Wohin die IT-Security Reise geht – oder was Sie über CARTA, ZTNA und SASE wissen müssen – Teil 1

Gartner ist gerade wieder mal daran, die IT-Security der Zukunft zu definieren und schmeisst mit vielen neuen Begriffen um sich, u.a. CARTA (Continuous Adaptive Risk and Trust Assessment), ZTNA (Zero Trust Network Access) und SASE (Secure Access Service Edge). Dabei stellt sich wie immer die Frage, ob Gartner tatsächlich eine zuverlässige Kristallkugel zur Hand hat, oder ob sich nicht viel eher eine ganze Heerschar von Herstellern nach den Vorhersagen von Gartner richtet. Letztendlich spielt dies aber keine grosse Rolle, das Endergebnis ist dasselbe. Zero Trust ist das aktuelle Buzzword der Stunde in der IT-Security-Branche und Hersteller von SD-WAN und Web-Proxy-Lösungen entwickeln Ihre Lösung eifrig Richtung SASE weiter.

Aber was bedeuten diese neuen Begriffe für die IT-Security der Zukunft? Was müssen Sie heute bereits wissen? Gerne nehme ich Sie mit auf eine Blogreise in 3 Etappen.

Auslöser dieser neuen Konzepte und Begrifflichkeiten ist zum einen die digitale Transformation und zum anderen ein neues Sicherheitsverständnis. Tatsächlich hat sich in den letzten zwei Jahrzehnten in der IT-Security gar nicht mal so viel verändert. Seit mehr als 20 Jahren installieren wir Firewalls zum Schutz von Perimeter und Data Center, Web Gateways in ihrer aktuellen Form kennt man auch schon 15 Jahre lang. Das dürfte sich nun aber ändern. Folgende Faktoren haben aktuell einen grossen Einfluss auf die IT-Security der Zukunft:

• • Immer mehr Mitarbeitende arbeiten ausserhalb des klassischen Perimeters – von Zuhause aus, von unterwegs, beim Kunden oder in Aussenstellen
  • Zugriffe von «unmanaged» primär mobilen Geräten wie Smartphones oder Tablets nehmen zu
  • Immer mehr Services und Applikationen werden ausserhalb des eigenen Data Centers bezogen – dazu gehören SaaS-Dienste wie Office 365 oder Salesforce, aber auch private Applikationen, welche in Azure, AWS oder in der Google Cloud bereitgestellt werden
  • Weltweite Niederlassungen werden direkt mit dem Internet verbunden für bessere Performanz, Zugriff auf lokale Inhalte und Einsparungen bei MPLS-Kosten
  • Sicherheit wird nicht mehr länger als statische Entscheidung oder Zustand betrachtet. Risiko und Trust verändern sich über die Zeit. Es braucht ein kontinuierliches Assessment für sicherheitsrelevante Entscheidungen wie z. B. den Zugang zu sensitiven Daten oder Business-Applikationen.

Letzterer Punkt bildet quasi die Basis zu Gartner’s CARTA-Modell, welches für Continuos Adpative Risk and Trust Assessment steht.

Einleitend zwei praktische Beispiele, welche die Notwendigkeit für ein kontinuierliches Risk und Trust Assessment unterstreichen:

• • Ein Benutzer erhält per E-Mail eine Datei. Die Datei wurde auf dem E-Mail Gateway auf mögliche Gefahren untersucht und wird auf dem Endpoint mittels AV gescannt. Es kann keine Malware bzw. Bedrohung erkannt werden. Die Datei ist also ungefährlich. Diese Entscheidung ist statisch. Handelt es sich um einen neuen noch unbekannten Zero-Day-Angriff war die Entscheidung falsch und kann im weiteren Verlauf weitreichende Konsequenzen haben für die Unternehmung.
  • Ein Benutzer authentisiert sich und erhält Zugriff auf das firmeneigene Netzwerk und darin verfügbare Systeme, beispielsweise über VPN. Wurde der Client des Benutzers vorgängig kompromittiert, erhält ein unberechtigter Angreifer Zugriff auf Unternehmensressourcen und kann grossen Schaden anrichten. Gleiches gilt auch für einen Mitarbeitenden mit bösen Absichten (aka Insider Threat).

In beiden Fällen bietet die statische Sicherheit zu wenig Schutz. Es sollten vielmehr technische Lösungen zur Verfügung stehen, die Anomalien auf dem Endpoint und/oder im Netzwerk erkennen können. Auf diese Weise kann eine Malware oder ein vermeintlich legitimer Benutzer aufgrund seines Verhaltens auch später noch erkannt und blockiert werden. Stellen Sie sich das etwa so vor: Ein Benutzer hat sich mit seinem Gerät authentisiert und greift per VPN auf Unternehmensressourcen zu. Aufgrund von verdächtigem Verhalten wie unübliche Zugriffsmuster, hohe Bandbreitenbeanspruchung oder Verwendung von bedenklichen IP-Adressen oder URLs steigt das Risiko der Interaktion und/oder der Trust verringert sich. Als Folge davon kann der Zugriff auf Netzwerk und Systeme eingeschränkt oder ganz unterbunden werden.

Network Detection & Response (NDR) und Endpoint Detection & Response (EDR) adressieren diese Bedürfnisse und können meiner Meinung nach mehr zum Gesamtschutz einer Umgebung beitragen, als zusätzliche präventive Massnahmen, welche wiederum nur statische Entscheidungen treffen.

Das CARTA-Modell von Gartner steht für das Paradigma, dass Sicherheit kein statischer Zustand ist, sondern aufgrund der stetig ändernden Umgebung, Bedingungen und Bedürfnisse – beispielsweise auch im Zusammenhang mit dem digitalen Wandel – eine kontinuierliche Überwachung und Anpassung notwendig ist. Das Modell adressiert damit primär die Mängel der klassischen statischen IT-Security. Zwei Zustände «Allow» oder «Block», schwarz oder weiss, reichen nicht aus. Nein, viele verschiedene Graustufen sind die neue Realität der IT-Sicherheit. Sicherheitsrelevante Entscheidungen sollen aufgrund von Risiko und Trust getroffen werden und stets an den sich ändernden Kontext angepasst werden.

CARTA fokussiert sich dabei nicht nur auf die Netzwerk-Security (siehe die beiden Beispiele oben), sondern auf alle Prozesse der Information Security. Dafür sind folgende Elemente notwendig:

• • Asset Management: Es wird ein umfassendes und stets aktualisiertes Inventar aller Assets benötigt. Ohne Informationen wie Gerätetyp, Lokation, SW-Versionen und Patch-Level kann ein Unternehmen die Systeme nicht überwachen, aktuelle Konfigurationsstände sichern und Attacken verhindern.
  • Trust-Beziehungen: Die Beziehungen zwischen Geräten, Software und Benutzern sind entscheidend. Unternehmen müssen verstehen, überwachen und steuern wie Geräte, Software und Benutzer miteinander interagieren. Risiko und Trust verändern sich dynamisch basierend auf Kontext und Verhalten der einzelnen Entitäten.
  • Vulnerability Management: Schwachstellen müssen kontinuierlich aufgespürt, priorisiert und entsprechend behoben werden. Ein Fokus auf die gravierenden Schwachstellen ist zwingend notwendig, da nicht alle Schwachstellen gleichzeitig adressiert werden können.
  • Kennzahlen: Cyber-Security wird endlich zum Management-Thema. Daher müssen Security-Kennzahlen für das Business verständlich und nachvollziehbar zur Verfügung gestellt werden. Diese Kennzahlen unterstützen u.a. auch Entscheidungen für Security-relevante Investitionen. Zahlen zu IT-Bedrohungen, bestehenden Lücken und Risiken müssen auch von Nicht-Technikern verstanden und interpretiert werden können.
  • Adaptionsfähigkeit: Das ist der Kern des CARTA-Modells. Als Reaktion auf sich ändernde Bedingungen müssen Risiko und Trust immer wieder neu beurteilt und festgelegt werden.

Wie bei so vielen Modellen lässt sich nicht alles gleichzeitig umsetzen. Zudem gibt es gerade bei CARTA sicherlich Überlappungen zu bereits bestehenden Lösungen und Initiativen in der Unternehmung. Mit Bezug auf technische Sicherheit sehe ich für viele Unternehmen grosses Potenzial bei den Themen Detection & Response sowie Zero Trust Networking Access (ZTNA).

Gemäss Gartner ist Trust ist ein bi-direktionaler «Glaube» zwischen zwei Entitäten, dass die jeweils andere Partei die ist, welche sie vorgibt zu sein, und dass sich diese Partei während der gesamten Interaktion erwartungsgemäss verhalten wird. Offensichtlich ist Trust nicht einfach etwas Gutes, es ist vielmehr ein Ersatz für absolute Sicherheit, die es nicht gibt.

Die Default Policy für CARTA ist offensichtlich: Ohne Trust keinen Zugriff. Und ganz am Anfang gibt es eben keinen Trust. Zero Trust. Auch für einen Benutzer/ein Endgerät im internen Netzwerk. Ein minimaler Trust muss sich erst einmal «verdient» werden. Identität und Trust-Level einer Person bzw. eines Geräts müssen überprüft werden, bevor der Zugriff auf ein Netzwerk bzw. auf Applikationen gewährt werden kann. CARTA fokussiert sich dabei auf das kontinuierliche Risiko- und Trust Assessment. Zero Trust ist der erste Schritt in diesem Prozess. Dazu aber mehr im nächsten Teil dieser Blogreihe – stay tuned