Weiterentwicklung von Zero Trust: Negative Trust

Vertrauen ohne drohende Konsequenzen gibt es in der IT-Sicherheit schon länger nicht mehr – Tony Fergusson empfiehlt „Negative Trust“

[datensicherheit.de, 26.06.2024] „Vertrauen ohne drohende Konsequenzen gibt es in der IT-Sicherheit schon länger nicht mehr“, so Tony Fergusson, „CISO EMEA“ bei Zscaler, in seiner aktuellen Stellungnahme. Nur in einer idealen Welt seien Unternehmen in der Lage, die eigene Belegschaft mit allen möglichen Kompetenzen, Rollen und Zugängen auszustatten, ohne sich Gedanken über mögliche Folgen oder Missbrauch zu machen. „Tatsächlich wurde dieses Sicherheitsparadigma des positiven Vertrauens durch Sicherheit am Netzwerkperimeter über Jahrzehnte gelebt. Wenn ein Mitarbeitender erst einmal für den Netzwerkzugriff autorisiert war, konnte er sich meist ungehindert innerhalb der gesamten IT-Umgebung fortbewegen.“ Ein solches Konzept habe allerdings über die laterale Fortbewegung Eindringlingen Tür und Tor zu den wichtigsten Daten eines Unternehmens geöffnet.

Foto: Zscaler

Tony Fergusson: Es ist an der Zeit, das ,Zero Trust’-Konzept Richtung ,Negative Trust’ weiterzuentwickeln!

Mit „Zero Trust“ trat anstelle des Netzwerkzugriffs der autorisierte und authentifizierte Zugriff auf Applikations-Ebene

Fergusson führt weiter aus: „Mit ,Zero Trust’ trat anstelle des Netzwerkzugriffs der autorisierte und authentifizierte Zugriff auf Ebene der einzelnen Applikation. Schränkt man die Kompetenzen und Zugänge der eigenen Belegschaft ein und überprüft, ob Zugriffe und Verbindungen zu Anwendungen tatsächlich notwendig sind, schafft man ein solides Bollwerk gegenüber Cyber-Kriminellen und reduziert damit die Angriffsfläche auf die IT-Umgebung.“

Allerdings habe sich nicht nur die Cyber-Sicherheit weiterentwickelt, sondern auch die Methoden der Eindringlinge. „Wird es für sie schwieriger ein Unternehmen aufgrund dessen reduzierter Angriffsfläche zu kompromittieren, wenden sie sich verstärkt dem schwächsten Glied in der Angriffskette zu – dem Menschen mit dessen Identität.“ Dann sei es an der Zeit, das „Zero Trust“-Konzept Richtung „Negative Trust“ weiterzuentwickeln.

„Negative Trust“ – Fokus liegt auf Täuschung der Angreifer

Hinter diesem Begriff verstecke sich mitnichten das größere Misstrauen der eigenen Belegschaft gegenüber, „sondern Fokus auf die Täuschung von Angreifern, die es geschafft haben mit Hilfe gestohlener Identitäten in die IT-Umgebung einzudringen“. Die Idee hinter „Negative Trust“ sei, das Verhalten solcher Angreifer zu antizipieren, welche erfolgreich einen Mitarbeiter getäuscht und dessen „Credentials“ entwendet und übernommen hätten.

Ein solcher Eindringling werde stets versuchen, die erbeuteten Rollen und Rechte auszureizen, „indem er versucht, sich innerhalb der IT-Umgebung fortzubewegen auf der Suche nach wichtigen Daten“. Werde ein solches Angreifer-Verhalten in der eigenen Verteidigungsstrategie vorweggenommen, könne man die Angreifer gezielt in die Irre führen und deren Anwesenheit in der IT-Umgebung aufdecken.

„Negative Trust“ als nächste, konsequente Stufe der IT-Security-Evolution

„Eines der jüngsten Beispiele, bei denen es Cyber-Kriminellen gelungen ist, die vorhandenen Sicherheitsmechanismen auszuhebeln, war im Herbst vergangenen Jahres der Angriff auf ein Casino in Las Vegas“, berichtet Fergusson. Mittels „Social Engineering“ und „Sim-Swapping“ sei die Unwissenheit eines Mitarbeiters ausgenutzt und darauf aufbauend auch die Sicherheitsarchitektur umgangen worden, „so dass Datenbestände entwendet werden konnten“.

Dieser Fall zeige einmal mehr, dass die größte Schwachstelle in der Cyber-Abwehr der Mensch bleibe. „Wenn es Hacker schaffen, sich Zugang zu Infrastrukturen zu verschaffen und ihre eigene Identität hinter einem Mitarbeitenden zu verbergen, reicht es nicht mehr aus, Rollen und Berechtigungen zu limitieren.“ Es bedürfe vielmehr der nächsten Stufe der IT-Security-Evolution: „Negative Trust“.

„Negative Trust“ macht sich Denkweisen und Techniken der Angreife für die Abwehrstrategie zu Nutze

In dem Modell der „Pyramid of Pain“ der Cyber-Sicherheit werde der Aufwand der Angreifer dargestellt, um Sicherheitshürden zu überwinden. Dabei müsse berücksichtigt werden, dass herkömmliche Sicherheitsmethoden am unteren Ende der Pyramide relativ einfach für Angreifer auszuhebeln seien. Die Spitze der Pyramide bildeten dabei die Taktiken, Techniken und Prozesse (TTP) der Angreifer, welche kontinuierlich modifiziert würden.

„Sind diese Verhaltensweisen erst einmal bekannt, so lassen sich darauf aufbauend durch Täuschungsmanöver Gegenmaßnahmen ergreifen“, erläutert Fergusson. Denn für die Hacker gehe es mit großem Aufwand einher, ihre Taktiken und Prozesse zu modifizieren. „Macht man sich also die Denkweise und Techniken der Angreifer zu Nutze in der Abwehrstrategie, kann man die Angreifer in einem trügerischen Gefühl von Sicherheit wiegen und sie dabei identifizieren.“

Labyrinth aus falschen Daten und Anwendungen als Teil der „Negative Trust“-Taktik

Zu diesem Zweck sollten Unternehmen auf Täuschungstechnologien setzen: „Dazu erstellt man ein Labyrinth aus falschen Daten und Anwendungen und versucht dem Eindringling oder auch Insider auf die Spur zu kommen.“ Dazu werde das Augenmerk auf diejenigen Nutzer gelegt, die versuchten auf für sie nicht autorisierte Bereiche zuzugreifen. „Durch die Schaffung von unwirklichen Unternehmenswelten und den Spuren, die ein Angreifer darin hinterlässt, kann man ihn nicht nur überführen, sondern auch neue Erkenntnisse zu den Verhaltensweisen gewinnen und die eigene Sicherheitsarchitektur und -strategie weiterentwickeln.“

Anstelle sich also lediglich auf herkömmliche, leicht zu umgehende Sicherheitsmaßnahmen am Boden der Pyramide zu fokussieren, sollten Unternehmen ihr Augenmerk ebenfalls auf die Spitze richten. Durch die Analyse der Verhaltensweisen potenzieller Malware-Akteure könne schneller und effizienter auf Angriffe reagiert und damit das Sicherheitspostulat erhöht werden.

„Zero Trust“ und „Negative Trust“ als gegenseitige Verstärker

Für die erfolgreiche Cyber-Abwehr sei Einblick in die Verhaltensweisen der Angreifer und das von ihnen ausgehende Gefahrenpotenzial entscheidend. Herkömmliche Abwehrmaßnahmen stellten sich angesichts der kontinuierlichen Weiterentwicklung der Angriffstaktiken als unzureichend heraus. In der Folge sollte das Konzept des negativen Vertrauens in ein „Zero Trust“-Rahmenwerk eingebaut werden. Dabei gelte es, sich in einer IT-Umgebung befindliche Angreifer zu überlisten.

„Während ,Zero Trust’ sich damit befasst, Zugriffsberechtigungen zu limitieren und Anbindungen zu verifizieren um dadurch die Angriffsfläche zu minimieren, ist ,Negative Trust’ dafür gedacht, die Angriffstechniken und Denkweisen der Angreifer zu nutzen, um ihnen auf die Spur zu kommen.“ Negatives Vertrauen gehe im Kampf gegen Cyber-Gefahren mit „Zero Trust“ Hand in Hand. „Durch das Verständnis vom Verhalten der Angreifer können Organisationen robustere Abwehrstrategien entwickeln und damit Risiken mitigieren“, so Fergussons Fazit.

Weitere Informationen zum Thema:

CXO REvolutionaries, Sam Curry, 21.06.2024
Future-proof IT / The deception game: Negative trust in cybersecurity