Null Vertrauen: Drei wichtige strategische Komponenten von Assume Breach
Zero Trust ist heutzutage in Cybersecurity-Kreisen ein beliebtes Thema, aber ich ernte immer noch seltsame Blicke, wenn ich das Konzept des angenommenen Verstoßes als Schlüsselteil der Zero-Trust-Mentalität anspreche. Ich gehe davon aus, dass der Grund für diese Reaktion auf eines von zwei möglichen Problemen zurückzuführen ist. Zunächst könnten einige Sicherheitsexperten dies als eine furchtbar pessimistische Weltsicht interpretieren und die Annahme verinnerlichen, dass ein Verstoß vorliegt, etwa so: „Sie meinen also, wir sind alle dem Untergang geweiht.“ Also gut, dann lasst uns einfach die Hände heben und es gar nicht erst versuchen. “ Andere, vielleicht die Stolzeren, vertreten möglicherweise die Einstellung: „Na ja, bei Ihren Daten kann es zu Angriffen kommen, aber meine Sicherheit ist absolut zuverlässig und die Bösewichte werden meine Abwehrmaßnahmen auf keinen Fall überwinden können .“
Ich beabsichtige keines dieser Extreme, sondern möchte vielmehr die Verinnerlichung der Realität des Agierens in einer digitalen Welt betonen, nämlich, dass es zu Sicherheitsverstößen kommen wird und diese daher bei der Konzeption jedes Sicherheitssystems berücksichtigt werden können und sollten. Dies ist kein neues Konzept und wir sollten uns von der Weisheit von Generationen von Kunsthandwerkern und Gewerbetreibenden inspirieren lassen, die sich dieses Konzept zu eigen gemacht haben.
Klempner, Elektriker und andere Fachleute, die in der realen Welt tätig sind, haben die wahre Essenz des „Annahmebruchs“ schon lange verinnerlicht. Da ihre Aufgabe darin besteht, Lösungen zu entwickeln, die in konkreten Umgebungen robust sein müssen, akzeptieren und berücksichtigen sie implizit die einfache Tatsache, dass im Rahmen ihrer Arbeit Fehler auftreten . Sie verstehen auch, dass Misserfolge weder eine Anklage gegen ihre Fähigkeiten noch ein Grund sind, auf ihre Dienste zu verzichten. Vielmehr sind es nur die Geschicktesten, die wissen, dass ihre Schöpfungen letztlich scheitern werden, die aus vergangenen Fehlern lernen und in der Lage sind, wahrscheinliche zukünftige Fehler vorherzusehen.
Ich hatte vor Kurzem mit einem solchen Defekt zu kämpfen: Eine Abwasserleitung in meinem Haus war mitten im Abflussweg verstopft. Das Haus ist über 30 Jahre alt, sodass ein Defekt – ein Bruch – keine Überraschung wäre. Schließlich liegt die Wahrscheinlichkeit eines Verstoßes gegen ein System über einen längeren Zeitraum hinweg bei nahezu 100 %.
Das ist der Punkt. Die Vorhersage eines Ausfalls im Laufe der Zeit gilt für eine Anwendungssicherheitslösung genauso wie für mein Sanitärsystem. Außerdem ist die Annahme „Meine Wasserleitungen werden nie ausfallen“ als Strategie zur Instandhaltung des Haushalts ebenso wenig geeignet wie „Meine Cyber-Abwehr wird nie durchbrochen“.
Deshalb sollte sich der Installateur – und auch der Cybersicherheitsexperte – Gedanken darüber machen, wie mit dem Fehler bzw. der Sicherheitsverletzung umzugehen ist, der letztendlich auftreten wird.
Drei wichtige strategische Komponenten von Assume Breach
Eine wirksame Strategie zum Umgang mit Systemausfällen – physisch oder Cyber-artig – besteht normalerweise aus drei Komponenten.
Sichtweite. Sorgen Sie für ausreichende Transparenz, um einen Fehler möglichst frühzeitig erkennen zu können. Wird ein Leck im Badezimmerabfluss nicht behoben, kann es im darunterliegenden Unterboden zu Fäulnis und Schimmelbildung kommen, die erst nach Monaten oder Jahren bemerkt wird. Oder man bemerkt, dass Wasser von der Decke eines Raums unter einem Badezimmer im zweiten Stock tropft, nachdem eine Wasserwanne unter dem Fußboden übergelaufen ist und die Gipskartonplatte durchnässt ist. In beiden Fällen wird das Problem erstmals einige Zeit nach dem anfänglichen Fehler und nachdem zusätzliche Folgeschäden aufgetreten sind, erkannt.
Der erste Grundsatz bei der Annahme eines Fehlers/Verstoßes muss darin bestehen, möglichst bald nach dem Fehler klare Hinweise auf eine mögliche Gefährdung zu geben, idealerweise sogar eine aktive Benachrichtigung bei wahrscheinlichen Fehlern. Keller, die zur Wasserentfernung auf Schmutzwasserpumpen angewiesen sind, verfügen beispielsweise normalerweise über Sensoren, die Alarm schlagen, wenn der Wasserstand einen voreingestellten Schwellenwert überschreitet. In anderen Situationen, in denen eine proaktive Warnmeldung nicht für alle wahrscheinlichen Fehlerarten möglich ist, werden routinemäßige Wartungskontrollen durchgeführt, beispielsweise eine halbjährliche Inspektion des Warmwasserbereiters.
In der Cybersicherheit bedeutet dies, dass die Anwendungssicherheitsarchitektur eine durchdachte und getestete Telemetriestrategie umfassen muss, die die wichtigsten Fehlerarten berücksichtigt und so rechtzeitig Einblick in mögliche Sicherheitsverletzungen bietet. In der Praxis sollten Telemetriedaten unter Verwendung von AISecOps-Praktiken an Analyse- und Benachrichtigungstools gestreamt und gleichzeitig zur späteren Verwendung in Datenspeichern gespeichert werden. Um die Wirksamkeit zu verbessern, den Menschen Kontext zu vermitteln und eine zeitnahe Reaktion zu gewährleisten, sollten KI und Warntools eingesetzt werden. Permanente Daten sollten zum Lernen verwendet werden und dazu beitragen, die Robustheit künftig noch weiter zu verbessern.
Robustheit. Lösungen müssen Möglichkeiten beinhalten, einen Ausfall zu umgehen oder seine Dauer zu verkürzen. Die in diesem Zusammenhang für Robustheit üblichen Muster sind (a) schrittweise Degradation oder (b) Redundanz, wobei die Wahl von der Realisierbarkeit des Betriebs mit einer degradierten Komponente abhängt. Einige Systeme, wie etwa Warmwasserbereiter, können beides haben. Mein Warmwasserbereiter verfügt beispielsweise über ein pumpengespeistes Umwälzsystem, das dafür sorgt, dass immer heißes Wasser zur Verfügung steht. Bei einem Pumpenausfall bekomme ich zwar trotzdem Warmwasser, muss aber etwas länger darauf warten. Andererseits kann der Ausfall eines Heizwendelsensors – bei dem das Heizelement nicht abschaltet – zu einem katastrophalen Fehler führen, daher wird eine Redundanz in Form eines Überdruckventils verwendet.
Die Robustheit sollte auf mehreren Systemebenen berücksichtigt werden. Beispielsweise könnte ein Klempner, der an einer professionellen Lösung arbeitet, nur die Abflussleitung reparieren und ein Paar redundanter Entsorgungsleitungen installieren, sodass der Ausfall einer der Leitungen den Abfluss nicht unbrauchbar macht. Andererseits könnte ein Architekt, der auf der Systemabstraktionsebene arbeitet, Redundanz auf Systemebene entwerfen, etwa durch das Hinzufügen eines zweiten Waschbeckens oder einer zweiten Toilette in der Nähe, was auch den Vorteil hätte, dass mehr Fehlerarten behoben würden als nur verstopfte Abflussleitungen.
Redundanz ist in der Cybersicherheit sicherlich eine gängige Praxis, da viele Sicherheitsgeräte entweder im Aktiv/Standby-Modus (vollständige Redundanz) oder im Aktiv/Aktiv-Modus (graduelle Degradation) eingesetzt werden. Allerdings unterscheidet sich die Welt der Cybersicherheit ein wenig von der physischen Welt. Erstens bedeutet die Tatsache, dass es in der Welt der Cybersicherheit aktive Angreifer mit Absicht und Intelligenz gibt, dass Ausfälle selten natürliche Ursachen haben. Ein zweiter, bedeutenderer Unterschied ist der Maßstab. Da die Software virtuell und nicht physisch ist, folgt sie dem Paradigma „einmal schreiben, oft bereitstellen“. Dies ist zwar eine wunderbare Eigenschaft für die Skalierung, bedeutet aber auch, dass eine Code-Sicherheitslücke in einer zentralen Softwarekomponente wahrscheinlich alle Instanzen dieses Codes im System beeinträchtigt. Daher basiert die Cybersicherheitslösung zur Gewährleistung der Robustheit auch auf der Vermeidung einzelner Fehlerpunkte und einzelner Elementklassen; eine Strategie, die manchmal als „Defense-in-Depth“ bezeichnet wird. Die Multi-Faktor-Authentifizierung ist ein hervorragendes Beispiel für die praktische Umsetzung dieser Idee. Die Fehlerart (die Möglichkeit einer Beeinträchtigung) ist für jeden Faktor unterschiedlich, und die Beeinträchtigung eines einzelnen Faktors führt nicht zu einer Beeinträchtigung des Gesamtsystems.
Eindämmung. Es ist von entscheidender Bedeutung, die Auswirkungen – die Explosionszone – eines Fehlers einzuschränken. Wir müssen nicht nur akzeptieren, dass es zu Ausfällen oder Sicherheitsverletzungen kommen wird, sondern müssen auch akzeptieren, dass wir einzelne Ausfallpunkte nicht völlig vermeiden oder für jede funktionale Anforderung Redundanz einbauen können. Folglich sollte der Architekt auch darüber nachdenken, wie sich die Auswirkungen eines Fehlers minimieren lassen, wobei er sowohl den Aufwand als auch die Konsequenzen als zwei wichtige Maßstäbe für die Güte heranzieht. Ein Klempner kann beispielsweise strategisch platzierte Reinigungsöffnungen an Abwasserleitungen anbringen, um die für die Sanierung erforderliche Zeit zu verkürzen. Bei schwerwiegenderen Ausfällen kann ein Auftragnehmer PVC anstelle von verzinkten Abflussleitungen wählen, da sich ein Leck in der Leitung dadurch leichter flicken lässt und der Sanierungsaufwand dadurch verringert wird. Eine gängige Praxis in der Sanitärtechnik von Haushalten ist der Einbau von Absperrventilen, um die Folgen eines (erkannten) Fehlers zu begrenzen und so Folgeschäden an Waschtischen und Böden zu verhindern.
In der Welt der Cybersicherheit sind Isolation, Wartbarkeit und Modularität entsprechende Konzepte. Bei der Isolation geht es darum, Kollateralschäden zu minimieren oder die Blutung zu stoppen. Eine bewährte Vorgehensweise besteht darin, über eine Infrastruktur zu verfügen, die mithilfe von Technologien wie der Mikrosegmentierung als Leistungsschalter fungieren kann. Wartbarkeit bedeutet, dass, sofern möglich, ein schneller und müheloser Weg von der Kompromittierung zurück zur Nicht-Kompromittierung ermöglicht wird. Beispielsweise könnte ein Neustart einer durch Speicherüberlaufangriffe kompromittierter Arbeitslast eine effektive (wenn auch unvollständige) Schadensbegrenzungsmethode sein. Unter Modularität versteht man den Aufbau von Systemen, bei denen vergleichbare Funktionskomponenten problemlos ausgetauscht werden können, sodass in Fällen, in denen eine Wartung nicht möglich oder ausreichend ist, der für die Behebung erforderliche Aufwand minimiert wird.
Dies sind einige der Best Practices, die ich im Umgang mit Sicherheitsverletzungen gelernt habe. Ich behaupte jedoch keineswegs, dass es keine weiteren gibt. Wichtiger noch ist, dass die Entwickler und Sicherheitsexperten, die mit dem Schutz der Anwendungen beauftragt sind, sich darüber im Klaren sind, dass es immer wieder zu Ausbrüchen und Sicherheitsverletzungen kommen wird. Vor diesem Hintergrund ist die Art und Weise, wie wir diese Ausfälle planen und bewältigen, ebenso wichtig und verdient ebenso viel sorgfältige Überlegung wie die Frage, was wir tun, um die Häufigkeit dieser Ausfälle zu minimieren.
Letztendlich werden wir nicht nur danach beurteilt, wie häufig es zu Verstößen kommt, sondern auch danach, wie gut wir auf diese Verstöße reagieren, wenn es unvermeidlich zu solchen Verstößen kommt .