Was hält die Zukunft für Zero Trust bereit?
Kürzlich habe ich einen Artikel über einen der jüngsten Ransomware-Angriffe gelesen, in diesem Fall auf den Gesundheitsdienstleister Lehigh Valley Health Network (LVHN). Es ist immer beunruhigend, wenn Cyberkriminelle Systeme und Daten eines Unternehmens als Geisel nehmen, doch dieser Cyberangriff war besonders besorgniserregend. Das Nachrichtenportal The Register beschreibt den Vorfall wie folgt:
„[Die Cybergang] BlackCat (auch bekannt als ALPHV) ist in eines der Ärztenetzwerke des Lehigh Valley Health Network (LVHN) in den USA eingebrochen und hat Bilder von Patienten gestohlen, die sich einer Strahlentherapie unterzogen, sowie andere vertrauliche Gesundheitsakten … Das LVHN weigerte sich, das Lösegeld zu zahlen, und Anfang des Monats begann BlackCat, Patienteninformationen zu leaken, darunter Bilder von mindestens zwei Brustkrebspatientinnen, die von der Hüfte aufwärts nackt waren.“
Zwar kann jeder Erpressungsversuch ein neues Bewusstsein für die bessere Sicherung von Netzwerken und sensiblen Daten wecken – die Tatsache jedoch, dass Ransomware und alle Formen von Cyberangriffen bei Einzelpersonen bleibenden Schaden und psychische Traumata verursachen können, sollte für alle Organisationen, die sich noch nicht auf dem Weg zu einer Zero-Trust-Sicherheit befinden, ein deutlicher Weckruf sein. Jeder kritische Infrastruktursektor oder jede Organisation, der vertrauliche persönliche Informationen anvertraut sind, sollte die Kernprinzipien eines Zero-Trust-Modells integrieren.
Es versteht sich wahrscheinlich von selbst, dass wir im Wettlauf mit Cyberkriminellen und ihren neuen Bedrohungstaktiken schnell ins Hintertreffen geraten, wenn wir bei der App-Sicherheit nicht schon heute ein paar Schritte weiter denken. Daher ist es nie zu früh, uns zu fragen: Was bringt die Zukunft ohne Vertrauen? Wie wird es sich weiterentwickeln, um nicht nur einer sich verändernden Bedrohungslandschaft, sondern auch der sich ständig verändernden Natur unserer digitalen Welt und der Apps selbst gerecht zu werden?
Um diese Fragen zu beantworten, habe ich mich mit zwei Sicherheitsexperten hier bei F5 zusammengesetzt: Der renommierte Ingenieur Ken Arora und der leitende Direktor der Produktentwicklung, Mudit Tyagi.
Dieser LVHN-Verstoß brachte mich wirklich zum Nachdenken über die Art und Weise, wie Organisationen ZT-Prinzipien umsetzen. Es ist fast wie ein Moment der Abrechnung, denn für die von einem Verstoß betroffenen Verbraucher reicht ein Jahr kostenlose Kreditüberwachung nicht mehr aus. Würden Sie sagen, dass für Unternehmen heute viel mehr auf dem Spiel steht?
Schlecht: Es ist offensichtlich, dass mehr auf dem Spiel steht. Dies gilt insbesondere für staatlich geförderte Hacker, die über die finanziellen und technischen Ressourcen sowie die Zeit verfügen, um sehr gezielte Angriffe auf Unternehmen und andere Länder zu erforschen und durchzuführen. Ganz zu schweigen davon, dass die allgemeine soziale Stabilität dadurch gestört wird. Wir erinnern uns an den Aurora-Vorfall aus dem Jahr 2010, als geistiges Eigentum von Google und anderen US-Unternehmen gestohlen wurde. Ein Jahrzehnt später, im Jahr 2020, wurde der Angriff auf die Lieferkette von SolarWinds als Mechanismus verwendet, um in viele sensible Netzwerke einzudringen. Angesichts der potenziell schwerwiegenden Auswirkungen hat das Weiße Haus einen Präsidialerlass erlassen, der alle Regierungsbehörden zur Einhaltung des Null-Vertrauens-Prinzips verpflichtet.
Ken: Ich stimme zu, dass der Umfang der Offenlegung mit der Zeit nur zunehmen wird. Und das liegt nicht nur daran, dass mehr Daten online verfügbar sein werden, sondern auch daran, dass bei der großflächigen Einführung von KI ganz neue Arten von Kompromissen aufgedeckt werden. Ich möchte darauf hinweisen, dass die gesellschaftliche Steuerung im Zusammenhang mit dem Risikomanagement einer neuen Technologie immer Zeit braucht. Beispielsweise dauerte es bis vor wenigen Jahren, bis Unternehmen – insbesondere in regulierten Branchen – eine gesetzliche Haftung übernahmen. Wir haben dies bei Experian und T-Mobile im Gesamtwert von über 1 Milliarde US-Dollar gesehen. In jüngster Zeit erleben wir, wie Einzelpersonen wie der Chief Executive Officer von Uber für Fehlverhalten persönlich zur Verantwortung gezogen werden, obwohl erhebliche Fahrlässigkeit vorlag. Dieses Beispiel entspricht auch dem Gesundheitswesen. Ich denke, diese Entwicklungen machen es für Sicherheitsexperten noch wichtiger, Best Practices zu befolgen und für das Rechtssystem, Safe-Harbor-Richtlinien zu entwickeln.
Was glauben Sie angesichts der heutigen Lage, was uns im Zusammenhang mit Zero Trust bevorsteht?
Schlecht: Historisch gesehen führte Google Beyond Corp nach den Aurora-Angriffen als eine der ersten Inkarnationen von Zero Trust ein, obwohl die Idee sogar noch älter ist. Heute gibt es Angebote wie ZTNA und SASE, die Zero-Trust-Prinzipien auf den Benutzer- und Gerätezugriff anwenden. Es bedarf jedoch größerer Anstrengungen, um das Zero-Trust-Prinzip innerhalb des Netzwerks selbst anzuwenden, wo Workloads miteinander interagieren, um Geschäftsprozesse und Benutzererlebnisse zu ermöglichen. Wir betrachten dies als Zero Trust von Workload zu Workload. Einfach ausgedrückt versuchen die zugriffsbezogenen Ansätze, einen Verstoß zu verhindern, während Zero Trust auf Workload-Ebene darauf ausgerichtet ist, die Auswirkungen eines laufenden Verstoßes zu minimieren.
Die Branche hat Schwierigkeiten, Kontrollen zu implementieren, die dem Zero-Trust-Prinzip der „Annahme eines Verstoßes“ folgen. Um mit Szenarien nach einem Datendiebstahl fertig zu werden, benötigen Workloads ebenso wie Benutzer und Geräte „Identitäten“. Und diese Arbeitslasten sollten kontinuierlich überwacht werden, um zu verhindern, dass bereits im Netzwerk vorhandene Schadsoftware Schaden anrichtet. Dies ist insbesondere angesichts der mobilen Belegschaft und der Infrastrukturumgebungen von heute von entscheidender Bedeutung, in denen Apps auf private und öffentliche Clouds sowie Legacy-Systeme verteilt sind.
Da Zero Trust eine „Associate Breach“-Mentalität erfordert, sind Sicherheitsmaßnahmen erforderlich, die weit über die bloße Zugriffskontrolle hinausgehen.
Ken: Genau. Wir müssen außerdem Bedrohungsinformationen, Sicherheitsinformationen und Ereignismanagement, kontinuierliche Diagnose und Risikominderung usw. einbeziehen. Angesichts der sich ständig verändernden Natur von Apps und des immer stärker werdenden KI-gesteuerten Datenverkehrs ist von uns nicht nur ein ganzheitlicher Ansatz für Zero Trust erforderlich, sondern wir müssen diese Prinzipien auch auf neue Bereiche der Infrastruktur anwenden, etwa auf die Workloads selbst.
Wie Mudit betonte, sind die Prinzipien, die dem Zero Trust zugrunde liegen, in Sicherheitsberufen seit langem bekannt und verinnerlicht – und dabei meine ich Sicherheit im weitesten Sinne, nicht nur Cybersicherheit. Bei der neuesten Version, ZTNA, geht es im Wesentlichen darum, die Prinzipien „immer überprüfen“ und „kontinuierlich überwachen und bewerten“ auf die Identität von Benutzern und Geräten anzuwenden, die auf ein Netzwerk zugreifen möchten.
Ich denke, die nächsten logischen Schritte in der Entwicklung von Zero Trust im Bereich der Cybersicherheit werden sein: 1) Aufwertung vom Netzwerkzugriff zum Application , d. h. Verwendung von Abstraktionen und Schutzmechanismen auf Anwendungsebene, nicht auf Netzwerkebene; und 2) Ausweitung der Application von Zero-Trust-Prinzipien über Benutzer und Geräte hinaus auf Workloads.
Warum ist die Arbeitsbelastung so kritisch? Und wenn wir so tief gehen, wenden wir dann auch Zero-Trust-Prinzipien auf die Entwicklungspraktiken selbst an (denken Sie an Code-Repositories und dergleichen)?
Ken: Die kurze Antwort lautet: Arbeitslasten sind kritisch, da sie die neue Insider-Bedrohung darstellen.
Bedenken Sie, dass der Großteil des Codes in Cloud-nativen Applications außerhalb der Kontrolle der Organisation des Application in einer Open Source-Umgebung entwickelt wird. Die Reife der zur Entwicklung dieses Codes verwendeten Softwarepraktiken ist im Allgemeinen lose geregelt und schlecht dokumentiert. Die Tests, die für diesen Code nach dem Import durchgeführt werden, beziehen sich hauptsächlich auf Funktion und Leistung, während Sicherheitsbewertungen nur dürftig behandelt werden. Dies hat zur Folge, dass dem meisten Application „implizit vertraut“ wird und dies genau das Verhalten ist, das Zero Trust verhindern möchte. Und das setzt wohlmeinende Code-Lieferanten voraus. Wenn man darüber hinaus berücksichtigt, dass es aktive Gegner gibt, die versuchen, Open- Quellcode als Hintertür zu verwenden, stellt dies eine erstklassige Bedrohungsfläche dar. Übrigens sind viele der jüngsten Schlagzeilen machenden Angriffe – log4j, SolarWinds und 3CX – allesamt Beispiele für Supply-Chain-Angriffe, die außerhalb des Geltungsbereichs von ZTNA und benutzeridentitätsbasierten Sicherheitslösungen liegen.
Konzentrieren wir uns einen Moment auf den letzten Punkt – wie Open- Quellcode als Hintertür verwendet werden kann. Dies führt uns zurück zu Ihrem früheren Punkt, dass Zero Trust Maßnahmen wie Bedrohungsinformationen, Sicherheitsinformations- und Ereignismanagement, kontinuierliche Diagnose usw. erfordert.
Schlecht: Ja. Es ist wichtig zu bedenken, wie wir über Sicherheit denken würden, wenn wir mit der Annahme eines Verstoßes beginnen. Die netzwerkzentrierten Steuerungen spielen eine gewisse Rolle; sie können nach Kommunikationsmitteln für die Befehls- und Kontrollfunktion suchen. Das Ziel besteht jedoch darin, die eingedrungene Schadsoftware daran zu hindern, erfolgreich Schaden anzurichten. Wenn die Schadsoftware ihre Arbeit verrichtet, muss sie sich offenbaren. Wenn wir alle Workloads beobachten und ihre Merkmale verstehen, haben wir eine viel bessere Chance, die schädlichen Workloads zu erkennen, die mit den Aktivitäten der Malware in Zusammenhang stehen.
Forscher bei MITRE haben der Sicherheitswelt einen großen Gefallen getan, indem sie eine Taxonomie erstellt haben, mit der wir die meisten Angriffe anhand einer Kombination aus Taktiken, Techniken und Verfahren (TTPs) verstehen können, die im MITRE ATT&CK Framework beschrieben sind. Sie beschreiben außerdem eine Reihe von Gegenmaßnahmen, die dabei helfen, die TTPs im MITRE D3FEND Framework zu erkennen. Ein wichtiger Bestandteil dieses Rahmens sind die Prozessanalysen, die die Anwendung von Zero-Trust-Prinzipien auf dieser Arbeitslastebene erfordern.
Es ist sehr wichtig, dass der Code, der die Arbeitslast darstellt, während des Entwicklungszyklus mit den Tools Static Application Security Test (SAST) und Dynamic Application Security Test (DAST) auf Schwachstellen überprüft wird. Man kann sich auch auf die Implementierung von Zero Trust auf Workload-Ebene vorbereiten, indem man während des Entwicklungszyklus eine Basislinie mit Workload-Eigenschaften auf niedriger Ebene, wie z. B. „Systemaufrufe“, erstellt. Mit dieser Basis wird es einfacher, Anomalien während der Arbeitslastausführung in der Produktion zu erkennen und zu analysieren. Das D3FEND-Framework schlägt eine ganze Reihe von Gegenmaßnahmen vor, die sich auf die Härtung konzentrieren und während des Entwicklungszyklus erfolgen sollten.
Lassen Sie uns auf die Rolle der KI für die Sicherheit im Allgemeinen und Zero Trust im Besonderen eingehen. Welche Sicherheitsherausforderungen und -chancen wird KI schaffen? Außerdem war ChatGPT überall in den Nachrichten. Ich habe Prognosen gesehen, dass bis 2026 90 % des Internetverkehrs durch KI generiert werden. Wird das die Sicherheit verändern? Wenn ja, wie?
Schuld: Automatisierte Angriffe lassen sich schon heute nur noch schwer abwehren. Der Angreifer kann seinen Angriff ständig verändern und anpassen, was für viel Lärm im SOC sorgt. Verteidiger nutzen bereits Automatisierung, um diese automatisierten Angriffe zu bekämpfen. Auch wenn wir die Signaturen der automatisierten Angriffe kennen, sind Fehlalarme ein großes Problem. Mithilfe künstlicher Intelligenz wird es viel einfacher sein, normale Benutzer zu imitieren, als dies bei den heutigen automatisierten Angriffen möglich wäre. Dies erschwert die Erkennung von Anomalien und erfordert eine sehr komplexe Kontextanalyse, um Fehlalarme zu minimieren.
Ken: Ich denke, dass KI weiterhin enorme Auswirkungen auf die Sicherheit haben wird. Zunächst einmal hat es offensichtlich einen großen Einfluss darauf, wie die Bösewichte ihre Angriffe ausführen und wie die Verteidiger diese Angriffe erkennen und abwehren. Kurz gesagt: Das Katz-und-Maus-Spiel wird weitergehen, wobei die KI exponentiell schnellere und agilere Stellvertreter für das sein wird, was Menschen manuell erledigen könnten.
Wenn es speziell um ChatGPT geht, denke ich, dass hier das Zero-Trust-Mantra des Nicht-blind-Vertrauens eine Rolle spielen wird. Die Prämisse von ZTNA lautet: „Vertrauen Sie Benutzern und Geräten nicht blind“ und sollte auch auf Workloads ausgeweitet werden. Ich denke, dass die KI-basierte Inhaltsgenerierung uns dazu bewegen wird, Inhalten nicht blind zu vertrauen. In vielerlei Hinsicht schließt sich hier der Kreis zur Funktionsweise der Gesellschaft: Wie viel Vertrauen wir einem bestimmten Inhalt entgegenbringen, hängt davon ab, woher dieser kommt. Beispielsweise vertraue ich einer Aussage über die Integrität eines Schecks, der von meiner Bank stammt, möglicherweise mehr als einer ähnlichen Aussage einer beliebigen Person auf der Straße. Kurz gesagt: Die Datenzuordnung ist wichtig. Und da KI immer mehr Inhalte generiert, wird sich diese Idee, die es in der realen Welt schon seit langem gibt, auch in der digitalen Welt als zentrale Überlegung herauskristallisieren.
Angesichts der zunehmenden Geschwindigkeit, mit der neue Bedrohungen entstehen, wird die Diskussion über die Zukunft von Zero Trust voraussichtlich weiterhin relevant bleiben – insbesondere wenn es darum geht, die Auswirkungen von Insider-Bedrohungen zu minimieren und Zero-Trust-Prinzipien auf die Arbeitslast anzuwenden. Da das Internet mit immer mehr KI-generiertem Material überschwemmt wird, wird sich der Zero-Trust-Ansatz der Branche zwangsläufig weiterentwickeln und wir werden in Zukunft mehr Perspektiven vorstellen. Danke, dass Sie dabei sind.
____
Wer mehr zum Thema „Assume Breach“ erfahren möchte, kann hier Kens neuesten Artikel lesen.