Die schwächste Schwachstelle in Ihrem Unternehmen ist nicht ein ungepatchtes System, ein leicht zu erratendes Passwort oder ein angeschlagenes Sicherheitsteam.
Stattdessen ist die wichtigste Schwachstelle etwas viel umfassenderes und schwieriger zu handhaben: Vertrauen.
In den letzten Wochen gab es eine Flut von Cyberangriffen, bei denen eine Reihe von Sicherheitslücken ausgenutzt wurden und die auf eine Reihe von Sektoren abzielten, die alle das Vertrauen in die Sicherheit von Unternehmen ausnutzen:
- Die SolarWinds-Angriff nutzte ein vertrauenswürdiges Aktualisierungssystem, um bösartigen Code in bis zu 18.000 Organisationen zu installieren, darunter das Pentagon, das Heimatschutzministerium, die National Nuclear Security Administration, Krankenhäuser und große Medienunternehmen.
- Letzte Woche wurde eine neue Kampagne von derselben Gruppe orchestriert, die auch hinter SolarWinds (Nobelium) steht. Sie hackte den E-Mail-Anbieter von U.S. AID, Constant Contact, und schickte E-Mails mit bösartigen URLs an etwa 3.000 Konten bei mehr als 150 internationalen Entwicklungs- und Menschenrechtsgruppen.
- Hacker nutzen die COVID-19 ändern Beschränkungen, um gefälschte E-Mails "von" Chief Information Officers zu versenden, um die Anmeldedaten der Mitarbeiter zu stehlen.
(Wir wissen nicht mit Sicherheit, ob die Gruppe, die die JBS Foods stellt Betrieb in den USA und Australien ein hat sich auf ähnliche Taktiken verlassen, aber wir werden die Geschichte weiter verfolgen, um zu sehen, inwieweit Vertrauen eine Rolle spielt).
Bei all diesen Angriffen senden die Bösewichte Links oder Installationen von einem vermeintlichen vertrauenswürdige Quelle. Sich darauf einzustellen, kann eine Herausforderung sein: In einer komplexen Gesellschaft, in der wir von überall aus arbeiten, müssen wir unseren Kollegen, Lieferanten und Systemen vertrauen, um unsere Arbeit zu erledigen, Aufträge zu erteilen, Zahlungen zu leisten und zu erhalten.
Benutzer brauchen Vertrauen. Aber Unternehmen können es sich nicht leisten. Online kann Vertrauen eine große Belastung sein.
Wir haben diskutiert Null Vertrauen zuvor: Es handelt sich nicht um eine Teilenummer oder ein Produkt. Es gibt keine SKU dafür oder ein Schnellbestellformular, um es zu kaufen.
Stattdessen ist Zero Trust ein Prinzip - es ist eine Denkweise mit deren Entwicklung die Sicherheitsteams beginnen sollten. Im Großen und Ganzen ist Zero Trust die klassische "Least Privilege"-Denkweise, nur in einem größeren Maßstab. Es ist ein Weg, die richtigen Kosten-Nutzen-Abwägungen zu treffen, um das zu schützen, was am wichtigsten ist, ohne Ihre Benutzer zu verlangsamen oder Ihr Unternehmen zu schädigen.
Einer der effektivsten Wege, um die Null-Vertrauen bedeutet, der Identität Vorrang zu geben und denken Sie daran, dass Identity Access Management (IAM) und Identity Governance Administration (IGA) weitreichend sind. Sie gelten für Ihre Benutzer, Ressourcen, Anwendungen und Ihre Anbieter: Um das Zero-Trust-Modell "never trust, always verify" anzuwenden, müssen Sie zunächst Governance-Richtlinien festlegen, um den richtigen Benutzern den richtigen Zugriff zu gewähren und Ihre Liste der Rollen und Berechtigungen zu pflegen. Unternehmen brauchen bessere, schnellere und intelligentere Methoden, um diese Informationen zu verfolgen und zu kontrollieren.
Auch hier sind IAM und IGA weitreichend: Die jüngsten Nobelium-Hacks unterstreichen die Notwendigkeit, eine Bestandsaufnahme aller Systeme und den Zugang und bieten eine starke Authentifizierung. Unternehmensweite, Cloud-basierte Systeme wie Office 365, Salesforce, Slack und Constant Contact müssen stärker sein, risikobasierte Authentifizierung um sicherzustellen Cloud-Sicherheit und sowohl persönliche Identitäten als auch sensible Unternehmensdaten zu schützen. Darüber hinaus zeigen die Hacks auch, dass Unternehmen ihre Anfälligkeit für gestohlene Passwörter und Anmeldedaten beseitigen (und erhebliche Einsparungen erzielen) müssen, indem sie auf passwortlos.
Indem wir das Maß an Vertrauen, das wir Nutzern und Ressourcen entgegenbringen, identifizieren, verwalten und reduzieren, können wir von unseren Verbindungen profitieren und den Schaden begrenzen, den sie uns, unseren Kollegen und unseren Unternehmen zufügen können. Letztendlich ist Nullvertrauen kein Ziel, sondern eine Reise, auf der wir ständig lernen und die Kompromisse, die wir in der Online-Welt eingehen müssen, immer wieder neu erlernen. Es wird immer mehr zu einer Reise, die sich lohnt.
