Zero Trust ist erwachsen geworden. Hier ist, was die Gründer als nächstes sagen.

Zero Trust ist erwachsen geworden.

So beschreiben Chase Cunningham und John Kindervag den aktuellen Stand der Sicherheitsstrategie, die sie vom Konzept bis zur globalen Bewegung entwickelt haben.

"Als ich bei Forrester ankam, habe ich das Baby von jemand anderem geerbt", scherzte Chase. "Dieser Elternteil war John. Und jetzt ist das Baby ein Teenager."

Das war nicht immer so. Aber heute ist Zero Trust überall. John und Chase helfen Sicherheitsverantwortlichen auf der ganzen Welt dabei, die Art und Weise, wie sie das schützen, was am wichtigsten ist, neu zu überdenken.

Was also befeuert die Dynamik – und was kommt als nächstes?

In unserer neuesten Podcast-Folge von The Segment habe ich mich mit John, dem Paten von Zero Trust, und Chase, der in der Branche als Dr. Zero Trust bekannt ist, zusammengesetzt, um über den Aufstieg der Strategie, die Macht von Sicherheitsgraphen und was es wirklich bedeutet, wie ein Angreifer zu denken, zu sprechen.

Zero Trust ist eine Strategie. Punkt.

Als John und Chase vor etwa 15 Jahren begannen, Zero Trust zu evangelisieren , war die Resonanz nicht gerade begeistert.

"Bei meiner ersten Rede waren 14 Leute im Raum", sagte John. "Und die meisten sagten mir, ich sei ein Idiot."

Aber jetzt ist es global. Von kleinen Unternehmen bis hin zu internationalen Regierungen stellen Unternehmen Eindämmung und Transparenz endlich in den Mittelpunkt ihrer Sicherheitsstrategien.

Chase glaubt, dass wir die Zero-Trust-Kluft überwunden haben. "Der 'Haterade' fließt immer noch online, aber die Akzeptanz ist real", sagte er.

Sie leiten Zero-Trust-Workshops überall, von Taiwan bis in die Schweiz. John sagte, er habe kürzlich vor Cybersicherheitsexperten in Bletchley Park in Großbritannien, der Heimat der ursprünglichen Codeknacker, gesprochen.

Was treibt dieses Wachstum an? Beide waren sich einig, dass es die Fähigkeit von Zero Trust ist, auf allen Ebenen Anklang zu finden, von Sicherheitsingenieuren über Entscheidungsträger bis hin zu Vorstandsmitgliedern.

Von Anfang an ging es bei Zero Trust nicht darum, welche Technologie man kaufen sollte. Es handelt sich um ein Framework für den Aufbau widerstandsfähiger Organisationen, das für jede Funktion und jede Größenordnung funktioniert.

Security Graphs verändern das Cyber-Spiel

Zero Trust ist eine so einzigartige Strategie, weil sie auch dann funktioniert, wenn sich die Branche weiterentwickelt. Einer der größten Sprünge nach vorn ist derzeit die Art und Weise, wie Unternehmen Zero Trust zusammen mit Sicherheitsdiagrammen einführen.

Chases neues Buch "Think Like an Attacker: Why Security Graphs Are the Next Frontier of Threat Detection and Response" beschreibt, wie die Graphenanalyse Verteidigern hilft, ihre Infrastruktur mit der gleichen Klarheit zu verstehen, die Angreifer bereits haben.

"Als ich beim Militär war, stiegen wir von fünf erfolgreichen Einsätzen pro Monat auf 300, nachdem wir Graphenmodelle verwendet hatten", sagte Chase. "Warum? Weil wir das Gelände verstanden haben."

John stimmt zu. In seinem Fünf-Stufen-Modell für Zero Trust sind Security Graphen der Motor hinter Schritt zwei: Bilden Sie die Transaktionsflüsse ab. Ohne diese Karte wird Zero Trust zu einem Rätselraten.

"Gute Karten gewinnen Kriege", sagte er. "Schlechte verirren dich." Und das Gleiche gilt für die Cybersicherheit.

Gute Karten gewinnen Kriege. Schlechte verirren dich.

Kennen Sie Ihre Sicherheitsprioritäten oder riskieren Sie, die Kontrolle zu verlieren  

Sicherheitsdiagramme helfen Sicherheitsteams auch dabei, Prioritäten zu setzen, was am wichtigsten ist.

Sowohl John als auch Chase betonten, dass Führungskräfte im Bereich Cybersicherheit überdenken müssen, wie Erfolg aussieht. "Wenn alles Priorität hat, dann ist es nichts", warnte Chase.  

Aus diesem Grund ist die Definition der Schutzoberfläche – der wichtigsten Daten, Anwendungen und Dienste in Ihrem Netzwerk – von grundlegender Bedeutung.

Von dort aus können Sicherheitsverantwortliche graphengestützte Transparenz nutzen, um fundierte Entscheidungen zu treffen und Kontrollen zielgerichtet einzusetzen. John drückte es klar aus: "Die meisten Menschen hoffen, dass nichts Schlimmes passieren wird. Das ist keine Risikostrategie."

Stattdessen müssen Sicherheitsteams akzeptieren, dass Angreifer eindringen werden . Unsere Aufgabe ist es, ihre Bewegung einzudämmen und den Explosionsradius zu minimieren.

Denken Sie wie ein Angreifer – oder bleiben Sie einen Schritt zurück

Eine der überzeugendsten Erkenntnisse aus unserer Diskussion war: Verteidiger müssen das Drehbuch umdrehen.

"Angreifer befolgen keine Compliance-Checklisten", sagte Chase. "Sie bewegen sich schnell, spielen schmutzig und nutzen die Dinge aus, von denen man glaubt, dass sie sicher sind."  

Deshalb reicht es nicht aus, Warnungen zu überwachen oder bekannte Schwachstellen zu patchen. Verteidiger müssen die Denkweise des Feindes verstehen, denn die Angreifer verstehen Ihre Infrastruktur wahrscheinlich bereits besser als Sie.

Angreifer halten sich nicht an Compliance-Checklisten. Sie bewegen sich schnell, spielen schmutzig und nutzen die Dinge aus, die Sie für sicher halten.

Und obwohl es Red Teaming schon seit Jahrzehnten gibt, betonte John, dass es an der Zeit ist, sich weiterzuentwickeln. "Früher haben wir Penetrationstests durchgeführt und 200-seitige Berichte geliefert, auf die niemand reagiert hat", sagte er. "Jetzt brauchen wir gezielte Tests, bei denen gefragt wird: Kann ein Angreifer auf meine Schutzoberfläche zugreifen, und wie schnell kann ich ihn eindämmen, wenn er es tut?"

KI kann ein Verbündeter sein, wenn Sie vorsichtig sind

KI kann eine echte Hilfe sein, wenn es darum geht, die Art und Weise zu verbessern, wie wir Bedrohungen erkennen, verstehen, priorisieren und darauf reagieren. Während sowohl John als auch Chase dem KI-Hype skeptisch gegenüberstehen, sind sie optimistisch, was das Potenzial angeht.

"KI ist keine Magie", sagte Chase. "Es ist Mathematik. Aber wenn es den Verteidigern hilft, sich mit Maschinengeschwindigkeit zu bewegen, sollten Sie es nutzen."

John fügte hinzu, dass der Wert von KI darin besteht, Unternehmen dabei zu helfen, ihre Reaktion zu beschleunigen. "Wenn Sie einen Airbag auf die gleiche Weise auslösen wie das Änderungsmanagement, sterben Sie", sagte er. "Wir brauchen eine automatisierte Reaktion. KI kann uns dorthin bringen."

KI ist keine Magie. Es ist Mathematik. Aber wenn es Verteidigern hilft, sich mit Maschinengeschwindigkeit zu bewegen, nutzen Sie es.

Aber es geht nicht nur darum, ein Tool mit der Bezeichnung "KI" zu kaufen. Es geht darum, sicherzustellen, dass Ihre bestehende Infrastruktur dafür bereit ist. Graphenbasierte Transparenz, Policy-Engines und Segmentierung sollten bereits vorhanden sein, um Echtzeitaktionen mit KI zu ermöglichen.

Zero Trust hat sich seinen Platz am Tisch verdient

Der inspirierendste Teil unseres Gesprächs war, zu sehen, wie weit Zero Trust gekommen ist. Von Casino-Penetrationstests und Chats im Fitnessstudio in Hotels bis hin zur Beratung von Generälen und Gesetzgebern haben John und Chase eine Idee in eine Bewegung verwandelt.

Diese Bewegung ist für die IT nicht länger ein Nischenthema. Es ist ein Thema in den Vorstandsetagen, eine nationale Priorität und ein strategischer Imperativ.

Wie John es ausdrückte: "Die Angreifer bauen Maschinen, um uns zu besiegen. Also müssen wir Maschinen bauen, um sie zu besiegen."

Um das zu erreichen, brauchen wir bessere Karten, intelligentere Systeme und den Mut, Prioritäten zu setzen, was am wichtigsten ist.

Hören Sie sich unser vollständiges Gespräch auf The Segment: A Zero Trust Leadership Podcast an Apfel, Spotify (Englisch)oder Unsere Website.