Warum Zero Trust für bessere Endpunktsicherheit?

Zero Trust is rapidly gaining popularity as a philosophy implemented by organizations of all sizes. The idea of trusting no person or device may sound somewhat draconian, so the concept of ‘always verify’ is often applied. However, there will inevitably be times when sources cannot be verified, so the mantra “verify where you can and block where you can’t” applies.

Während Zero Trust als Konzept zum Schutz Ihrer wertvollsten Vermögenswerte mit dem DAAS-Ansatz (Daten, Anwendungen, Assets und Services) begann, von denen die meisten im Rechenzentrum oder in der Cloud vorhanden waren, wurde in letzter Zeit zunehmend der Endpunkt einbezogen, da er Daten und Anwendungen speichert, ein Asset ist und eine Vielzahl von Diensten nutzt.

Die Herausforderung bei Endpunkten besteht jedoch darin, dass sie nicht immer sicher in einem sicheren Bereich verschlossen sind – sie können sich bewegen. In vielen Fällen werden Endpunkte in Umgebungen verschoben, die potenziell sehr gefährlich sein können, einschließlich eines Heimnetzwerks. Wir fühlen uns zu Hause im Allgemeinen sehr sicher, aber es gibt kein Türsprechsystem, um zu verfolgen, wer ein- und ausgeht. Wir teilen uns das Netzwerk und den Arbeitsbereich mit Spielekonsolen, CCTV, Musikanlagen, anderen ungeschützten Arbeitsplätzen und damit einer ganzen Reihe potenzieller Bedrohungen.

Ideally, a home worker would have their work laptop in a locked room, hardwired into its own network on a separate broadband connection connected via a secure VPN. But as we know, this is generally not the way things are, and so the concept of Zero Trust for endpoint security is more relevant than everyone believes.

Dies wirft die Frage auf : Wie können wir Zero Trust für die Endpunktsicherheit implementieren und durchsetzen, nicht nur auf dem Campus, sondern auch für die große (und wachsende) Zahl von Remote-Mitarbeitern?

Zunächst sollten wir verstehen, was die potenziellen Bedrohungen sind:

1. Das Heimnetzwerk – dieses ist von 2 oder 3 PCs zu einem breiten Mix aus IT und OT gewachsen. Die Anzahl der Geräte im Netzwerk ist auf rund 20 angewachsen, von denen jedes über eine eigene Verbindung zu einem Remote-Dienst verfügt. Nur sehr wenige Haushalte verfügen über eine hochwertige Firewall und fast kein Dienstanbieter bietet einen Cloud-basierten Firewall-Service der nächsten Generation an. Ebenso ist die Endpunktsicherheit, die Privatanwendern zur Verfügung steht, veraltet, was bedeutet, dass sie oft schwer und langsam ist und viele dazu veranlasst, sie auszuschalten oder gar nicht erst zu installieren.
2. Öffentliches WLAN – fast überall, wo wir hingehen, vom Hotel bis zum Bus, gibt es jetzt einen WLAN-Service. Das Potenzial für Fake Access Points und Man-in-the-Middle-Angriffe (MitM) ist enorm.
3. Verbindung zum Unternehmensnetzwerk – Während das Unternehmensnetzwerk selbst aufgrund anderer Umgebungen keine Bedrohung darstellen sollte, werden wir zur Bedrohung. Unser Laptop könnte infiziert worden sein, und sobald wir uns direkt oder aus der Ferne mit dem Unternehmensnetzwerk verbinden, können wir Malware in unser eigenes Unternehmen einschleusen.

Wie können wir also den Zero-Trust-Ansatz mit "Verifizieren" oder "Blockieren" einhalten? Hier sind ein paar Dinge, die Sie beachten sollten:

1. Ensure that machines and people are who they say they are. Use multi-factor authentication (MFA) to verify users and devices. Identity is often described as the ultimate perimeter of the network and, to a certain extent, this is true. In most systems, it is best to decouple security from the network and identity is no exception as it then becomes completely portable to all environments.
2. Verbinden Sie im Remote-Modus alle Benutzer über VDI oder VPN.
3. Virtual desktops or remote desktops can provide a secure and simple connection for most users. As the applications never exist on the endpoint, it is difficult for malware to propagate to the corporate network. However, it is important to make sure that the backend environment is properly segmented to stop any threats accessing the wider systems.
4. VPNs werden von Unternehmen häufig verwendet, um eine sichere Verbindung bereitzustellen, die das Unternehmensnetzwerk repliziert. Die meisten werden überprüfen, ob der Endpunkt über aktuelle Patches und Sicherheitssignaturen verfügt, bevor die Verbindung hergestellt werden kann. VPNs können einige Leistungsprobleme verursachen, wenn alles in das Heimnetzwerk zurückgeholt werden muss. Um dieses Problem zu lösen, ist eine neue Systemklasse namens Secure Access Service Edge (SASE) entstanden, die den lokalen Cloud-Zugriff nutzt, um eine sichere Remote-Verbindung bereitzustellen.
7. Stellen Sie sicher, dass auf allen Endpunkten Endpoint Protection Platforms (EPP) und Endpoint Detection and Response (EDR)-Lösungen der nächsten Generation installiert sind. Moderne, leichtgewichtige Systeme verwenden eine Kombination aus Bedrohungsanalyse und Verhaltensanalyse, um bekannte und unbekannte Malware zu identifizieren und zu stoppen.
8. Apply endpoint segmentation. One of the key tenets of Zero Trust is micro-segmentation and this applies equally to endpoints. Micro-segmentation on the endpoint stops the propagation of peer-to-peer threats by only allowing the required applications.

Die Kombination dieser Systeme sollte sowohl den Endpunkt als auch andere Benutzer in Campus- oder Remote-Umgebungen schützen. Während sich bei MFA und VPNs alles um die Verifizierung dreht, stoppt die Kombination aus EPP und Mikrosegmentierung die Bedrohung. Wenn sich ein Benutzer zu Hause Malware aneignet, kann diese wochenlang untätig bleiben. Wenn es nichts tut, ist es sehr schwer zu erkennen. Sobald das Gerät jedoch mit der Unternehmensumgebung verbunden ist, kann die Malware versuchen, auf andere Hosts oder Endpunkte zu gelangen, um nach einem System zu suchen, das ungeschützt oder ungepatcht ist.

Sobald die Malware aus dem Ursprungssystem entwichen ist und auf freiem Fuß ist, ist die Eindämmung der Schlüssel zum Erfolg. Selbst die besten Endpunkt-Sicherheitssysteme können einige Minuten brauchen, um eine Bedrohung zu erkennen, und in dieser Zeit kann sich Malware weit und breit ausbreiten.

Die Verwendung von Endpunktsegmentierung wie Illumio Edge verhindert die großflächige Ausbreitung von Malware, indem Zero-Trust-Whitelist-Regeln auf die Kommunikation zwischen Systemen angewendet werden und nur autorisierte Anwendungen und Systeme kommunizieren dürfen. Dadurch werden alle Bedrohungen eingedämmt, während der Rest der Sicherheitsinfrastruktur den Angriff identifiziert und behebt.

Weitere Informationen zur Funktionsweise von Illumio Edge:

• Learn more about its key features
• Check out this architecture overview
• Download this datasheet
• Watch this demo video