Continuous Adaptive Trust: Der Horizont der Vertrauensrevolution

Seit der Prägung des Begriffs „Zero Trust“ im Jahr 2010 wurde dieses Prinzip de facto zum Paradigma des Cybersicherheits-Sektors. Dies hat gute Gründe: Ein umfassendes Verständnis der Sicherheit aus der Perspektive des Vertrauens in die Benutzer schützt die Ressourcen Ihres Unternehmens.

Zero Trust ist allerdings eine Journey: Sie hängt davon ab, wie gut Sie das Vertrauen in einen Benutzer wirklich einschätzen können, wenn Sie tagtäglich seine Zugriffsanfragen verarbeiten. Kontinuierlich angepasstes Vertrauen ist der wichtigste Schritt auf dem Weg zur Zero Trust-Architektur. Der Übergang zu einem Modell des „Continuous Adaptive Trust“, bei dem das Vertrauen in die Nutzer wiederholt eingeschätzt und immer wieder neu bewertet wird, ist erstrebenswert auf dem Weg zu „Zero Trust“, wo die Nutzer durch bestmöglich definiertes Vertrauen geschützt werden.

Vertrauen im Fokus: Kontinuierlich angepasstes Vertrauen (CAT, Continuous Adaptive Trust) ist ein neuartiges Sicherheits-Framework und dient dem Verständnis der umfassendsten Methode für die Bewertung von Zugriffsanfragen von Kunden, Mitarbeitern und Partnern auf Ressourcen. Anders als CARTA (Continuous Adaptive Risk and Trust Assessment) lenkt CAT als Framework die Aufmerksamkeit darauf, dass Zugangskontrolle folgende Merkmale aufweisen muss:

• Kontinuierlich: fortlaufende Kontrolle an mehreren, unterschiedlichen Etappen der User Journeys

   

• Adaptiv: Reaktionen auf den Benutzerkontext unter Berücksichtigung von Gerät, Netzwerk und weiteren Signalen, falls verfügbar

   

• Vertrauensbasiert: Ausgehend von unserem definierten Vertrauen in die Benutzer, das sich aufgrund ihrer Handlungen ändern kann

Gartner prägte 2021 erstmals den Begriff „Continuous Adaptive Trust“ um darauf hinzuweisen, dass MFA nicht ausreichend ist, um in dieser Zeit Angriffe von Cyberkriminellen abzuwehren. Damals war das sehr sinnvoll: In Anbetracht der Tatsache, dass Insider-Bedrohungen und spätere Angriffe zu Sicherheitsverletzungen mit vielen negativen Folgen führen, bietet die Authentifizierung als einzige und endgültige Risikobewertung von Benutzern keinen angemessenen Schutz gegen diese Angriffsvektoren.

Um den Gegebenheiten der heutigen Bedrohungslandschaft wirklich gerecht zu werden, müssen Sie das Risiko eines Benutzers kontinuierlich beurteilen – auch nach seiner Authentifizierung. Dies gilt nicht nur für eine bestimmte Branche oder einen bestimmten Anwendungsfall: Ganz gleich, ob Sie eine Sicherheitsstrategie für Ihre Mitarbeiter, Kunden oder Partner entwickeln möchten, Sie brauchen Continuous Adaptive Trust als Framework, um die Daten und Interessen Ihres Unternehmens bestmöglich zu schützen.

Continuous Adaptive Trust ist ein Framework und eine Etappe auf dem Weg zu einer Zero Trust-Architektur. Zero Trust ist ein umfassenderes Sicherheits-Paradigma, das infolge der problematischen Tatsache entwickelt wurde, dass herkömmliche perimeterbasierte Sicherheitsmaßnahmen nicht ausreichen, um modernen Angriffsvektoren zu widerstehen. Zero Trust umfasst auch ein breiteres und für die Realisierung erforderliches Spektrum an Technologien und Fähigkeiten. Zero Trust-Lösungen eignen sich besonders für Arbeitsumgebungen, wo Verstöße in der Regel den größten Schaden anrichten.

Continuous Adaptive Trust hingegen ist zum einen der kritische dritte Meilenstein auf der Zero Trust-Journey, aber auch ein hilfreiches Framework für Anwendungsfälle, bei denen Mitarbeiter- und Kundenidentitäten implementiert werden:

• Kunden: Lenkung der User Journeys zur Schaffung reibungsloser Kundenerlebnisse bei gleichzeitigem Schutz der Kundendaten vor Kontoübernahmen, Betrug und mehr

   

• Mitarbeiter: Nutzung kontextbezogener Daten in einer Unternehmensumgebung, um Insider-Bedrohungen und laterale Angriffe zu vereiteln und den Benutzern den Zugriff auf die für sie vorgesehenen Ressourcen zu ermöglichen

Continuous Adaptive Trust basiert auf den Ideen von Zero Trust und betont die Notwendigkeit der Überwachung und Entscheidung in Echtzeit, denn es ermöglicht die dynamische Anpassung von Zugriffskontrollen und Autorisierungen für Benutzer auf der Grundlage von variierenden Faktoren wie Gerätezustand, Benutzerverhalten und Umgebungsveränderungen.

Zero Trust-Prinzipien sind zentrale Basiskomponenten für die Identität, und es gibt viele Gemeinsamkeiten mit den Grundsätzen des Continuous Adaptive Trust.

• Niemals vertrauen, immer überprüfen: Vor dem Gewähren von Zugriff wird jede einzelne Zugriffsanfrage im Detail geprüft, um sicherzustellen, dass die Ressourcen angemessen geschützt sind. Ein besonderer Schwerpunkt liegt auf dem Schutz von Vermögenswerten, noch vor der Priorisierung von Mikroperimetern oder Netzwerksegmenten.

   

• Proaktive Abwehr von Datenschutzverletzungen: Von der Annahme eines feindlichen Netzes ausgehen und den Zugang auf die jeweils erforderlichen Ressourcen beschränken.

   

• Prinzip der geringsten Privilegien: Sicherstellen, dass Benutzer nicht unnötig übermäßig privilegiert sind und Personen nur auf diejenigen Ressourcen zugreifen können, für die sie auch autorisiert sind.

   

• Zugriff ist nicht binär: Der Zugriff auf Ressourcen, Daten und Systeme sollte nicht als einfaches Ein/Aus- bzw. Alles oder Nichts-Konzept verstanden werden. Der Zugang muss stattdessen differenzierter sein und ausgehend von Kontext, Funktionen oder anderen Attributen verschiedene Level des Zugriffs ermöglichen.

   

• Nutzer brauchen Methoden zum Stärken unseres Vertrauens: Die Mitarbeiter müssen in der Lage sein, ihre Aufgaben zu erledigen, und die Kunden haben hohe Ansprüche an die Benutzerfreundlichkeit. Reibung ist eine wichtige Stellschraube des Zugriffsmanagements. Wenn das Nutzerrisiko allerdings zu hoch ist, brauchen die Nutzer Mittel und Wege, um unser Vertrauen in ihre Identität zu stärken. Dies kann mittels einer MFA oder mit anderen Methoden geschehen.

Die letzten beiden Grundsätze sind besonders wichtig: Da der Zugang nicht binärer Natur ist, müssen Nutzer die Möglichkeit erhalten, uns von der Wahrheit ihrer Angaben über sich selbst zu überzeugen, damit sie an die Ressourcen gelangen, die sie als Kunde oder zur Ausübung ihrer Tätigkeit benötigen. Mit Continuous Adaptive Trust kann Ihr System dynamisch auf den Benutzerkontext reagieren, um der unumgänglichen Komplexität der Herausforderungen moderner Cybersicherheit gerecht zu werden.

Mit der Identität als Basis für Ihre Sicherheitsinitiativen liegt die Definition des Vertrauens in die Nutzer und die Neudefinition und Reaktion auf Änderungen dieses Vertrauens voll in Ihrer Hand.

1. Erkennen aller Risikosignale

Die Erfassung von Risikosignalen ist von entscheidender Bedeutung, da sie in Echtzeit Einblicke in neu auftretende Bedrohungen und Schwachstellen bietet. Durch das Sammeln und Aggregieren unterschiedlicher Signale zu einer kombinierten Risikobewertung können Unternehmen proaktiv risikobehaftetes Verhalten erkennen, dessen Auswirkungen abschätzen und letztendlich den Schutz sensibler Vermögenswerte und Daten abgeben.

2. Entscheidungen über den passenden Zugang

Eine Entscheidungs-Engine ist unerlässlich für die Entscheidungsfindung in Echtzeit und im Einklang mit den Unternehmensrichtlinien. Sie automatisiert komplexe Prozesse und analysiert Daten, um Zugriffsentscheidungen zu treffen und durchzusetzen. Menschliche Fehler werden dadurch minimiert und Unternehmen können automatisch auf wechselnde Sicherheitsszenarien reagieren.

3. Geeignetes Steuern von Benutzererfahrungen

Das Steuern der User Journeys mittels Orchestrierung ist grundlegend für die automatisierte Reaktion auf unterschiedlichste Formen des Benutzerverhaltens. Es sorgt für ein reibungsloses Zusammenspiel von Prozessen und Technologien und damit auch für eine schnellere Lösung von Problemen, bessere Verteilung von Entwicklerressourcen und eine effektive Reaktion auf komplexe Herausforderungen.

Hier finden Sie weitere Informationen darüber, wie Continuous Adaptive Trust den Benutzerschutz und die Journey zu Zero Trust unterstützt.