Branchenexperten über die 3 wichtigsten Best Practices für Cybersicherheit

Im weiteren Verlauf des Monats des Cybersicherheitsbewusstseins möchten wir Ihnen einige unserer beliebtesten Best Practices und Erkenntnisse zur Cybersicherheit vorstellen, die von einigen der brillanten Branchenexperten stammen, die in Staffel 1 des Illumio-Podcasts "The Segment: A Zero Trust Leadership" vorgestellt wurden.

Da Unternehmen zunehmend versuchen, ihre Ziele im Bereich der Cyber-Resilienz voranzutreiben, den ROI zu maximieren und den Weg zu Zero Trust zu beschleunigen, sind hier einige der wichtigsten Tipps, die uns von Führungskräften bei Microsoft, IBM, Cylera, AWS und anderen im Gedächtnis geblieben sind.  

1. Zero Trust ist eine Reise. Man muss klein anfangen.

Laut Greg Tkaczyk, Executive Consultant bei IBM Security, der in Folge 5 von The Segment zusammen mit seinem Kollegen Stephan Corragio, Managing Partner bei IBM Security, vorgestellt wurde, "ist Zero Trust eine Reise... Der Fokus muss auf kontinuierlichen und inkrementellen Verbesserungen liegen, die messbar sind. Und keine Big-Bang-Implementierungen, die das Geschäft stören werden."

Ryan Fried, Senior Security Validation Consultant bei Mandiant (ehemals Senior Information Security Engineer bei Brooks Running), stimmt dem zu. In Folge 10 teilte Ryan seine eigene Perspektive als Praktiker darüber, wie man klein anfängt und schrittweise Fortschritte in Richtung Zero Trust macht:  

"Bei fast allem, was wir tun, denken wir darüber nach, wie wir in Richtung Zero und auch Zero-ish Trust gehen können", erklärte Ryan. "Echtes Zero Trust ist wirklich schwer zu bewerkstelligen, und ich denke, es ist wirklich einschüchternd. Als ich zum ersten Mal über Zero Trust nachdachte, dachte ich darüber nach, dass ich weniger Server-zu-Server-Kommunikation zulassen könnte, was mir wirklich Angst macht und sich wirklich auf die Produktion auswirkt. Aber wir sprechen zum Beispiel über Mikrosegmentierung aus einer Zero-Trust-Perspektive. Was ist das beste Preis-Leistungs-Verhältnis, das wir erzielen können, wenn wir am wenigsten störend sind?"

PJ Kirner, Mitbegründer und Berater von Illumio (unser Gast in Folge 6 von The Segment) bestätigt die Behauptungen von Greg und Ryan, dass Fortschritte bei Zero Trust das Wichtigste sind – und dass dieser Weg für jeden anders aussieht.

"Zero Trust kauft man nicht. Es gibt keinen einzigen Anbieter, bei dem Sie es kaufen und das Kontrollkästchen aktivieren. Es gibt eine Reise, auf die du dich begibst. Das ist es, was es ist. Es ist Strategie. Man muss herausfinden, was es da draußen gibt."

2. Transparenz ist für den Cyber-Erfolg von größter Bedeutung

Da immer mehr Unternehmen versuchen, ihre Zero-Trust-Fortschritte inmitten hyperkomplexer, hypervernetzter Multi-Cloud-Umgebungen voranzutreiben, wird Transparenz immer wichtiger.  

Ann Johnson, Corporate Vice President für Microsoft Security Business Development, teilte in Folge 12 mit: "Das größte Problem, das CISOs mir heute noch sagen, ist die Transparenz. Wie können Sie also erkennen, dass etwas wirklich Schlimmes in Ihrer Umgebung passiert, es superschnell erkennen und verhindern, dass es Schaden anrichtet?"

Stephen Corragio, Managing Partner bei IBM, teilte in Folge 5 seine eigene Sicht darauf mit, wie die Sichtbarkeit in Gesprächen mit Kunden weiterhin zur Sprache kommt: "... Früher ging es darum, alles zu schützen, alles zu verschlüsseln und wirklich sicherzustellen, dass wir alles in einer Umgebung scannen. Wenn wir jetzt mit Kunden sprechen, geht es darum, wie wir sicherstellen können, dass wir uns wirklich um die wichtigsten Dinge in unserer Umgebung kümmern und sicherstellen, dass sie richtig geschützt und kontrolliert werden. Wir haben Transparenz, wir überwachen das, und dann reagieren wir auf Bedrohungen in diesen speziellen Umgebungen, anstatt zu versuchen, den Ozean bei allem, was wir tun, zum Kochen zu bringen."

Mit anderen Worten: Alles beginnt und endet heute – von der Priorisierung über die Behebung bis hin zum Schwachstellenmanagement – mit Transparenz.  

3. Besser spät als nie: Unternehmen müssen anfangen, von einer Sicherheitsverletzung auszugehen

Richard Staynings, Chief Security Strategist bei Cylera, teilte in Folge 11 mit, dass "[Cyber-Resilienz] darum geht, einen Angriff aufrechtzuerhalten. Zu wissen, dass Sie einen haben werden, den Angriff aufrechtzuerhalten, über gut eingeübte Maßnahmen zur Geschäftskontinuität und gut geübte Maßnahmen zur Reaktion auf Vorfälle zu verfügen, damit Sie das Geschäft fortsetzen können, auch wenn es nur auf einer tröpfchenden Ebene ist. Und Sie können Ihre Kunden relativ zufrieden stellen, während Sie aufräumen und wiederherstellen. Und das erfordert ein hohes Maß an Ausfallsicherheit in Ihrer Architektur, Ihrer Anwendung, Ihrer Infrastruktur und vielem mehr."

Mit anderen Worten: Die Annahme einer Sicherheitsverletzung führt zu einer Bereitschaft, die wiederum zu Geschäftskontinuität und Ausfallsicherheit führt.

Gary Barlet, CTO von Federal Field, erklärte in Folge 8 , dass "die Zukunft von Zero Trust davon abhängen wird, ... Zurück zu Assume Breach... Ich versuche, die Dinge auf das kleinstmögliche Stück zu bringen. Sie sprechen von der Sicherung von Daten auf der Ebene der Datenelemente. Sie sprechen von der Sicherung von Anwendungen auf Anwendungsebene, und beim einzelnen Teil kommen wir in die Mikrosegmentierung der einzelnen Teile einer Anwendung. Wenn wir versuchen, diesen Verteidigungsring so klein und so nah wie möglich an der Quelle zu zeichnen, im Gegensatz zu den traditionellen, zeichnen wir einfach große Kreise und versuchen zu verhindern, dass irgendjemand durch den großen Kreis kommt, richtig. Und zwar so, dass es mehrschichtig ist, so dass es für Gegner wirklich schwierig ist, einzudringen."

Wie die Experten sagen, geht es bei Zero Trust vor allem um Fortschritt vor Perfektion. Und die Zero-Trust-Reise jedes Unternehmens ist unterschiedlich. Wenn Sie jedoch Ihre eigene Zero-Trust-Strategie vorantreiben und die Widerstandsfähigkeit Ihres Unternehmens stärken möchten, sollten Sie sicherstellen, dass Sie mit der Annahme von Sicherheitsverletzungen beginnen, der End-to-End-Transparenz Priorität einräumen und sich darauf konzentrieren, schrittweise Fortschritte bei Ihren Zero-Trust-Zielen zu erzielen. Denn der Feind des Fortschritts ist die Perfektion.

Stellen Sie sicher, dass Ihr Unternehmen dem Cyber-Bewusstsein Priorität einräumt und das ganze Jahr über widerstandsfähig bleibt! Kontaktieren Sie uns noch heute für eine kostenlose Beratung.