{"id":23033,"date":"2023-03-22T11:22:00","date_gmt":"2023-03-22T10:22:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=23033"},"modified":"2023-03-08T10:33:19","modified_gmt":"2023-03-08T09:33:19","slug":"drei-gruende-warum-zero-trust-die-bot-web-und-api-sicherheit-erhoeht","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=23033","title":{"rendered":"Drei Gr\u00fcnde, warum Zero Trust die Bot-, Web- und API-Sicherheit erh\u00f6ht"},"content":{"rendered":"\n

Autorin\/Redakteur: Lori MacVittie, Distinguished Engineer bei F5<\/a>\/gg<\/p>\n\n\n\n

Zero Trust geh\u00f6rt laut der F5-Studie \u201eState of Application Strategy 2022<\/a>\u201c zu den drei wichtigsten Technologie-Trends. Zudem hat das Sicherheitsmodell in den letzten zw\u00f6lf Monaten bei Google Trends konstant hohe Werte erreicht.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: F5 Networks<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Allzu oft wird Zero Trust jedoch mit einer bestimmten Technologie, wie Software-Defined Perimeter (SDP) oder einem Marktsegment wie Identit\u00e4ts- und Zugriffsmanagement (IDAM), gleichgesetzt. \u00c4hnliche Missverst\u00e4ndnisse, die zur synonymen Verwendung bestimmter Technologien oder Produkte f\u00fchrten, waren auch in den Anfangstagen von Cloud Computing zu beobachten. Als Reaktion auf das h\u00e4ufige \u201eCloud Washing\u201c entstanden oft abf\u00e4llige Bemerkungen \u00fcber die tats\u00e4chliche Cloud-F\u00e4higkeit eines neuen Produkts. So ist Zero Trust ebenfalls ein oft diskutierter und missverstandener Ansatz.<\/p>\n\n\n\n

Was ist Zero Trust?<\/strong><\/p>\n\n\n\n

Zero-Trust-Sicherheit ist im Kern eine Denkweise, die eine Reihe von Annahmen umfasst. Daraus gehen Ma\u00dfnahmen und Taktiken hervor, die spezifische Technologien zur Abwehr eines breiten Spektrums von Sicherheitsgefahren einsetzen.<\/p>\n\n\n\n

Die Implementierung einer Technologie wie SDP oder API-Sicherheit bedeutet aber nicht, dass Zero Trust bereits vollst\u00e4ndig umgesetzt wurde. Es gibt kein einzelnes Produkt, mit dessen Einf\u00fchrung das ganze System pl\u00f6tzlich Zero-Trust-konform und damit immun gegen Angriffe, Sicherheitsvorf\u00e4lle oder Exploits wird.<\/p>\n\n\n\n

Richtig ist, dass SDP- und API-Sicherheit ein angemessener taktischer Schritt zur Einf\u00fchrung eines Zero-Trust-Ansatzes sein kann. Doch Verantwortliche m\u00fcssen zuerst von einigen Grundannahmen ausgehen und dann entscheiden, welche bestm\u00f6glichen Tools und Technologien sich logischerweise daraus ergeben.<\/p>\n\n\n\n

Die drei Annahmen<\/strong><\/p>\n\n\n\n

Die folgenden Beispiele zeigen, inwiefern Bot-Schutz sowie Web- und API-Sicherheit Teil des Zero-Trust-Werkzeugkastens sind.<\/p>\n\n\n\n

1. Ein Zero-Trust-Ansatz geht von einer Kompromittierung aus. Legitime Nutzer mit autorisiertem Zugriff k\u00f6nnen kompromittiert werden und stellen daher eine unbeabsichtigte \u2013 und sehr kostspielige \u2013 Bedrohung dar. Angreifer (Einbrecher) wissen, dass es in der Regel einfacher ist, \u00fcber Benutzer (Fenster) als \u00fcber das Unternehmensnetzwerk (Eingangst\u00fcr) einzudringen. Anwender sind st\u00e4ndig der Gefahr ausgesetzt, kompromittiert zu werden. Daher ist die Annahme, dass sie bereits kompromittiert sind, der sicherste Weg.<\/p>\n\n\n\n

Von einem kompromittierten Firmenlaptop oder Mobiltelefon aus lassen sich zahlreiche Aktionen durchf\u00fchren. Dazu geh\u00f6ren Angriffe auf Websites und Anwendungen, die b\u00f6sartige Software (zum Beispiel Malware, Ransomware und neuartige Schadprogramme) verbreiten oder Schwachstellen ausnutzen, um sich Zugang zu verschaffen. Mobile und webbasierte Anwendungen greifen zunehmend \u00fcber APIs auf Unternehmensanwendungen und -systeme zu. Daher ist es wichtig, sogar die Inhalte zu pr\u00fcfen, welche von legitimen, authentifizierten Benutzern stammen, um festzustellen, ob sie b\u00f6sartig sind oder nicht. Die Implementierung von Web- und API-Sicherheit kann vor diesem Risiko sch\u00fctzen.<\/p>\n\n\n\n\n\n\n\n

2. Ein Zero-Trust-Ansatz geht davon aus, dass Anmeldeinformationen nicht ausreichen. Unabh\u00e4ngig davon, ob es sich bei einem Nutzer um einen Menschen, eine Maschine oder eine Software handelt: Selbst bei Vorlage legitimer Anmeldedaten ist der tats\u00e4chliche Nutzer m\u00f6glicherweise nicht legitim. Credential Stuffing ist ein st\u00e4ndiges Problem, bei dem Cyberkriminelle legitime, aber gestohlene Anmeldedaten eines Dienstes verwenden, um sich beim gleichen oder einem anderen Dienst anzumelden. Im Durchschnitt werden jeden Tag eine Million Benutzernamen und Kennw\u00f6rter als gestohlen gemeldet. Eine Analyse von F5<\/a> kommt zu dem Schluss, dass 0,5 bis zwei Prozent der gestohlenen Zugangsdaten bei einer bestimmten Website oder mobilen Anwendung g\u00fcltig sind.<\/p>\n\n\n\n

Daher sollte ein Zero-Trust-Ansatz Schritte unternehmen, um nicht nur die Anmeldedaten, sondern auch die Identit\u00e4t des Benutzers selbst zu \u00fcberpr\u00fcfen. Dazu geh\u00f6rt auch das Aufdecken von Bots, die sich als legitime Nutzer ausgeben. In taktischer Hinsicht f\u00fchrt dies dazu, dass der Bot-Schutz \u2013 auch Bot-Erkennung \u2013 eine wichtige Rolle bei Zero Trust spielt.<\/p>\n\n\n\n

3. Ein Zero-Trust-Ansatz geht davon aus, dass sich alles st\u00e4ndig \u00e4ndern kann. Daher ist die Annahme falsch, dass kein Risiko mehr bestehen w\u00fcrde, sobald ein Benutzer verifiziert und der Zugriff auf eine Ressource autorisiert ist. Jede Transaktion wird als riskant angesehen und im Hinblick auf den Inhalt und den Benutzer, der sie sendet, bewertet. Session Hijacking<\/a> ist schlie\u00dflich eine echte Angriffsmethode. St\u00e4ndige Wachsamkeit und die Suche nach b\u00f6sartigen Inhalten ist das Motto von Zero Trust. Daher sind Web- und API-Sicherheit sowie Bot-Erkennung wichtige Komponenten von Zero Trust.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: F5 Networks<\/figcaption><\/figure>\n\n\n\n

Dieser Sicherheitsansatz umfasst weitere Tools und Technologien wie SDP, Identit\u00e4ts- und Zugriffskontrolle, Netzwerk-Firewalls und CASB sowie eine Vielzahl von L\u00f6sungen, die bekannte Risiken mindern, welche sich aus diesen Annahmen ergeben. Aber aufgepasst: Man darf nicht nur eine dieser L\u00f6sungen implementieren und die Zero-Trust-Initiative als erledigt betrachten. Das ist so, als w\u00fcrde man bei einem gebrochenen Bein nur Schmerzmittel einnehmen, anstatt einen Arzt aufzusuchen. Das lindert zwar den Schmerz, l\u00f6st aber nicht das eigentliche Problem.<\/p>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Die Einf\u00fchrung von Zero Trust als ver\u00e4nderte Denkweise zur Abwehr von Gefahren ist nicht perfekt. Keine Methode ist das. Aber sie tr\u00e4gt zur Anpassungsf\u00e4higkeit von Unternehmen bei und hilft, neue und k\u00fcnftige Angriffe schneller und erfolgreicher zu bew\u00e4ltigen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Zero Trust geh\u00f6rt laut der F5-Studie \u201eState of Application Strategy 2022\u201c zu den drei wichtigsten Technologie-Trends. Zudem hat das Sicherheitsmodell in den letzten zw\u00f6lf Monaten bei Google Trends konstant hohe Werte erreicht.<\/p>\n","protected":false},"author":1,"featured_media":23035,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[4185,3389,1038,201,4873],"class_list":["post-23033","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-api","tag-bot","tag-f5","tag-web","tag-zero-trust"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23033","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=23033"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23033\/revisions"}],"predecessor-version":[{"id":23037,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23033\/revisions\/23037"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/23035"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=23033"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=23033"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=23033"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}