Zero Trust
So können Sicherheitsteams den Zero Trust aufrechterhalten
Praxistipps von Palo Alto Networks
Das Security Operations Team spielt eine entscheidende Rolle im Rahmen einer effektiven Zero-Trust-Strategie. Diese erfordert ein gewisses Maß an Transparenz und Kontrolle über die Infrastruktur des Unternehmens. Dazu gehört die Einsicht in den Netzwerkverkehr, die Orchestrierung von Daten aus Quellen in der gesamten Infrastruktur, die Anwendung von maschinellem Lernen für verwertbare Erkenntnisse und die Nutzung von Automatisierung zur Durchführung dieser Maßnahmen. In der Praxis bedeutet dies, dass das Security Operations Team viel zu tun hat, um einen Zero-Trust-Ansatz zu überwachen und aufrechtzuerhalten. Wie dies gelingen kann, erklärt Palo Alto Networks .
Zero Trust bedeutet auch, nicht davon auszugehen, dass irgendein Benutzer, Endpunkt, bestimmte Zugangsdaten oder Geräte im Netzwerk vertrauenswürdig sind: Endpunkte können kompromittiert werden, und Anmeldeinformationen können gestohlen werden. Das Sicherheitsteam muss kontinuierlich auf verdächtiges oder anormales Verhalten achten, um sicherzustellen, dass jeder derjenige ist, der er vorgibt zu sein, und dass er rechtmäßig handelt. Durch den Einsatz einer Analyselösung, die Endpunkt-, Cloud- und Netzwerk-Assets überblicken kann, erhält das Team einen unternehmensweiten Überblick und kann sowohl verwaltete als auch nicht verwaltete Assets schützen.
Palo Alto Networks hat viel investiert, um Security Operations Teams in die Lage zu versetzen, die Zero-Trust-Strategie umzusetzen. The Forrester Wave: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020 listet das Unternehmen in diesem Bereich als führend auf: „Palo Alto Networks hat im Wesentlichen jedes Tool oder jede Fähigkeit, die ein Unternehmen für den Betrieb einer Zero-Trust-Infrastruktur benötigt, entweder beschafft, erworben oder aufgebaut. Palo Alto Networks stellt ein robustes Portfolio zusammen, um Zero Trust überall bereitzustellen – vor Ort, im Rechenzentrum und in Cloud-Umgebungen.“
Der SecOps-Teil des Toolkits dreht sich um das Cortex-Portfolio: Cortex XDR ist eine erweiterte Detection-and-Response-Lösung, die Angriffe verhindert und Verhaltensanomalien auf Endpunkten erkennt. Sie bietet ganzheitliche Sichtbarkeit sowie Funktionen für die Untersuchung und Behebung von Sicherheitsvorfällen, die sich auf das Netzwerk und die Cloud erstrecken.
Je mehr Telemetriedaten zur Verfügung stehen, desto mehr Einblicke hat das Sicherheitsteam, um Anomalien zu identifizieren und architektonische Anpassungen für die Zero Trust-Bereitstellung vorzunehmen. Palo Alto Networks sammelt Telemetriedaten aus der Cloud, dem Netzwerk und den Endpunkten im Cortex Data Lake, wo die Daten zusammengefügt werden, um maschinelles Lernen und Analysen zu ermöglichen. Cortex XDR nutzt diese Daten, um das normale Benutzer- und Geräteverhalten zu erfassen, so dass die Behavioral Analytics Engine Bedrohungen auf der Grundlage von Anomalien erkennen kann. Wenn ein neuer Bedrohungsvektor gefunden wird, ermöglicht Cortex XDR eine tiefgreifende Untersuchung der neu entdeckten Bedrohung, sodass Sicherheitsteams die Ursachen aufdecken und entsprechend reagieren können.
Cortex XSOAR ist eine Lösung zur Sicherheitsorchestrierung, Automatisierung und Reaktion mit nativem Threat Intelligence Management. Sie nutzt API-gesteuerte Automatisierungs-Playbooks, die Reaktionen auf Vorfälle im gesamten Sicherheits-Stack automatisieren und orchestrieren. Dadurch können Sicherheitsteams schnell handeln, wenn Sicherheitsvorfälle entdeckt werden. Die große Liste an vorgefertigten Integrationen reicht von Authentifizierung über Netzwerksicherheit bis hin zu Schwachstellenmanagement und umfasst Sicherheits- und Nicht-Sicherheits-Tools, die von SecOps-Teams verwendet werden (sowohl mit Palo Alto Networks als auch mit Nicht-Palo Alto Networks-Tools). Diese Integrationen steuern Playbooks, die sich wiederholende manuelle Aufgaben automatisieren. Außerdem erleichtern sie die Kommunikation und Zusammenarbeit zwischen den Teams sowie die schnelle Untersuchung und Behebung von Bedrohungen.