Sicherheitsregel Null ist eine Kernkomponente von Zero Trust
„Zero Trust“ ist eines der heißesten Schlagworte (oder Schlagphrasen) in der heutigen Technologie. In unserer Studie „State of Application Strategy 2022“ wurde sie zur drittspannendsten Technologie gekürt und genießt in allen Unternehmensbereichen große Aufmerksamkeit.
Eine der übersehenen Wahrheiten von Zero Trust ist, dass es sich eigentlich um eine Denkweise und nicht um eine Technologie oder Lösung handelt. Aus diesem Grund komme ich immer wieder auf unsere Grundüberzeugung zum Thema Zero Trust zurück:
„Wir glauben, dass Zero-Trust-Sicherheit im Kern eine Geisteshaltung – ein Glaubenssystem – ist, aus dem Techniken und Taktiken entstehen und bestimmte Technologien nutzen, die dann zur Bewältigung eines breiten Spektrums von Sicherheitsbedrohungen eingesetzt werden können.“
Aus diesem Grund ist es wichtig, Sicherheitsregel Null noch einmal zu überdenken.
Für diejenigen, die mit dem Konzept „Regel Null“ nicht vertraut sind: Es stammt aus Rollenspielen, in denen Regeln eine wichtige Rolle spielen. Regeln bestimmen die Reihenfolge der Interaktion, die Interpretation der Würfelwürfe und was Sie tun dürfen und was nicht. Genau wie in der realen Welt. Aber in Rollenspielen gibt es eine Regel Null, die alle anderen Regeln außer Kraft setzt: „Der Spielleiter ist der letzte Schiedsrichter über alle Belange des Spiels.“ Dies bedeutet im Wesentlichen, dass der GM jederzeit Regeln ändern, hinzufügen und entfernen kann. Und glauben Sie mir, das ist oft der Fall.
Es mag einige Leute überraschen zu erfahren, dass es für die Sicherheit eine Regel Null gibt, und zwar diese:
„Du sollst den Benutzereingaben nicht vertrauen. Immer."
Dies ist keine neue Regel. Sie wurde schon viele, viele Male zuvor betont und ich habe mehrfach darüber geschrieben, um daran zu erinnern, dass sie einen zentralen Bestandteil der bewährten Sicherheitspraktiken bildet. Die Nichtbeachtung dieser Regel kann zu Schwachstellen führen, die zu einer großflächigen und gefährlichen Ausnutzung führen können .
Die Sicherheitsregel Null ist auch heute noch aktuell – vielleicht sogar mehr denn je. Aufgrund der zunehmenden Verbreitung von APIs und der explosionsartigen Zunahme digitaler Dienste gibt es mehr Bots, Skripte und böswillige Akteure als je zuvor. Und während Credential Stuffing weiterhin eine der beliebtesten Angriffstechniken ist, gibt es zahlreiche Neuigkeiten über Exploits, die digitale Dienste und APIs ausnutzen, die sich nicht an die Sicherheitsregel Null halten.
Dem Zero-Trust-Konzept selbst widerspricht es, Benutzereingaben zu vertrauen. Es sollte nicht davon ausgegangen werden, dass eine Benutzereingabe – unabhängig davon, ob es sich um einen Menschen, eine Software oder ein System handelt – ohne Überprüfung sicher verarbeitet werden kann. Zeitraum. Punkt.
Eines der Grundprinzipien – der Glaubenssatz – von Zero Trust besteht darin, Kompromisse anzunehmen. Ein Kompromiss kann das Vorhandensein von Schadsoftware oder die Kontrolle durch einen böswilligen Akteur bedeuten. Das ist der Zustand des Systems. Die Folge ist, dass die von diesem System ausgehenden Daten – Nachrichten – bösartig sein können.
Ergo, aus diesem Grund und folglich sollten Sie niemals den Eingaben eines Benutzers vertrauen. Zeitraum.
Wie oben erwähnt, führt diese Grundregel zu Taktiken (Inspektion) und Technologien (WAAP, WAF, NGF), mit denen eine Vielzahl von Angriffen erkannt und neutralisiert werden können.
Sicherheitsregel Null ist eine Kernkomponente von Zero Trust. Die Einführung dieser Lösung wird zu wirksameren Taktiken und einer stärkeren Sicherheit für alle führen.
Passen Sie da draußen auf sich auf.