Von Nathan Howe, Director Strategic Transformation EMEA bei Zscaler
Fast scheint es, als hätten sich die Cyberkriminellen, die es auf die Ausbeutung von Hardware-Schwachstellen abgesehen haben, zu Beginn der Pandemie eine Auszeit genommen. Oder zumindest den IT-Abteilungen eine Schonfrist gewährt, die alle Hände voll zu tun hatten, ihre Mitarbeiter ins Home Office zu verlagern und deren Fernzugriff sicherzustellen. Doch diese Frist ist nach Abflauen der großen Infektionswelle in Europa abgelaufen. Nachrichten von Schwachstellen von Geräten der Netzwerkinfrastruktur und VPN-Gateways häufen sich aktuell, so dass wiederum akuter Handlungsbedarf besteht. Man könnte den Eindruck gewinnen, als hätten die Malware-Akteure die Zeit genutzt, sich auf die Suche nach Lücken zu machen, denn derzeit steht die Remote Access Infrastruktur hoch im Kurs der Angreifer.
Es besteht also noch kein Anlass zum Durchatmen, denn angesichts dieser massiven Probleme mit aufgedeckten Schwachstellen kommen die IT-Sicherheitsteams nicht zur Ruhe. Patchen auf breiter Front ist angesagt, um Schlimmeres zu verhindern. Durch schnelles Schließen der Lücken mit Hilfe aktueller Patches lässt sich das Risiko minimieren, Malware über infizierte Geräte in das Unternehmensnetz einzuschleusen. Ist alle Infrastruktur auf dem aktuellsten Stand und legt sich die Hektik wieder, tun Unternehmen gut daran zu hinterfragen, was ihre Infrastruktur angreifbar macht. Denn Patchen eliminiert nicht das grundsätzliche Problem, das mit Infrastruktur einhergeht, die dem Internet ausgesetzt ist.
Die IT-Entscheidungsträger müssen ihren Blick auf das große Ganze zu richten. Solange die Netzwerkinfrastruktur im Internet exponiert ist und die Geräte dort für jeden Angreifer sichtbar sind, werden die Kriminellen ihre Chance nutzen. Durch die mit Hilfe von Schwachstellen geöffnete Tür ist es ein Leichtes, ins Unternehmensnetz einzutreten. Diese Einladung ist zu verlockend, um daraus nicht Profit zu schlagen. Um das Problem an der Wurzel zu packen, zählt das Reduzieren von Angriffsvektoren zu den Top-Sicherheitsprioritäten für Unternehmen. Jede Hardware, die mit dem Internet verbunden ist, stellt eine potenzielle Angriffsfläche dar, deren sich die Sicherheitsverantwortlichen bewusst sein sollten. In der Realität sind viele Unternehmen noch weit davon entfernt, diese Gefahr zu erkennen und Vorsorge zu treffen.
Sind Unternehmen bereit, diesen Weg einzuschlagen, dann sollten sie in einem ersten Schritt verstehen, welche ihrer Geräte überhaupt dem Internet ausgesetzt sind. Denn es ist unverständlich, welche Assets Unternehmen online von sich preisgeben, manchmal vielleicht auch unbewusst. Dabei hilft ein Network Exposure Detection Tool, das die öffentlich exponierte Infrastruktur eines Unternehmens erfasst. Angefangen vom Domain-Space über IP-Adressen, Software-Versionen und Standorten hinterlassen Unternehmen ihre Spuren im Netz, die die Identifikation der Infrastruktur ermöglichen. Dieser Einblick der exponierten Infrastruktur hilft nicht nur bei der Bestandsaufnahme, sondern auch bei der Priorisierung, wo mit einem Zero Trust-Deployment gestartet werden sollte.
Ein Zero Trust-basiertes Sicherheitsmodell kann einfach sein, benötigt allerdings einiges Augenmerk auf die Vorgehensweise der Installation. Die Sicherheitslücken in der bestehenden Infrastruktur sind ein guter Ausgangspunkt. Der Aufbau einer Zero Trust-Umgebung bedeutet allerdings nicht, das Unternehmen nicht mehr Patchen müssen. Patch-Management bleibt eine kritische Komponente für die Sicherheit, sollte aber Hand in Hand damit gehen, die Infrastruktur grundsätzlich vor Angreifern zu verbergen. Es zahlt sich vor allem dann aus, wenn Unternehmen über die hybriden Arbeitsplatzmodelle nachdenken, die im Zuge der Pandemie zunehmend Aufmerksamkeit erfahren. Das flexiblere Arbeiten wird nicht wieder ganz eingestellt werden, denn der Beleg der Produktivität der Mitarbeiter wurde erbracht. Durch ZTNA erhalten Mitarbeiter unabhängig von ihrem Standort oder dem eingesetzten Gerät basierend auf Richtlinien sicheren Zugriff auf ihre benötigten Anwendungen – und zwar ausschließlich auf diese.
