Diskussion:Zero Trust: Unterschied zwischen den Versionen
Markierung: Zurückgesetzt |
|||
Zeile 10: | Zeile 10: | ||
[[Zero-Day]] | [[Zero-Day]] | ||
== | == Unsicherheit == | ||
; Ständiger Zustand der Unsicherheit | |||
[[Unsicherheit]] | |||
== Defense in Depth == | == Defense in Depth == |
Version vom 21. April 2024, 12:05 Uhr
TMP
Zero Trust
Unverdientes Vertrauen ist gefährlich
- Null Vertrauen
- Zero-Day
- Zero Trust
Zero-Day
Unsicherheit
- Ständiger Zustand der Unsicherheit
Defense in Depth
Daraus folgt: Security ist ein Prozess, der bei den zu schützenden Werten (siehe kommenden Artikel "Ein Passwort") beginnt
- Wenn wir diesem folgen und dabei alles aufbringen, was uns einfällt, um Vertrauen einräumen zu können, landen wir beim Prinzip der "Defense in Depth"
- Die deutsche Übersetzung "gestaffelte Verteidigung" täuscht insofern etwas, als sie Bilder eines Hintereinanders von Maßnahmen entstehen lässt, wie bei einer mittelalterlichen Burg, wo vor dem Tor erst der Graben zu überwinden ist
Der Begriff Zero Trust lässt keinen Zweifel, dass die Bedrohung längst bereits im Rittersaal sein kann
- Tiefenverteidigung muss daher vielmehr die gleichzeitige Nutzung verschiedener Domänen und Dimensionen umfassen, um den Risiken zu begegnen
- Das kann zeitlich-logisch geschehen (zum Beispiel Prävention, Detektion, Reaktion), technisch-funktional (Zugriffskontrolle, Backup, Logging) oder konzeptionell (Pentesting, Red Teaming, Security Chaos Engineering)
Entscheidend ist, sich zu Beginn des Prozesses der Beschäftigung mit Security der Unsicherheit hinzugeben und mit dieser zu arbeiten – auch wenn das für viele Organisationen immer noch ein Schock ist und die schmerzhafte Erkenntnis beinhaltet, dass Security nicht durch die Beschaffung eines glitzernden Produkts zu erhalten ist