Nur eines von zehn großen Unternehmen wird bis 2026 über ein „ausgereiftes und messbares“ Zero-Trust-Programm verfügen. Und selbst bei denjenigen, die über ein solches Programm verfügen, werden die Kontrollen zunehmend die Auswirkungen von Angriffen nicht mehr abmildern können, so Gartner.
Der Analyst behauptete, dass die Verbreitung von Zero Trust von heute nur 1 % langsam ansteigen würde, was auf die Schwierigkeit hinweist, Pläne in die Realität umzusetzen.
Zero Trust hat durch eine Verfügung des US-Präsidenten aus dem Jahr 2021, die Bundesbehörden zur Anwendung des Konzepts zwingt, einen großen Auftrieb erhalten.
Es ist jedoch keineswegs ein Patentrezept. Gartner warnte, dass sich in den kommenden drei Jahren mehr als die Hälfte aller Cyberangriffe auf Bereiche konzentrieren werden, die von Zero-Trust-Kontrollen nicht abgedeckt werden und nicht entschärft werden können.
„Die Angriffsfläche für Unternehmen vergrößert sich rasant, und Angreifer werden schnell umschwenken und auf Anlagen und Schwachstellen außerhalb des Geltungsbereichs von Zero-Trust-Architekturen (ZTAs) abzielen“, so Jeremy D’Hoinne, VP-Analyst bei Gartner.
„Dies kann in Form des Scannens und Ausnutzens von öffentlich zugänglichen APIs geschehen oder durch Social Engineering, Mobbing oder das Ausnutzen von Schwachstellen durch Mitarbeiter, die ihre eigene ‚Umgehung‘ schaffen, um strenge Zero-Trust-Richtlinien zu umgehen.“
Dennoch bietet der Ansatz laut Gartner eine wertvolle Möglichkeit, Risiken zu reduzieren und die Auswirkungen vieler Bedrohungen zu begrenzen.
„Viele Unternehmen haben ihre Infrastruktur mit impliziten statt expliziten Vertrauensmodellen aufgebaut, um den Zugang und die Abläufe für Mitarbeiter und Workloads zu erleichtern. Angreifer missbrauchen dieses implizite Vertrauen in die Infrastruktur, um Malware einzuschleusen und sich dann seitlich zu bewegen, um ihre Ziele zu erreichen“, so John Watts, VP-Analyst bei Gartner.
„Zero Trust ist ein Umdenken, um diesen Bedrohungen zu begegnen, indem es ein kontinuierlich bewertetes, explizit berechnetes und anpassungsfähiges Vertrauen zwischen Benutzern, Geräten und Ressourcen erfordert.“
CISOs und Verantwortliche für das Risikomanagement sollten zunächst den Umfang ihres Zero-Trust-Programms für Unternehmen definieren und sich dann zunächst auf die Identität konzentrieren, wobei zu beachten ist, dass es bei Zero Trust ebenso sehr um Menschen und Prozesse geht wie um Technologie, so Watts weiter.
Redaktionsnachweis Symbolbild: T. Schneider / Shutterstock.com
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
ICO bietet Datenschutzberatung für SMBs