Zero-Trust-Cybersicherheit – Defense-in-Depth-Cybersicherheit

Zero Trust ist eine Art Antivirus-Vertrauensrichtlinie, die jede Datei und jedes Programm als potenziell gefĂ€hrlich betrachtet - es sei denn, es wurden manuelle AusschlĂŒsse festgelegt. Man könnte sagen, Zero Trust ist Ihr Schutzschild gegen Zero-Day.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner.

Was ist Zero-Trust-Sicherheit? Prinzipien des Zero-Trust-Modells | Gridinsoft

Was ist Zero Trust?

October 02, 2022

Im wirklichen Leben ist Vertrauen ein sehr wichtiger Teil menschlicher Beziehungen. In der Computerwelt ist es tatsĂ€chlich auch so, aber Programme sind nicht schlau genug, um zu verstehen, dass sie mit böswilliger Absicht manipuliert werden. Aus diesem Grund entschieden sich die AV-Anbieter in einem Moment, ĂŒberhaupt niemandem zu vertrauen.

Zero-Trust ist die Sicherheitsprogrammrichtlinie, die die VertrauenswĂŒrdigkeit bestimmter Apps regelt. Wie der Name schon sagt, geht Zero-Trust davon aus, dass ĂŒberhaupt keinem Programm vertraut wird. Eine solche Maßnahme ist hart, aber Ă€ußerst effektiv, wenn es darum geht, das Einschleusen von Malware zu verhindern. In diesem Modus betrachtet ein Anti-Malware-Programm jede Anwendung, die im System ausgefĂŒhrt wird, als potenziell gefĂ€hrlich und ĂŒberprĂŒft die ausgefĂŒhrten Befehle/zugegriffenen DLLs und Ordner.

Indem die AktivitĂ€t aller Anwendungen ĂŒberprĂŒft wird, kann das Sicherheitstool (es könnte die EDR-Lösung als auch das regulĂ€re Antivirus sein) die zweifelhaften Dinge leicht herausfiltern. Dann erhĂ€lt der Sicherheitsspezialist, der das Schutzsystem verwaltet, den Bericht mit all diesen FĂ€llen und wĂ€hlt aus, welche Maßnahmen er anwenden möchte.

Was ist die Notwendigkeit einer Zero-Trust-Richtlinie?

FrĂŒher, zu Beginn der Verbreitung von Anti-Malware-Software, haben alle Programme dieser Art die Apps von Drittanbietern in vertrauenswĂŒrdig und nicht vertrauenswĂŒrdig eingeteilt. Die dritte Kategorie – System-Apps – wurde spĂ€ter ebenfalls mit vertrauenswĂŒrdig gruppiert. Die Apps aus der vertrauenswĂŒrdigen Liste konnten also tun, was sie wollten – Antivirenprogramme ignorierten ihre AktivitĂ€ten. Diejenigen, die als nicht vertrauenswĂŒrdig galten, wurden sorgfĂ€ltig geprĂŒft. Diese Klassifizierung war großartig, wenn wir uns nicht daran erinnern, dass es ziemlich einfach war, die „VertrauenswĂŒrdigkeit“ zu erreichen. Daher wurden nur einige dubiose Apps von Websites, die Software verbreiten, handgemachte Java-Applets und Skripte als unsicher eingestuft.

Hauptmerkmale von Zero Trust
SchlĂŒsselvektoren einer Zero-Trust-Sicherheit

Das Gesamtmodell scheint ziemlich gut zu sein, da es immer noch manuelle Steuerung, die Möglichkeit der Bearbeitung und andere Dinge hat, die FlexibilitĂ€t bieten. Sofern wir uns nicht an die Schwachstellen erinnern, können letztere in allen Arten von Apps auftauchen - und solche, die als sicher gelten, sind kein Ausschluss. SicherheitslĂŒcken können es Hackern ermöglichen, beliebigen Code auszufĂŒhren, Berechtigungen zu eskalieren, Systemeinstellungen zu Ă€ndern und alle anderen bösen Dinge zu tun. Eine solche Situation bringt die Effizienz des geteilten Vertrauenssystems auf den Punkt.

Anfangs wurde das Problem einfach ignoriert, da Schwachstellenausnutzung nicht so weit verbreitet war. Auf dem breiten Markt gab es keine speziellen Sicherheitslösungen - man konnte sie nur zu einem höheren Preis bestellen. Und darĂŒber machten sich Unternehmen keine Sorgen – die Effizienz von Antivirenprogrammen reichte vorerst aus. Als Cyberkriminelle die Verbreitungswege von klassischem Tricking auf Exploits umstellten, wurden die klassischen Lösungen viel weniger effektiv. Man kann sagen - nutzlos.

Prinzipien des Zero Trust

Wir haben die Antivirus-Arbeit mit der Zero-Trust-Richtlinie oben bereits beschrieben. Es ist eine ziemlich primitive Beschreibung, da sie eine viel umfangreichere Liste von Aktionen enthĂ€lt. Zero Trust wird nicht nur auf die aktuell ausgefĂŒhrten Anwendungen verteilt, sondern auch auf die Dateien, die auf der Festplatte vorhanden sind, aber im Moment nicht verwendet werden. Um dies zu beherrschen, mĂŒssen eine Vielzahl typischer Lösungen und neue AnsĂ€tze gleichzeitig angewendet werden.

Prozesse werden obligatorisch mit mehreren Erkennungsmechanismen ĂŒberprĂŒft. In frĂŒhen Varianten wurden sie wĂ€hrend der AusfĂŒhrung ĂŒberprĂŒft, sodass das Programm im System ausgefĂŒhrt werden konnte. Ein solcher Ansatz hat seine Vorteile, setzt das System jedoch Risiken aus. Modernere Antivirenprogramme mit einer Zero-Trust-Richtlinie fĂŒhren jede Anwendung in der Sandbox aus, bevor sie auf einem System ausgefĂŒhrt werden. Im Fall einer Website oder eines Remote-Servers kann dieser gleichzeitig in der Sandbox und im Browser gestartet werden, um die Verzögerung zu minimieren. Das Gleiche wird mit den eingehenden Verbindungen durchgefĂŒhrt - selbst wenn sie keine Aktionen ausfĂŒhren, behĂ€lt das Programm ein Auge darauf und protokolliert jede Aktion, wenn es aktiv wird.

Zero-Trust-Arbeit

TatsĂ€chlich sind diese ÜberprĂŒfungen nichts Neues fĂŒr Anti-Malware-Software. Alle Anwendungen, die ĂŒber einen erweiterten PrĂŒfmechanismus verfĂŒgen, fĂŒhren die beschriebenen VorgĂ€nge aus. Aber mit einer Zero-Trust-Richtlinie werden die Sicherheitsvorkehrungen auf alle Apps und Dateien angewendet. Alle diese Kontrollen mĂŒssen mit den besten Erkennungssystemen unterstĂŒtzt werden, um maximale Effizienz zu gewĂ€hrleisten. Heuristische Engines und Erkennungsmechanismen fĂŒr neuronale Netzwerke mĂŒssen eine hohe Leistung bei moderatem Ressourcenverbrauch aufweisen. Erkennungsdatenbanken mĂŒssen entsprechend gepflegt werden – mit stĂŒndlichen Updates und kontinuierlicher Überwachung möglicher neuer Bedrohungen.

Da Zero-Trust fast gleichbedeutend mit EDR-Systemen ist, kann die effizienteste Anwendung fĂŒr diese Richtlinie nur mit den Funktionen einer Endpoint-Lösung erfĂŒllt werden. Letzteres bietet in der Regel die Teilung des geschĂŒtzten Netzwerks an, um das Gesamtsystem besser kontrollierbar zu machen. In diesem Fall können Sie mit Zero-Trust einige zusĂ€tzliche ÜberprĂŒfungen fĂŒr die als gefĂ€hrlicher eingestuften Programme einrichten oder die Liste der angewendeten ÜberprĂŒfungen Ă€ndern.

Zero-Trust in Anti-Malware-Programmen

Die meisten Programme mit einem Beispiel fĂŒr eine Zero-Trust-Richtlinie sind Endpoint Detection and Response-Lösungen oder EDR. Diese Apps reprĂ€sentieren eine neue Sicht der Unternehmens-Cybersicherheit. WĂ€hrend frĂŒhere Lösungen jeden PC separat voneinander schĂŒtzten, bieten EDR-Lösungen den Schutzschild, der das gesamte Netzwerk gleichzeitig abdeckt. Da Cyberkriminelle ziemlich hĂ€ufig fortschrittliche Bedrohungen einsetzen, erfordert das Scannen nach möglicherweise kompromittierten Apps keine Toleranz.

Antivirenlösungen fĂŒr den Massenmarkt fĂŒr Einzelbenutzersysteme wenden selten eine Zero-Trust-Richtlinie an. Das einzige, das auf allen Computern mit Windows 11 vorhanden ist, ist Windows Defender – ein berĂŒchtigtes Sicherheitstool von Microsoft . Es zeigt anstĂ€ndige Ergebnisse beim On-Run-Schutz, hat aber so viele Fehler und Sicherheitsprobleme, dass seine Benutzerfreundlichkeit fraglich ist. Und obwohl es ein vollwertiges Zero Trust betreibt, sind die oben genannten Sicherheitsmechanismen eingeschrĂ€nkt. Beispielsweise funktioniert das Sandboxing im Netzwerksicherheitsmodus nur mit dem Edge-Browser; Erweiterte SkriptĂŒberwachungsmechanismen sind nur fĂŒr PowerShell-Skripts verfĂŒgbar.

Warum verzögern Anti-Malware-Anbieter die Anwendung dieser Richtlinie?

"Zero Trust" mag wie eine Wunderpille fĂŒr die Computersicherheit aussehen. Die neue Ideologie, wie die Anti-Malware-Software auf die Programme im System reagiert, kann ihre Effizienz stark steigern, ohne dass der Erkennungsmechanismus verbessert wird. Einige Fallstricke machen es jedoch weniger perspektivisch oder sogar nutzlos.

  • Zero Trust beeintrĂ€chtigt die PC-Leistung. Dasselbe Tool verbraucht viel mehr RAM und insbesondere CPU, um alle ÜberprĂŒfungen durchzufĂŒhren und die Sandbox auszufĂŒhren. Stellen Sie sich vor, Sie haben den On-Run-Schutz aktiviert, aber es erfordert die DurchfĂŒhrung von Operationen, die dreimal mehr Rechenleistung benötigen. Klar, auf den High-End-Systemen werden Sie keine nennenswerten Probleme bekommen, aber Anti-Malware-Produkte sind auf den Massenmarkt ausgerichtet – sonst rechnet es sich nicht. EDRs mit einer Zero-Trust-Richtlinie leiden viel weniger, da die meisten Berechnungen auf dem DomĂ€nencontroller durchgefĂŒhrt werden.
  • Einzelne Benutzer werden selten mit fortgeschrittenen Bedrohungen angegriffen. WĂ€hrend Unternehmen stĂ€ndig dem Risiko ausgesetzt sind, mit der Verwendung komplizierter Malware angegriffen zu werden, tun es Einzelpersonen nicht 't. Die Anzahl der Orte, an denen Zero-Trust fĂŒr einen einzelnen Benutzer nĂŒtzlich sein kann, ist gering – verglichen mit den negativen Auswirkungen, die wir im vorherigen Abschnitt erwĂ€hnt haben. Um den Angriff mit „klassischer“ Malware zu spiegeln, reicht das regulĂ€re Antivirenprogramm mit Vertrauensliste.
  • Komplizierte Nutzung. Bei Zero Trust geht es nicht nur darum, alles zu kontrollieren, was in Ihrem System lĂ€uft. Um die höchste Effizienz zu erreichen, muss das Sicherheitstool speziell fĂŒr das System eingerichtet werden, auf dem es ausgefĂŒhrt werden soll – sonst handelt es sich nur um Bloatware. Und wie Sie sich denken können, sind manuelle Setups keine Sache, ĂŒber die sich der Massenmarkt freuen wird. Die App, die Stunden mit HandbĂŒchern und Einstellungen verbringt, ist in Ordnung fĂŒr Systemadministratoren, die den Schutz im Unternehmen eingerichtet haben, aber nicht so gut, wenn Sie möchten, dass das Programm sofort gut lĂ€uft.

Zero Trust ist eine sehr zukunftstrĂ€chtige Richtlinie fĂŒr Anti-Malware-Software. Aufgrund der oben genannten Probleme kann es jedoch kaum auf dem Massenmarkt existieren. Es scheint, als wĂŒrde es das ergĂ€nzende oder sogar obligatorische Element von EDR-Lösungen sein - es zeigt dort höchste Effizienz. Aber wir können uns seine Zukunft als Teil einer regulĂ€ren Anti-Malware-Lösung kaum vorstellen - zumindest auf dem Massenmarkt.