authentifizierung. Es wird versehentlich Fälle geben, in denen der Zugriff auf ein autorisiertes Gerät oder eine autorisierte Anwendung verweigert wird, und Sie müssen mit dem Support zusammenarbeiten, um das Problem zu lösen.

    Aber all diese Unannehmlichkeiten sind der Preis, den wir für die Leistungsfähigkeit von IoT, Cloud Computing und vor allem Remote-Arbeit zahlen.

    Der Prozess steht bevor und es wird eine Lernkurve geben. Aber am Ende fordere ich Sie auf, Zero Trust zu vertrauen. So sollte es jetzt laufen.

    Copyright © 2022 IDG Communications, Inc.