Drei Gründe, warum die Einführung von Zero Trust zu Bot-Schutz sowie Web- und API-Sicherheit führt

Heute ist Zero Trust der heiße neue Trend, bei dem jeder dabei sein möchte. Es handelt sich um einen der drei „spannendsten“ Trends, die in unserem Bericht „State of Application Strategy 2022“ ermittelt wurden, und hat laut Google Trends in den letzten zwölf Monaten durchweg ein hohes Interesse geweckt.

Das Ergebnis ist, dass Zero Trust einer der am meisten diskutierten – und am meisten missverstandenen – Sicherheitsansätze ist, seit der „Shift Left“-Bewegung Einzug gehalten hat. Zu oft wird Zero Trust mit einer bestimmten Technologie, wie etwa Software-Defined Perimeter (SDP), oder einem Marktsegment, wie etwa Identity and Access Management (IDAM), gleichgesetzt.

Das ist nicht wirklich überraschend. Den gleichen Drang, bestimmte Technologien oder Produkte mit dem „heißen neuen Trend“ gleichzusetzen, erlebten wir auch bei der Einführung des Cloud Computing. Cloudwashing kam regelmäßig vor und wurde oft als abwertende Bemerkung über die tatsächliche „Trübung“ eines neuen Produkts verwendet.

Daher liegt es für mich nahe, mit einer Definition von „Zero Trust“ zu beginnen. Ich werde dies tun, indem ich meine Kollegen Ken Arora und Mudit Tyagi zitiere, die bereits einen großartigen Leitfaden zu diesem Thema veröffentlicht haben :

Dies ist ein wichtiger Punkt, deshalb wiederhole ich ihn noch einmal: Zero-Trust-Sicherheit ist im Kern eine Geisteshaltung.

Diese Denkweise beinhaltet eine Reihe von Annahmen und der Einsatz von Technologien ist eine Konsequenz dieser Annahmen.

Das bedeutet, dass die Implementierung einer Technologie wie SDP oder API-Sicherheit nicht bedeutet, dass Sie Zero Trust eingeführt haben. Es gibt kein einzelnes Produkt, das Sie implementieren, das plötzlich bedeutet, dass Sie „Zero Trust-kompatibel“ und damit immun gegen Angriffe, Sicherheitsverletzungen oder Exploits sind.

Richtig ist, dass SDP- und API-Sicherheit tatsächlich eine geeignete taktische Antwort auf die Einführung eines Zero-Trust-Ansatzes sein können. Doch um dieses Ziel zu erreichen, müssen Sie mit einigen Grundannahmen beginnen und dann entscheiden, welche Tools und Technologien sich logisch daraus ergeben und am besten geeignet sind.

Um dies zu verdeutlichen, gehen wir ein paar Beispiele durch, die uns, wie der Titel schon sagt, zu dem Schluss führen, dass Bot-Schutz sowie Web- und API-Sicherheit Teil des „Zero Trust“-Werkzeugkastens sind.

1. Ein Zero-Trust-Ansatz geht von Kompromissen aus . Tatsächlich könnten die Daten legitimer Benutzer mit autorisiertem Zugriff kompromittiert werden und daher eine unbeabsichtigte – und sehr kostspielige – Bedrohung darstellen. Angreifer wissen, dass es in der Regel einfacher ist, sich über Fenster (Benutzer) Zutritt zu verschaffen, als über die Vordertür (Unternehmensnetzwerk). Benutzer sind ständig der Gefahr einer Kompromittierung ausgesetzt und daher ist die Annahme, dass sie bereits kompromittiert sind , die sicherste Vorgehensweise. Von einem kompromittierten Firmenlaptop oder Mobiltelefon aus sind viele Aktionen möglich, darunter auch Angriffe auf Websites und Apps, die versuchen, Nastyware (darunter Malware, Ransomware und was auch immer das sonst noch ist) zu verbreiten oder Schwachstellen auszunutzen, um sich Zugriff zu verschaffen. Da APIs zunehmend „die Art und Weise“ verändern, wie mobile und webbasierte Apps auf Unternehmens-Apps und -Systeme zugreifen, ist es wichtig, auch Inhalte legitimer, authentifizierter Benutzer zu prüfen, um festzustellen, ob es sich um bösartige Inhalte handelt oder nicht. Daher ist Web- und API-Sicherheit eine logische Wahl, um Schutz vor diesem Risiko zu implementieren.
   
   
2. Ein Null-Vertrauen Ansatz geht davon aus, dass Anmeldeinformationen nicht ausreichen . Unabhängig davon, ob es sich bei dem Benutzer um einen Menschen, eine Maschine oder eine Software handelt, geht ein Zero-Trust-Ansatz davon aus, dass der tatsächliche Benutzer möglicherweise nicht legitim ist, auch wenn legitime Anmeldeinformationen vorgelegt werden. Schließlich handelt es sich beim Credential Stuffing um ein andauerndes Problem, bei dem legitime, aber gestohlene Anmeldeinformationen ausgenutzt werden. Es ist bekannt, dass täglich durchschnittlich eine Million Benutzernamen und Passwörter verloren gehen oder gestohlen werden. Eine Analyse von F5 kommt zu dem Schluss, dass 0,5 bis 2 % aller kompromittierten Anmeldeinformationen auf einer angegriffenen Website oder mobilen App gültig sind. Daher sollte ein Zero-Trust-Ansatz Schritte unternehmen, um nicht nur die Anmeldeinformationen, sondern die Identität des Benutzers selbst zu überprüfen. Hierzu gehört auch die Aufdeckung von Bots, die sich als legitime Benutzer ausgeben. Taktisch führt dies dazu, dass der Bot-Schutz – der auch als Bot-Erkennung bezeichnet werden kann – bei einem Zero-Trust-Ansatz eine wichtige Rolle spielt.
   
   
3. Ein Zero-Trust-Ansatz geht davon aus, dass Veränderungen konstant sind . Zero Trust lehnt die Annahme ab, dass kein Risiko besteht, sobald ein Benutzer verifiziert und der Zugriff auf eine Ressource autorisiert ist. Jede Transaktion wird als riskant angesehen und im Hinblick auf ihren Inhalt und den Benutzer, der sie sendet, bewertet. Session Hijacking ist eine echte Angriffsmethode, schließlich. Ständige Wachsamkeit ist (oder sollte sein) das Motto von Zero Trust, was bedeutet, ständig auf der Hut vor bösartigen Inhalten zu sein. Dies macht Web- und API-Sicherheit sowie Bot-Erkennung zu wichtigen Komponenten eines Zero-Trust-Ansatzes.

Mittlerweile führt dieser Ansatz auch zu anderen Tools und Technologien wie SDP und Identitäts- und Zugriffskontrolle, Netzwerk-Firewalls und CASB sowie einer Vielzahl anderer Lösungen, die bekannte Risiken mindern, die sich natürlicherweise aus diesen Annahmen ergeben. Sie können jedoch nicht nur eine davon implementieren und dann Ihre Zero-Trust-Initiative als erledigt betrachten. Das ist, als würde man zur Behandlung eines gebrochenen Beins ein Paracetamol nehmen, anstatt zum Arzt zu gehen. Ja, es lindert die Schmerzen, trägt aber nichts dazu bei, das restliche Problem zu lösen.

Die Einführung von Zero Trust als Änderung der Denkweise, die zu einer Schadensbegrenzung führt, ist nicht perfekt – keine Methode ist das –, aber sie bringt Sie auf dem Weg zu größerer Anpassungsfähigkeit und ermöglicht Ihnen, neue und aufkommende Angriffe schneller und erfolgreicher zu bekämpfen.

Passen Sie da draußen auf sich auf.

Weitere Informationen zur Modernisierung der Sicherheit mit einem Zero-Trust-Ansatz finden Sie in Kapitel 5 unseres Buches „Enterprise Architecture for Digital Business“ .