BLOG | BÜRO DES CTO

Was ich aus Hollywood über Zero Trust gelernt habe

Ken Arora Miniaturbild
Ken Arora
Veröffentlicht am 05. Mai 2022


Wenn ich jemals – in einer alternativen Realität oder einer Fantasiezukunft – die Gelegenheit hätte, die Computersysteme der Sternenflotte zu entwerfen, würde ich auf jeden Fall sicherstellen, dass die Waffensysteme nicht an lebenserhaltende Subprogramme angeschlossen sind. Oder wäre ich der Kommandant einer außerirdischen Invasionstruppe mit der Aufgabe, die Erde zu erobern – einen Planeten mit einer völlig anderen Spezies, wohlgemerkt –, würde ich auf biometrischer Authentifizierung statt auf einem Passcode oder Token bestehen. Und schließlich: Sollte einer meiner Offiziere oder eines meiner Raumschiffe allen Widrigkeiten zum Trotz auf wundersame Weise seinen Entführern „entkommen“, würde ich natürlich zuerst überprüfen, ob er oder sie keine Trojanischen Pferde an Bord hat.

Was hat das also mit Zero Trust zu tun? Wie Sie wahrscheinlich schon erraten haben, liebt Hollywood Storylines, in denen die epischen Konsequenzen durchgespielt werden, die sich ergeben, wenn man auf ein Quäntchen gesunde, von vornherein vorhandene Paranoia verzichtet. Und aus meiner Sicht als Cybersicherheitsexperte ist genau diese Denkweise – die Aufrechterhaltung einer gesunden Paranoia – der Kern dessen, worum es bei Zero Trust wirklich geht.

Warum also konzentriere ich mich speziell auf Zero Trust? Meine Motivation basiert auf einem Trend, wie der Begriff „Zero Trust“ heute verwendet wird. Um auf eine andere Anekdote aus der Filmproduktion zurückzukommen, diesmal aus den späten 80er-Jahren. Damals vollzog Hollywood den Übergang von veralteten analogen Technologien zu digitalen Standards für Audio, Video und Nachbearbeitung. Viele der technisch weniger versierten Mitglieder der Filmgemeinde wussten damals und dort nicht, was „digital“ eigentlich bedeutete, und es war ihnen auch egal. Für sie war der Begriff „digital“ praktisch gleichbedeutend mit „erstklassig“. Dies hatte zur Folge, dass Produzenten und Regisseure – sehr zum Leidwesen meiner Technikfreunde, die mit ihnen arbeiteten – anfingen zu fragen, ob die Beleuchtung oder der Bühnenaufbau „digital“ sei, obwohl sie eigentlich Folgendes meinten: „Ist das das beste Lichtdesign oder der beste Bühnenbau?“ Wenn ich jetzt auf die Gegenwart zurückkomme, höre ich zu oft, dass der Begriff „Zero Trust“ innerhalb der CSO-Community auf eine ähnliche Weise verwendet wird, wie Filmproduzenten 1990 das Wort „digital“ verwendeten.  

Außerdem wurde mir vor Kurzem Simon Sineks „Starts with Why“-Framework vorgestellt. Dieser Rahmen, zusammen mit Erinnerungen daran, wie Hollywood über die Anfänge des „Digitalen“ dachte, und daran, wie Filme Geschichten auf der Grundlage von (Fehl-)Praktiken im Bereich der Sicherheit entwickelten, half mir dabei, einige meiner Gedanken zum Thema Zero Trust herauszufiltern. Im Kern von Zero Trust liegt die Moral der Hollywood-Geschichten, mit denen ich zu Beginn gesprochen habe: Wenn man bei der Entwicklung und dem Betrieb der Sicherung eines kritischen Systems auf ein Quäntchen durchdachte Cyber-Prävention verzichtet, wird das später zu zahlreichen Kompromissen und Problemen führen. Analog dazu kann Zero Trust auf der zentralen „Warum“-Ebene des Frameworks als die folgende Reihe von Überzeugungen formuliert werden:

A.     Überprüfen Sie immer explizit , wer: Das ist der Akteur, der versucht, mit Ihrem System zu interagieren.

B.     Standardmäßig die geringsten erforderlichen Berechtigungen verwenden: Sobald die Identität festgestellt ist, gewähren Sie dem Akteur nur so viele Berechtigungen, wie für die Interaktion mit dem System für die jeweilige durchgeführte Geschäftstransaktion erforderlich sind, wobei die erforderlichen Berechtigungen im Entwurf aufgeführt sind.

C. Kontinuierliche Überwachung und (Neu- ) Bewertung: Die Identitätsprüfung und die Gewährung von Privilegien dürfen keine statischen, einmaligen Entscheidungen sein. Stattdessen müssen diese Entscheidungen kontinuierlich überprüft und neu bewertet werden.

D. Und gehen Sie trotzdem davon aus, dass Sie kompromittiert wurden: Und schließlich: Gehen Sie trotz der oben genannten drei Punkte davon aus, dass es einem erfahrenen Gegner gelungen ist, die Abwehrmaßnahmen zu überwinden. Daher muss das System auch Möglichkeiten zur Identifizierung und Isolierung gefährdeter Elemente oder Identitäten berücksichtigen und eine Strategie zur Eindämmung und/oder Behebung ihrer Auswirkungen auf das System entwickeln.

Einfach: Vertrauen Sie nicht blind, sondern überprüfen Sie immer. Und vertrauen Sie nur so viel wie nötig. Und evaluieren Sie kontinuierlich. Und gehen Sie nicht davon aus, dass Sie sie alle fangen werden. Das ist das „Warum“ von Zero Trust.

Null Vertrauen

Natürlich ist das „Warum“ nur ein Teil der Geschichte. Das „Wie“ – also die Techniken und Werkzeuge, die verwendet werden, um die Denkweise zu verkörpern, die das „Warum“ hervorbringt – ist eine weitere für den Praktizierenden relevante Sichtweise; sie ergibt sich aus den oben genannten Überzeugungen. Auch hier werde ich es im Kontext der aktuellen Tools formulieren, die den Cybersicherheitsexperten von heute zur Verfügung stehen:

  1. Authentifizierung : Jeder Akteur, der mit dem geschützten System interagiert, muss nachweisen, dass er über eine bestimmte Identität oder in manchen Fällen über mehrere Identitäten verfügt – beispielsweise eine Identität für den Menschen oder das automatisierte System sowie eine Identität für das Gerät oder die Plattform, auf der sich der Mensch/das System befindet, und möglicherweise sogar eine Identität für den Browser oder das Tool, das für den Zugriff verwendet wurde. Die Zero-Trust-Mentalität impliziert, dass jede derartige Bescheinigung auf eine oder mehrere Arten verifiziert oder „authentifiziert“ werden muss: durch ein gemeinsames Geheimnis, ein Token oder Zertifikat und in moderneren Systemen auch durch die Beobachtung und Verifizierung des Verhaltensmusters des jeweiligen Akteurs.
     
  2. Zugriffskontrolle : Sobald die Identität festgestellt ist, sollte dieser Identität eine Vertrauensebene zugewiesen werden, die durch die dieser Identität gewährten Zugriffskontrollrechte verkörpert wird. Die Zugriffskontrollrichtlinie sollte dem Prinzip der geringsten Privilegien folgen, wobei nur die Mindestrechte gewährt werden, die der Akteur zur Erfüllung seiner Rolle im System benötigt. Ideale Zugriffskontrollimplementierungen sollten eine detaillierte Spezifikation der gewährten Rechte ermöglichen, beispielsweise: Rolle erlaubt den Zugriff auf die APIs <1>, <3> und <4> sowie Leserechte für Objekte der Klasse und . Als Best Practice gilt, dass komplexe Zugriffskontrollszenarien für Anwendungsressourcen hinter APIs abstrahiert werden sollten, anstatt direkten Zugriff auf Objekte, Dateien und Netzwerkressourcen zu gewähren.
     
  3. Sichtbarkeit : Kommen wir nun zum „Überwachungs“-Teil der Denkweise – einer Voraussetzung für eine „kontinuierliche Neubewertung“ –: Das System muss in der Lage sein, einen kontinuierlichen Einblick in das Systemverhalten jedes Akteurs in Echtzeit zu ermöglichen. In diesem Zusammenhang ist die Aussage „Wenn Sie es nicht gesehen haben, ist es nicht passiert“ axiomatisch. Darüber hinaus müssen die gesammelten „Telemetriedaten“ nicht nur sichtbar, sondern auch nutzbar sein, in dem Sinne, dass sie in einem Rahmen existieren müssen, der die gemeinsame Nutzung und Kontextualisierung der Berichte ermöglicht. Dadurch können Daten aus mehreren Quellen sinnvoll kombiniert und korreliert werden, was eine robustere und wirksamere Risikobewertung ermöglicht.
     
  4. Kontextuelle Analyse, ML-gestützt : Die Motivation für die oben erwähnte Sichtbarkeit liegt darin, das Prinzip der „kontinuierlichen Neubewertung“ umsetzen zu können. Bei der Umsetzung erfordert dieser Grundsatz nicht nur Sichtbarkeit, sondern auch Analysen – normalerweise über mehrere Datenquellen hinweg (wofür das zuvor erwähnte, freigabefreundliche Framework erforderlich ist) und zwar nahezu in Echtzeit. Dazu ist bei der kontinuierlichen Bewertung häufig die Unterstützung durch KI-Maschinenlernsysteme erforderlich, um Akteure zu erkennen, die sich anormal verhalten, und so eine mögliche Systemgefährdung zu identifizieren. Schließlich sollte eine robuste Analyse-Engine in der Lage sein, eine differenziertere Antwort als ein einfaches binäres Ja/Nein zu liefern – im Idealfall eine Risikobewertung zusammen mit einem zugehörigen Vertrauenswert.
     
  5. Automatisierte, risikobewusste Behebung : Und schließlich geht man davon aus, dass es einigen raffinierten Angreifern dennoch gelingen wird, in das System einzudringen. Daher muss das System handlungsfähig sein, um solche Aktionen oder Akteure genauer zu überwachen und bei Bedarf einzudämmen und/oder zu blockieren. Die Reaktion des Systems – die von bloßer Protokollierung über genauere Untersuchungen bis hin zum Blockieren der versuchten Aktion oder sogar zur Täuschung des mutmaßlichen Übeltäters reichen kann – muss im übergeordneten Geschäftskontext betrachtet werden. Die Wahrscheinlichkeit und Auswirkung falsch positiver oder negativer Ergebnisse sowie das geschäftliche Risiko der Aktion sind Teil dieser Überlegungen. Das Blockieren des Durchsuchens eines Produktkatalogs könnte beispielsweise nur dann angemessen sein, wenn mit hoher Wahrscheinlichkeit davon ausgegangen werden kann, dass es sich bei dem Akteur um einen böswilligen Site-Scraper handelt. Bei einer Banktransaktion mit einem geringeren Grad an Wahrscheinlichkeit kann jedoch die Anforderung einer zusätzlichen Authentifizierung angemessen sein. Angesichts der Komplexität und Geschwindigkeit moderner Cyberangriffe müssen die operativen Abhilfemaßnahmen automatisierbar sein und die vom Menschen festgelegte Richtlinie muss anhand absichtsorientierter Ziele beschrieben werden.

Der letzte Aspekt des „Warum, Wie, Was“-Rahmens ist das „Was“, d. h., die Ziele können erreicht und die Angriffsklassen können mithilfe der oben genannten Tools und Techniken verhindert oder abgeschwächt werden. Eine vollständige Taxonomie aller Cyberangriffe wird Thema eines zukünftigen Artikels sein. Als Vorschau auf kommende Attraktionen befassen sich die hier beschriebenen „Warum“ und „Wie“ jedoch mit dem Spektrum der hochentwickelten „fortgeschrittenen Bedrohungen“. Beispielsweise kann die Zero-Trust-Mentalität Ransomware-Bedrohungen bekämpfen, selbst wenn diese von „vertrauenswürdigen“ Softwarekomponenten ausgehen (auch als „Supply-Chain-Angriffe“ bezeichnet). Insbesondere sollte das Prinzip der geringsten Privilegien, das in der Zugriffskontrollrichtlinie verankert ist, angewendet werden, um die Lese-/Schreibberechtigungen für Dateien nur auf diejenigen Akteure zu beschränken, die diese Berechtigung tatsächlich benötigen. Auf diese Weise wird die Verschlüsselung von Dateiressourcen verhindert. Sollte darüber hinaus ein Akteur – beispielsweise eine vorhandene Softwarekomponente mit Schreibberechtigung für Dateien, die kompromittiert wurde (unter Verwendung des oben erwähnten Angriffsvektors in der Lieferkette) – versuchen, viele Dateien mit hoher Geschwindigkeit zu verschlüsseln, sollte das anomale Verhalten durch eine kontinuierliche Neubewertung und Analyse innerhalb kurzer Zeit erkannt werden. Dies lässt sich anhand der Anzahl der aufgerufenen Dateien und der Zugriffsrate feststellen. Mithilfe der Erkennung und der automatischen Schadensbegrenzung können derartige Aktivitäten schnell blockiert werden. 

Gehen wir also zurück zu den alternativen Welten, mit denen ich begonnen habe … Wenn alle Computersubsysteme der Sternenflotte nach dem Prinzip der geringsten Privilegien operieren würden, sollte die API zum Starten von Photonentorpedos nicht vom Schwerkraftkontrollsubsystem aufrufbar sein. Und die Steuerung des außerirdischen Mutterschiffs würde nicht nur eine biometrisch basierte MFA durchführen, die Sicherheitskontrollen des Mutterschiffs würden auch davon ausgehen, dass es zu Verstößen kommen wird – und würden daher die Situation kontinuierlich überwachen und neu bewerten, die Anomalie einer Kampfdrohne erkennen, die durch das Schiff fliegt, und die Bedrohung eindämmen, wenn diese anomale Drohne auf den Triebwerkskern zusteuert. Diese wenigen entscheidenden Maßnahmen zur Prävention könnten eine Menge Drama in der Folgezeit verhindern – schlecht für Hollywood, aber gut für die Cybersicherheitsexperten.

Weitere Informationen zum Framework, das die allgemeinen Konzepte rund um Zero Trust umfasst, im Verhältnis zum bestehenden Geschäftshintergrund und zur Sicherheitsmentalität, die sich Führungskräfte in Anwendungsunternehmen zu eigen machen sollten, finden Sie in unserem Whitepaper „Zero Trust Security“: Warum Zero Trust wichtig ist (und zwar für mehr als nur den Zugriff) .