Vertrauen ohne drohende Konsequenzen gibt es in der IT-Sicherheit schon länger nicht mehr. Nur in einer idealen Welt sind Unternehmen in der Lage, die eigene Belegschaft mit allen möglichen Kompetenzen, Rollen und Zugängen auszustatten, ohne sich Gedanken über mögliche Folgen oder Missbrauch zu machen.
Tatsächlich wurde dieses Sicherheitsparadigma des positiven Vertrauens durch Sicherheit am Netzwerkperimeter über Jahrzehnte gelebt. Wenn ein Mitarbeitender erst einmal für den Netzwerkzugriff autorisiert war, konnte er sich meist ungehindert innerhalb der gesamten IT-Umgebung fortbewegen. Ein solches Konzept öffnete allerdings über die laterale Fortbewegung Eindringlingen Tür und Tor zu den wichtigsten Daten eines Unternehmens.
Mit Zero Trust trat anstelle des Netzwerkzugriffs der autorisierte und authentifizierte Zugriff auf Ebene der einzelnen Applikation. Schränkt man die Kompetenzen und Zugänge der eigenen Belegschaft ein und überprüft, ob Zugriffe und Verbindungen zu Anwendungen tatsächlich notwendig sind, schafft man ein solides Bollwerk gegenüber Cyberkriminellen und reduziert damit die Angriffsfläche auf die IT-Umgebung. Allerdings entwickelt sich nicht nur die Cybersicherheit weiter, sondern auch die Methoden der Eindringlinge. Wird es für sie schwieriger ein Unternehmen aufgrund dessen reduzierter Angriffsfläche zu kompromittieren, wenden sie sich verstärkt dem schwächsten Glied in der Angriffskette zu – dem Menschen mit dessen Identität. Dann ist es an der Zeit, das Zero Trust Konzept Richtung Negative Trust weiterzuentwickeln.
Identität als Einfallstor
Hinter dem Begriff versteckt sich mitnichten das größere Misstrauen der eigenen Belegschaft gegenüber, sondern Fokus auf die Täuschung von Angreifern, die es geschafft haben mit Hilfe gestohlener Identitäten in die IT-Umgebung einzudringen. Die Idee hinter Negative Trust ist, das Verhalten von Angreifern zu antizipieren, die erfolgreich einen Mitarbeitenden getäuscht und dessen Credentials entwendet und übernommen haben. Ein solcher Eindringling wird stets versuchen, die erbeuteten Rollen und Rechte auszureizen, indem er versucht sich innerhalb der IT-Umgebung fortzubewegen auf der Suche nach wichtigen Daten. Wird ein solches Angreiferverhalten in der eigenen Verteidigungsstrategie vorweggenommen, kann man die Angreifer gezielt in die Irre führen und deren Anwesenheit in der IT-Umgebung aufdecken.
Eines der jüngsten Beispiele, bei denen es Cyberkriminellen gelungen ist, die vorhandenen Sicherheitsmechanismen auszuhebeln, war im Herbst vergangenen Jahres der Angriff auf ein Casino in Las Vegas. Mittels Social Engineering und Sim-Swapping wurde die Unwissenheit eines Mitarbeitenden ausgenutzt und darauf aufbauend auch die Sicherheitsarchitektur umgangen, so dass Datenbestände entwendet werden konnten. Dieser Fall zeigt einmal mehr, dass die größte Schwachstelle in der Cyberabwehr der Mensch bleibt. Wenn es Hacker schaffen, sich Zugang zu Infrastrukturen zu verschaffen und ihre eigene Identität hinter einem Mitarbeitenden zu verbergen, reicht es nicht mehr aus, Rollen und Berechtigungen zu limitieren. Es bedarf vielmehr der nächsten Stufe der Security-Evolution: Negative Trust.
Die Pyramid of Pain als Schlüssel
In dem Modell der „Pyramid of Pain“ der Cybersicherheit wird der Aufwand der Angreifer dargestellt, um Sicherheitshürden zu überwinden. Dabei muss berücksichtigt werden, dass herkömmliche Sicherheitsmethoden am unteren Ende der Pyramide relativ einfach für Angreifer auszuhebeln sind. Die Spitze der Pyramide bilden dabei die Taktiken, Techniken und Prozesse (TTP) der Angreifer, die kontinuierlich modifiziert werden. Sind diese Verhaltensweisen erst einmal bekannt, so lassen sich darauf aufbauend durch Täuschungsmanöver Gegenmaßnahmen ergreifen. Denn für die Hacker geht es mit großem Aufwand einher, ihre Taktiken und Prozesse zu modifizieren. Macht man sich also die Denkweise und Techniken der Angreifer zu Nutze in der Abwehrstrategie, kann man die Angreifer in einem trügerischen Gefühl von Sicherheit wiegen und sie dabei identifizieren.
Zu diesem Zweck sollten Unternehmen auf Täuschungstechnologien setzen. Dazu erstellt man ein Labyrinth aus falschen Daten und Anwendungen und versucht dem Eindringling oder auch Insider auf die Spur zu kommen. Dazu wird das Augenmerk auf diejenigen User gelegt, die versuchen auf Bereiche zuzugreifen, für die sie nicht autorisiert sind. Durch die Schaffung von unwirklichen Unternehmenswelten und den Spuren, die ein Angreifer darin hinterlässt, kann man ihn nicht nur überführen, sondern auch neue Erkenntnisse zu den Verhaltensweisen gewinnen und die eigene Sicherheitsarchitektur und -strategie weiterentwickeln.
Anstelle sich also lediglich auf herkömmliche Sicherheitsmaßnahmen am Boden der Pyramide zu fokussieren, die leicht umgangen werden können, sollten Unternehmen ihr Augenmerk ebenfalls auf die Spitze richten. Durch die Analyse der Verhaltensweisen potenzieller Malware-Akteure kann schneller und effizienter auf Angriffe reagiert werden und damit das Sicherheitspostulat erhöht werden.
Zero und Negative Trust verstärken sich gegenseitig
Für die erfolgreiche Cyberabwehr ist Einblick in die Verhaltensweisen der Angreifer und das von ihnen ausgehende Gefahrenpotenzial entscheidend. Herkömmliche Abwehrmaßnahmen stellen sich angesichts der kontinuierlichen Weiterentwicklung der Angriffstaktiken als unzureichend heraus. In der Folge sollte das Konzept des negativen Vertrauens in ein Zero Trust Rahmenwerk eingebaut werden. Dabei gilt es Angreifer zu überlisten, die sich in einer IT-Umgebung befinden.
Während Zero Trust sich damit befasst, Zugriffsberechtigungen zu limitieren und Anbindungen zu verifizieren um dadurch die Angriffsfläche zu minimieren, ist Negative Trust dafür gedacht, die Angriffstechniken und Denkweisen der Angreifer zu nutzen, um ihnen auf die Spur zu kommen. Negatives Vertrauen geht im Kampf gegen Cybergefahren mit Zero Trust Hand in Hand. Durch das Verständnis vom Verhalten der Angreifer können Organisationen robustere Abwehrstrategien entwickeln und damit Risiken mitigieren.
Tony Fergusson, CISO EMEA bei Zscaler