IoT und Zero Trust passen gut zusammen

Originalartikel von Greg Young, VP of Cybersecurity

Das Internet of Things (IoT) bereitet in Sachen Sicherheit aus vielen Gründen große Kopfschmerzen. Die Geräte sind von Natur aus nicht vertrauenswürdig, und in der Regel kann kein Sicherheitsagent installiert werden. Auch wird bei ihrer Entwicklung die Sicherheit kaum berücksichtigt. Zudem ist ihr Vorhandensein in einem Netzwerk nur schwer zu erkennen, da sie oft nicht wie IT aussehen. Ein ähnliches Problem gab es mit BYOD (Bring Your Own Device). Doch viele BYOD-Geräte sehen aus wie die Unternehmens-IT und verhalten sich auch so. Nun, das IoT ist ein anderes, schwieriger zu sicherndes Gebilde. Unsere herkömmlichen Sicherheitsmodelle sind angesichts von IoT und BYOD nicht mehr zeitgemäß. Die Legacy-Architekturen können nur bis zu einem gewissen Grad skaliert werden, und die dadurch entstehenden Schwachstellen werden von neuen Arten von Angriffen ausgenutzt, auch von solchen, die sich leichter lateral bewegen, während die IT nach außen hin skaliert. Da IT und Sicherheit zunehmend von Software definiert werden, gilt Zero Trust (ZT) als grundlegende Lösung für die modernen Sicherheitsansätze.

Auf den ersten Blick mag die Idee von ZT und IoT unvereinbar erscheinen, doch diese grundlegend nicht vertrauenswürdigen, vermutlich unsicheren IoT-Geräte sind der perfekte Anwendungsfall für Zero Trust-Architekturen.

Was ist Zero Trust?

Mit Zero Trust bezeichnet man einen Ansatz für die Sicherheit im Unternehmen. Doch genauso wie ein Unternehmen nie 100 % sicher sein kann, wird wahrscheinlich auch nie „Zero Trust“ vollständig umgesetzt werden. Beides sind Ziele, so wie auch „Qualität“ oder „Gesundheit“, die kontinuierlich angestrebt werden. Je näher ein Unternehmen an diese Ziele herankommt, desto besser ist es um dessen Sicherheit und Vertrauen in die Architektur bestellt. Das bedeutet keinesfalls, „das Risiko einfach zu akzeptieren“, sondern dass eine Organisation sich angesichts des ständigen Wandels stetig um eine verbesserte Sicherheit bemühen und auf zu erwartende Änderungen eingehen muss.

Immer wieder kommen neue Geräte, Menschen, Anwendungen und Dinge ins Unternehmen, so dass die Begriffe „kontinuierlich“, „Risiko“ und „Haltung“ in der Architektur von Zero Trust von hoher Bedeutung sind.

Anwenden von Zero Trust auf IoT

Bislang ging es bei der Sicherung des IoT vor allem um Mikrosegmentierung. Das ist ein wenig irreführend, aber das Wissen darüber, was segmentiert werden soll, ist ein Vorläufer für die Abgrenzung. Außerdem ging es in der Zeit vor Zero Trust darum, Zonen zu schaffen, in denen das IoT angesiedelt ist. Das entspricht nicht der Funktionsweise von Zero Trust. Eine wichtige Grundlage für Zero Trust ist das Wissen um die Präsenz und den Status von so vielen Identitäten, Benutzern, Geräten, Anwendungen und anderen Elementen wie möglich. Ohne diese Transparenz sind der Status des Vertrauens und damit das Risiko nicht bekannt. Daher ist es grundlegend wichtig, Dinge zu finden und zu wissen, wie vertrauenswürdig sie sein können.

Sowohl das Auffinden als auch die Bewertung der Risikosituation des IoT in der Domäne ist sehr sinnvoll und entscheidend für die Einbeziehung der involvierten Geräte in eine Zero Trust-Architektur. Noch mehr Nutzen ergibt sich, wenn man die Kommunikationshistorie dieser Geräte kennt, den Status der Dinge und Benutzer, mit denen sie kommuniziert haben, und in der Lage ist, Schutzschilde vor der Veröffentlichung eines Patches anzuwenden und die Geräte zu blockieren, wenn sie Dinge tun, die schlecht oder zu riskant sind.

Die Herausforderung dabei besteht darin, dass dies alles kontinuierlich geschehen muss. Es handelt sich nicht nur um eine einmalige Momentaufnahme, wenn ein Gerät in Ihr Netzwerk kommt.

Kontinuierliche Risikoeinblicke für das IoT bedeuten weniger fehlgeleitetes Vertrauen und mehr Automatisierung

Zusätzlich zum Wissen über die Zero Trust-Architektur, das die Bemühungen eines SOC unterstützen soll, können Risikoeinblicke bezüglich unbekannter Geräte (ob IoT oder traditionelleres BYOD, automatisch in Teilbereichen des Zero Trust-Bereichs wie SASE (Secure Access Service Edge) und ZTNA (Zero Trust Network Access) angewendet werden. Verbindungen zum IoT und solchen vom IoT zum Web, zu Anwendungen oder SaaS (die ihrerseits eine IoT-Komponente enthalten können) lässt sich zuverlässiger vertrauen (oder blockieren), wenn das Wissen über die Haltung aller beteiligten Parteien kontinuierlich bewertet wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.