Warum identitätsorientierte Sicherheit ein Top-Sicherheitstrend im Jahr 2021 ist

Ein perfektes Zusammentreffen von Ereignissen hat in diesem Jahr zu einer rasanten Beschleunigung bereits geplanter digitaler Transformationsprojekte und der Einführung von Initiativen zur ortsunabhängigen Arbeit geführt, die die traditionellen Unternehmensgrenzen obsolet gemacht haben. In dieser neuen Welt ist jeder (und jedes "Ding") ein Außenseiter in der Organisation - egal, ob er von unterwegs oder vom Büro aus arbeitet.

Sie haben es schon einmal gehört - das Konzept "drinnen sind die Guten, draußen sind die Bösen" ist ein Vermächtnis, das hinterlassen wurde. Vertrauen hat sich zu einer Schwachstelle entwickelt. Angreifer können leicht kompromittierte oder gestohlene Anmeldedaten nutzen, um in Unternehmensnetzwerke einzudringen und sich unbemerkt zu bewegen. 

Der jüngste Data Breach Investigations Report (DBIR) der Version 2021 zeigt, dass 61 % der Datenschutzverletzungen Anmeldedaten betrafen, während 70 % aller Missbrauchsfälle auf den Missbrauch von Berechtigungen zurückzuführen waren.

In einer Zeit, in der sich Sicherheitsstrategien an das Mantra "vertraue niemandem, überprüfe überall und jederzeit" anpassen, ist es eine Notwendigkeit, zu überprüfen, dass nur autorisierte und authentifizierte Personen und Geräte Zugang zu kritischen Daten und Infrastrukturen erhalten können.

Mit anderen Worten: Identität ist nicht die neue Grenze - sie ist die Grundlage der Sicherheit in einer Welt ohne Grenzen. 

Unternehmen müssen ihr Identitätsmanagementprogramm weiterentwickeln, um "den richtigen Personen den Zugriff auf die richtigen Ressourcen zur richtigen Zeit und aus den richtigen Gründen zu ermöglichen", wie Gartner bemerkt. Aus diesem Grund hat Gartner Identity-First Security als einen der Top-Sicherheits- und Risikotrend für 2021.

"Der Angriff von SolarWinds hat gezeigt, dass wir bei der Verwaltung und Überwachung von Identitäten keine gute Arbeit leisten. Während viel Geld und Zeit in die Multifaktor-Authentifizierung, die einmalige Anmeldung und die biometrische Authentifizierung investiert wurde, wurde nur sehr wenig in eine effektive Überwachung der Authentifizierung investiert, um Angriffe auf diese Infrastruktur zu erkennen. bemerkt Peter Firstbrook, Vizepräsident für Forschung bei Gartner.

Obwohl Unternehmen in die Weiterentwicklung ihrer Zugangssicherheitslösungen investiert haben, um Dinge wie passwortlose Authentifizierung, Multi-Faktor-Identifizierung (MFA) und Single Sign-On (SSO) einzubeziehen, ist es eine Tatsache, dass sie sich nur auf einen Bruchteil ihrer Belegschaft konzentrieren. 

Heutzutage machen Maschinen einen weitaus größeren Teil Ihrer "digitalen Belegschaft" aus als Menschen. Investitionen in die Verwaltung und den Schutz von Maschinenidentitäten, wie z. B. X.509-Zertifikate, verblassen jedoch oft im Vergleich zu Investitionen in das Identitäts- und Zugriffsmanagement (IAM) von Menschen.

Das Fazit ist, dass Maschinenidentitäten ein Teil Ihrer IAM-Strategie sein müssen, vor allem, da wir zu einer digitaleren Belegschaft übergehen, in der die Teams, die das Unternehmen aufbauen und betreiben, vollständig auf die Maschinen angewiesen sind, die unsere Infrastruktur untermauern (d. h. Server, Container, mobile Geräte usw.).

In Abschnitt 3 der jüngsten Biden Executive Order (EO) werden Anordnungen zur "Modernisierung der Cybersicherheit der Bundesregierung" getroffen und insbesondere Fortschritte bei "Cloud-Diensten und Zero Trust Architecture" genannt. 

Der EB legt dar, dass die Zero-Trust-Architektur "den Nutzern vollen Zugang gewährt, aber nur zu dem Minimum, das sie für die Ausübung ihrer Tätigkeit benötigen". Eine entscheidende Komponente der Zero-Trust-Architektur ist die Ausstellung und Verwaltung digitaler Identitäten - sowohl für Menschen als auch für Maschinen.

NIST SP 800-207 definiert die Public-Key-Infrastruktur (PKI) als eine wesentliche Komponente zur Erreichung einer Zero-Trust-Architektur. In der Tat hat eine Umfrage unter Führungskräften zeigte kürzlich, dass 96 % der IT-Sicherheitsverantwortlichen der Meinung sind, dass PKI und digitale Zertifikate für Zero Trust unerlässlich sind.

Gartner stellt fest, dass "identitätsorientierte Sicherheit die Identität in den Mittelpunkt des Sicherheitsdesigns rückt und eine deutliche Abkehr vom traditionellen LAN-Edge-Design-Denken erfordert." Das Problem ist, dass Sicherheitsteams Schwierigkeiten haben, Best Practices für die Verwaltung und den Schutz dieser Anmeldeinformationen durchzusetzen.

Dies ist von entscheidender Bedeutung, da die Zahl der digitalen Identitäten im gesamten Unternehmens-Ökosystem sprunghaft ansteigt. Identitäten sind nicht mehr menschenbezogen, sondern helfen bei der Authentifizierung und Autorisierung einer breiten Palette von Geräten, DevOps-Prozessen und Diensten. 

Allerdings, Forschung zeigt dass:

• 55 % der Unternehmen haben nicht genügend IT-Sicherheitspersonal, das sich um ihre PKI kümmert.
• 60 % der Unternehmen haben keine formellen Zugangskontrollen für Code-Signatur-Schlüssel.
• 40 % der Unternehmen verwenden immer noch Tabellenkalkulationen, um digitale Zertifikate manuell zu erfassen.

Das Verlassen auf fehleranfällige und zeitaufwändige manuelle Prozesse hinterlässt viele blinde Flecken und schafft Sicherheitslücken, die Angreifer weiterhin ausnutzen, um Daten zu kompromittieren. Imitationsangriffe, zertifikatsbedingte Ausfälle und Malware, die sich als legitime software ausgibt, sind nur einige Beispiele, die jeden CISO davon überzeugen sollten, dass es an der Zeit ist, seine IAM-Praktiken so weiterzuentwickeln, dass sowohl Menschen als auch Maschinen einbezogen werden.

Die Kryptografie ist heute eine wichtige Infrastruktur für die digitale Wirtschaft, und Maschinenidentitäten sind die Grundlage für digitales Vertrauen. Mit der digitalen Transformation der Welt werden Maschinen eine immer größere Rolle in Wirtschaft und Gesellschaft spielen.

Erfahren Sie mehr darüber, wie Sie Maschinen effektiv in Ihre IAM-Strategie integrieren können, in unserem Webinar mit VP und Gartner-Analyst David Mahdi zum Thema "How PKI, Crypto, and Machines make the Digital World Go Round". Sehen Sie es sich hier an.