Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Stoppen von Supply-Chain-Angriffen mit Zero-Trust-Segmentierung

Illumio Editorial
Illumio Editorial
19Mai 2021
23 min. lesen

Abschnitt 4 der Executive Order der Biden-Administration zur Verbesserung der Cybersicherheit des Landes konzentriert sich auf die Lieferkette. Ich war nicht überrascht.

Die Lieferkette ist aufgrund ihrer Komplexität besonders schwierig zu sichern.

Betrachten Sie den Automobilbau als Kontrast. In dieser Branche entwerfen Ingenieure jedes Teil: Autorahmen, Motorkomponenten, Teile und Unterkomponenten – speziell für jedes Fahrzeug. Jedes Element verfügt über Spezifikationen, die Langlebigkeit und Sicherheit gewährleisten.

Denken Sie umgekehrt an den Proof of Concept (POC) und den Beschaffungsprozess eines Wertpapierkäufers. In vielen Fällen erfordert die Einhaltung von Vorschriften Lösungen oder gewünschte Endzustände, die von einer beliebigen Anzahl von Produkten erfüllt werden können. Selten gibt es einen definierten Satz von Spezifikationen, nach denen der Lieferant baut. Wann hat Ihr Firewall-Anbieter das letzte Mal ein Produkt speziell für Sie angefertigt?

Sicher, Sie können die Konfiguration anpassen, aber sie ist nicht speziell für Ihren Zweck maßgeschneidert und sonst nichts. Stattdessen schafft der Lieferant ein Produkt mit der größtmöglichen Anwendbarkeit, um den größten Teil des Marktes zu erobern. Darüber hinaus befindet sich jeder Anbieter in einem Wettlauf um die schnelle Entwicklung, Veröffentlichung und Lieferung von Produkten, um mit einem schnelllebigen Markt Schritt zu halten.

Hinzu kommt (und genau wie in der Automobilindustrie) dass die Anbieter unter dem Druck stehen, Gewinne zu erzielen. Um das zu tun, muss etwas nachgeben. Im Fall von SolarWinds führte das Streben nach Gewinnen dazu, dass sie Kompromisse bei der Sicherheit eingingen. Das dürfen wir einfach nicht noch einmal zulassen.

Sicherheitsexperten verlassen sich auf andere Lösungen, um andere Produkte zu "beobachten", aber leider gibt es auch hier Herausforderungen. Auch im Fall von SolarWinds hatte die Endpunkterkennungslösung die SolarWinds-Software immer als Malware gekennzeichnet, so sehr, dass SolarWinds in einem Knowledge Base-Artikel empfahl, die Überwachungsfunktionen seiner Software zu deaktivieren.

Was sollten wir also tun?

Vor der Executive Order veröffentlichten Jonathan Reiber von AttackIQ und ich einen Blog in Lawfare , in dem wir darlegten, was wir uns von Bidens Executive Order erhofften. Ein Punkt, den wir nicht untersucht haben, ist die Lieferkette. Ich möchte hier ein paar Gedanken untersuchen:

  1. Jedes Endpunktüberwachungstool muss über ein robustes Programm zur Überwachung von Drittanbietern verfügen, ohne jedoch Fehlalarme zu erzeugen. Dies wird für Endpunktanbieter teuer sein, aber die Vorteile könnten enorm sein! Leider wird es aufgrund der Kosten dieser Programme, gepaart mit der Preissensibilität der Kunden, schwierig sein, dies zu erreichen.
  2. Die Executive Order räumt ein, dass es der Softwareentwicklung an Transparenz mangelt, aber die Frage ist, wie der Schleier entfernt werden kann, um sicherzustellen, dass die Lieferkette eines Lieferanten nicht kompromittiert wurde. Dafür empfehle ich, das Rad nicht neu zu erfinden, sondern sich einen Blick auf einen unserer internationalen Kollegen zu werfen: Frankreich.
  3. Die französische Regierung hat eine Agentur, ANNSI, entwickelt, die kritische Infrastrukturen (nicht nur staatliche Infrastrukturen) identifiziert, Standards für den Schutz dieser Infrastruktur festlegt und dann Anbieter prüft, die die Software zum Schutz dieser Infrastruktur liefern.
  5. Der Vorteil dieses Ansatzes besteht darin, dass Softwareanbieter die Regulierungsbehörde nicht als Konkurrenten betrachten und ANNSI keine Software "stiehlt". Stattdessen sorgt sie für die Sicherheit der französischen Infrastruktur, indem sie die Lieferanten prüft.
  7. Eine letzte Anmerkung zu ANNSI. Wie bereits erwähnt, wendet ANNSI seine Prinzipien nicht nur auf die staatliche Infrastruktur, sondern auch auf "kritische" Infrastrukturen an. Bei Illumio haben wir gesehen, wie sich diese Agentur in die französische Pharma-, Produktions-, Banken- und andere Infrastruktur einbringt, die für die französische Bevölkerung als "kritisch" gilt.
  9. Es hätte auch bei dem Ransomware-Angriff auf die Colonial Pipeline geholfen (bei dem es sich offensichtlich auch um eine kritische Infrastruktur handelt).

In vielerlei Hinsicht machen der Kapitalismus und unsere wilde amerikanische Unabhängigkeit die beiden oben genannten Punkte möglicherweise nicht möglich. Viele Amerikaner würden es nicht begrüßen, wenn die Regierung ihnen vorschreibt, wie sie ihr Geschäft zu führen haben. Was können wir also sonst noch tun?

Die Antwort ist einfach und wird von vielen Organisationen des privaten Sektors bereits umgesetzt: Zero Trust.

Die Einführung eines Zero-Trust-Frameworks stellt sicher, dass ein Angriff auf die Lieferkette in unterteilte Teile unterteilt wird.

Die Executive Order der Biden-Administration stimmte dieser These zu. Abschnitt 4(i) besagt, dass kritische Infrastrukturen über die geringsten Privilegien und Netzwerksegmentierung verfügen müssen – mit anderen Worten, sie müssen die Prinzipien von Zero Trust anwenden.

Die Anwendung eines Zero-Trust-Frameworks macht es nicht überflüssig, die Lieferkette eines Unternehmens zu prüfen. Aber selbst wenn die Lieferkette vollständig auf bekannte Supply-Chain-Hacks überprüft wurde – Zero Trust schützt vor unbekannten Angriffen auf die Lieferkette.

Durch die Prüfung, wie ein Anbieter Software von Drittanbietern einbindet, um sicherzustellen, dass sie nicht fälschlicherweise als Malware gekennzeichnet wird, durch die Betrachtung von Software-Codierungspraktiken und die Verwendung komplexer Passwörter können Unternehmen zum Schutz der Lieferkette beitragen. Nichtsdestotrotz werden die heutigen schlechten Akteure (nationalstaatlich oder vom organisierten Verbrechen gesponsert) einen Weg finden. Die Frage ist, wie man den Explosionsradius begrenzen kann, wenn es passiert?

Die Antwort ist die Anwendung von Zero Trust – und die Executive Order von letzter Woche zeigt, dass die Regierung auf dem Weg ist!

Möchten Sie die Anforderungen der Executive Order des Weißen Hauses schneller erfüllen? Erfahren Sie hier , wie das geht, oder nehmen Sie an einem Workshop teil, in dem Sie lernen, wie Sie eine Zero-Trust-Architektur für Ihre Bundesbehörde entwerfen.

Verwandte Themen

Angriff auf die Lieferkette

Verwandte Artikel

Können Sie die Wirksamkeit der Mikrosegmentierung messen?
Zero-Trust-Segmentierung

Können Sie die Wirksamkeit der Mikrosegmentierung messen?

Illumio und Bishop Fox führten und dokumentierten eine branchenweit erste Blaupause zur Messung der Wirksamkeit von Mikrosegmentierung.

Read more
RSAC 2024: 3 Gespräche, die Sie vielleicht verpasst haben
Zero-Trust-Segmentierung

RSAC 2024: 3 Gespräche, die Sie vielleicht verpasst haben

Holen Sie sich eine Zusammenfassung der drei häufigsten Themen, die wir in diesem Jahr rund um die RSAC gehört haben.

Read more
Top-Nachrichten zur Cybersicherheit im Februar 2025
Zero-Trust-Segmentierung

Top-Nachrichten zur Cybersicherheit im Februar 2025

Erfahren Sie, warum Ransomware-Gangs trotz harter Razzien der Strafverfolgungsbehörden immer noch erfolgreich sind, wie CTOs größere Sicherheitsaufgaben übernehmen und wie Illumio und seine Partner die Zero-Trust-Abwehr stärken, um Ransomware im Keim zu ersticken.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more