NIST bestätigt die Wichtigkeit des Zero-Trust-Ansatzes für die moderne Cybersecurity

Zero Trust wurde 2010 vom Forrester-Analysten John Kindervag aus der Taufe gehoben. Bis ca. 2019 hatte es einen Dornröschenschlaf gemacht, um heute sehr prominent diskutiert zu werden. Mit der Veröffentlichung des NIST.SP.800-207 im August 2020 hat die Methode den Ritterschlag der US-amerikanischen Behörden erhalten.

Vor kurzem hat das US-amerikanische Information Technology Laboratory (ITL) am National Institute of Standards and Technology (NIST) ein Paper publiziert. Das Paper bestätigt unter anderem die Wichtigkeit des Zero-Trust-Ansatzes für die moderne Cybersecurity von Unternehmen und Organisationen.

Das ITL gibt an, dass die Infrastruktur eines Unternehmens komplexer geworden sei. Ein Unternehmen kann heute mehrere interne Netzwerke, Filialen mit eigener lokaler Infrastruktur betreiben sowie mehrere Cloud-Dienste nutzen. Die herkömmlichen Instrumente der Netzwerksicherheit bieten keinen umfassenden Schutz mehr, weil es nun keinen einzigen Perimeter gäbe, der sich eindeutig identifizieren lässt. Ausserdem: Die auf dem Perimeter basierten Sicherheitsinstrumente können Angreifer, die den Perimeter durchbrochen haben, nicht stoppen, heisst es im Paper.

Zero Trust als relevantes Konzept

Die Forscher bestätigen, dass Zero Trust den sicherheitsrelevanten Herausforderungen bei Remote-Benutzern, BYOD-Konzepten und Cloud-basierten Ressourcen, die sich nicht mehr innerhalb eines Unternehmensnetzwerks befinden, begegnen kann. Zero Trust konzentriere sich auf den Schutz von Ressourcen (Assets, Dienste, Workflows, Netzwerkkonten usw.) und nicht auf Netzwerksegmente, da der Netzwerkstandort nicht mehr als primäre Komponente für die Sicherheitslage eines Objektes angesehen wird.

Der Zero-Trust-Ansatz geht gemäss dem Information Technology Laboratory davon aus, dass ein Angreifer in der Umgebung präsent sei. In diesem neuen Paradigma, stellen die Autoren fest, müsse ein Unternehmen kein implizites Vertrauen annehmen und die Risiken für seine Ressourcen kontinuierlich analysieren und Schutzmassnahmen zur Minimierung dieser Risiken ergreifen. Diese Schutzmassnahmen beinhalten in der Regel die Einschränkung des Zugriffs auf Ressourcen auf Basis von Zugriffsrechten und der kontinuierlichen Prüfung der Benutzeridentität.  

Diese Grundprinzipien sind bei Zero Trust zu beachten

Laut Autoren kann der Zero-Trust-Ansatz Unternehmen von Bedrohungen schützen und deren Sicherheitslage verbessern, wenn sie diesen Grundprinzipien folgen.

1. Alle Datenquellen und Rechendienste gelten als die zu schützenden Ressourcen.
2. Die gesamte Kommunikation ist unabhängig vom Standort des Netzwerks abgesichert.
3. Der Zugriffsgewährung auf einzelne Unternehmensressourcen erfolgt pro Sitzung.
4. Der Zugriff auf Ressourcen wird durch dynamische Richtlinien bestimmt, einschliesslich der zu prüfenden Client-Identität, der Anwendung/des Dienstes und der Ressourcen, und kann andere Verhaltens- und Umgebungsattribute umfassen.
5. Das Unternehmen überwacht und misst die Integrität und Sicherheitslage aller im Besitz befindlichen und verbundenen Assets.
6. Die Authentifizierung und Autorisierung beim Zugriff auf Ressourcen erfolgen dynamisch und werden streng durchgesetzt, bevor der Zugriff gestattet wird.
7. Das Unternehmen sammelt so viele Informationen wie möglich über den aktuellen Zustand der Unternehmensressourcen, der Netzwerk- und Kommunikationsinfrastruktur und verwendet sie zur Verbesserung seiner Sicherheitslage.

Wir kennen Zero Trust aus Erfahrung. Gerne begleiten wir Sie bei Ihrem Zero-Trust-Projekt.

Über ITL / NIST

Das Information Technology Laboratory (ITL) am National Institute of Standards and Technology (NIST) ist ein US-amerikanisches Labor. Die Forschungseinrichtung entwickelt im Bereich Cybersecurity beispielsweise Testmethoden, Referenzdaten, Proof-of-Concept-Implementierungen und technische Analysen.