Palo Alto Networks setzt alles auf Zero Trust

Palo Alto Networks ist für über 85.000 Kunden in mehr als 150 Ländern ein Cybersicherheitspartner erster Wahl. Unser Ziel ist es, jeden Tag ein bisschen sicherer zu machen. Mit Transparenz, zuverlässigen Informationen, Automatisierung und Flexibilität unterstützen wir komplex aufgebaute Organisationen dabei, sich sicher weiterzuentwickeln. Heute schützen die umfassenden Sicherheitslösungen von Palo Alto Networks über eine Milliarde Menschen auf der ganzen Welt.

Wie bei den meisten großen Unternehmen haben in den letzten Jahren auch in unserem eigenen Netzwerk der Remotezugriff und die Nutzung von Software-as-a-Service(SaaS)-Anwendungen stark zugenommen. Da sich durch diese Entwicklung die Angriffsfläche vergrößert hat, verzeichnet Palo Alto Networks ebenfalls eine steigende Anzahl von versuchten Cyberangriffen, sodass ein Zero-Trust-Ansatz für die Sicherheit des Unternehmens von entscheidender Bedeutung ist.

Zero Trust zählt für Palo Alto Networks bereits seit mehreren Jahren zu den Prioritäten. Im Jahr 2021 aber machten sich Chief Information Security Officer Niall Browne und sein Informationssicherheitsteam (InfoSec) daran, eine effektive Methode zu schaffen, um die Zero-Trust-Strategie von Palo Alto Networks deutlich zu verbessern. Im Zuge dieses Projekts hat das Team eine intuitive Methodik entwickelt, die es ihm ermöglicht, das Zero-TrustRahmenwerk kontinuierlich auszubauen, wenn sich das Unternehmen weiterentwickelt.

Für Palo Alto Networks ist es unerlässlich, an der Spitze der Digitalisierung zu bleiben, um die Sicherheitsanforderungen der weltweit größten und fortschrittlichsten Unternehmen zu erfüllen. Im Zuge unserer eigenen digitalen Transformation hat die Nutzung von Cloud-Diensten und SaaS-Anwendungen stark zugenommen. Mit einer großen, globalen Belegschaft, die Remotezugriff benötigt, um schnell auf die Sicherheitsanforderungen der Kunden reagieren zu können, sind die Endpunkte zahlreicher und vielfältiger geworden.

Als weltweit führendes Cybersicherheitsunternehmen verfügen wir zudem über geistiges Eigentum, das für Hacker von besonderem Interesse ist. Aus diesem Grund war das Unternehmen schon immer ein beliebtes Ziel, aber in den letzten Jahren hat die Häufigkeit und Raffinesse der Angriffe zugenommen. Für Browne und das InfoSec-Team stellte die schnell wachsende Angriffsfläche in Verbindung mit der steigenden Anzahl von Cyberangriffen ein erhebliches Risiko dar. Die Einführung von Zero Trust war für die Sicherheit des Netzwerks unerlässlich.

Zu diesem Zeitpunkt gab es jedoch kein umfassendes, reproduzierbares Verfahren, um Zero Trust zu erreichen. Das Konzept hingegen war bekannt, nämlich völlig auf vertrauensbasierte Sicherheitsansätze zu verzichten und jede Phase digitaler Interaktionen kontinuierlich zu prüfen. Durch die Implementierung einer Sicherheitslösung allein lässt sich dies jedoch nicht erreichen. Es ist ein strategischer Ansatz erforderlich, der ständig weiterentwickelt werden muss und kontinuierliches Engagement erfordert.

Angesichts miteinander konkurrierender Prioritäten ist es für jedes Unternehmen eine Herausforderung, eine Zero-Trust-Strategie konsequent zu verfolgen. Die Sicherheitsteams von Palo Alto Networks konzentrieren sich darauf, mit der Bedrohungslandschaft und der Entwicklung der digitalen Umgebung des Unternehmens Schritt zu halten. Aktuelle Sicherheitsbedrohungen und globale Angriffe wie das Log4j-Ereignis lenken von den proaktiven Bemühungen ab, neue Sicherheitslücken zu ermitteln und zu minimieren.

Das hohe Geschäftstempo und die fortlaufende Erweiterung des Ökosystems von Palo Alto Networks bringen mit sich, dass ständig neue SaaS-Anwendungen hinzukommen und das InfoSec-Team bei deren Inventarisierung und Bewertung unter Druck gerät. Und mit einem großen, weltweiten Kundenstamm, den es zu schützen und zu unterstützen gilt, drohen andere Ziele die Aufmerksamkeit und die erforderlichen Fertigkeiten von Zero-TrustProjekten abzuziehen.

„Wir wussten, dass Zero Trust entscheidend war“, erklärt Browne. „Wir erkannten auch, dass wir einen Ansatz brauchten, den wir kommunizieren, erfolgreich einsetzen und anschließend replizieren konnten.“

Zu Beginn des Prozesses mussten Browne und das InfoSec-Team definieren, wie ein erfolgreicher Zero-TrustAnsatz aussehen sollte. Indem sie die Situation anderer Unternehmen analysierten, fanden sie heraus, welche Sicherheitskultur und Technologie vorhanden sein müssen, damit die Strategie funktioniert.

Ihnen war bewusst, dass Zero Trust für fortlaufende Investitionen die Zustimmung des Vorstands benötigen würde. Somit musste ihr Ansatz so aufgebaut sein, dass er leicht erklärt und regelmäßig über seine Vorteile berichtet werden konnte, um seinen Wert zu belegen.

Sie wussten auch, dass ein ganzheitlicher Ansatz notwendig war. Ihre Strategie musste den Aspekt von Vertrauen in Schlüsselbereichen wie Benutzer, Anwendungen und Infrastruktur berücksichtigen. Für Anwendungen mussten sowohl Cloud- als auch On-Premises-Umgebungen anhand von Best Practices für Zero Trust bewertet werden. Gleichzeitig musste der Ansatz den wertvollsten Assets des Unternehmens Priorität einräumen – also denjenigen Assets, die in Zusammenhang mit kritischen Daten stehen beziehungsweise für böswillige Akteure die attraktivsten Ziele darstellen.

Vor allem aber erkannten sie, dass Zero Trust eine kontinuierliche Anstrengung erfordert. Zur Unterstützung seiner betrieblichen Prozesse ergänzt Palo Alto Networks ständig seine Ressourcen und Anwendungen. Mit der Weiterentwicklung des Datenbestands aufgrund neuer Technologien muss auch der Zero-Trust-Ansatz Schritt halten. Das bedeutete, dass wir einen Prozess der kontinuierlichen Bewertung und Optimierung etablieren mussten.

Browne arbeitete eng mit der Unternehmensleitung und dem Vorstand von Palo Alto Networks zusammen, um die Genehmigung für die Investition in die Initiative zu erhalten und Zero Trust zu einer der höchsten Prioritäten des Unternehmens zu machen. Dies war ein entscheidender erster Schritt, um sicherzustellen, dass Zero Trust ganzheitlich und umfassend angegangen wurde und auf höchster Ebene breite Unterstützung erhielt.

Für die Entwicklung eines strategischen Plans und die Festlegung von Prioritäten wählte das InfoSec-Team einen konzeptionellen Ansatz, bei dem Zero Trust anhand einer Reihe von Fragen untersucht wurde:

• Was sind unsere sensibelsten Daten und wo befinden sie sich?
• Welche Anwendungen greifen auf unsere sensibelsten Daten zu?
• Wo befinden sich diese Anwendungen in unserer Infrastruktur?
• Welche Benutzer können darauf zugreifen – und ist dies erwünscht?

Dieser Ansatz veranlasste das Team, eine datenzentrierte Strategie zu entwickeln. Die Anwendungen, die die Daten nutzen, müssen abgesichert werden und die Sicherheit muss sich auf die gesamte Infrastruktur erstrecken. Die Daten müssen vor unerwünschtem Zugriff oder unerwünschter Nutzung durch Anwendungen, Geräte oder Benutzer geschützt werden – und sämtliche Zugriffspunkte müssen für die Administratoren sichtbar sein.

Niall Browne: „Wenn wir unsere ‚Kronjuwelen‘ identifizieren und ihren Standort innerhalb des Netzwerks kennen, können wir den Benutzer- und Anwendungszugriff sowie die Infrastrukturkomponenten einer ZeroTrust-Strategie zuordnen.“

Mit diesem Ansatz ist das InfoSec-Team in der Lage, die Wirksamkeit seiner Zero-Trust-Methode mittels Audits der wertvollsten Datenassets des Unternehmens zu ermitteln. So zeigt es, dass diese Assets geschützt bleiben, was wiederum die Investitionen und die Unterstützung durch Unternehmensleitung und Vorstand rechtfertigt.

Zusammenarbeit mit Produktteams für beschleunigte Innovationsprozesse

Bei Palo Alto Networks wird das InfoSec-Team als „erster Kunde“ betrachtet. Somit erhält es uneingeschränkten Zugang zu den Produktteams, um die Lösungen für das Unternehmensnetzwerk anzupassen – ein Prozess, durch den auch die Lösungen verbessert werden, die Palo Alto Networks seinen Kunden bereitstellt. Dank der Zusammenarbeit mit diesen Teams konnte InfoSec die Lösungen im Hinblick auf die spezifischen Anforderungen von Zero Trust optimieren.

Durch die korrekte Anwendung von User-ID, App-ID und Device-ID gelang es dem InfoSec-Team beispielsweise, umfassende Transparenz herzustellen und den Datenverkehr im Netzwerk nachzuvollziehen. Mittels Kombination von Next-Generation Firewalls in On-Premises-Umgebungen und Prisma Access konnten die Teammitglieder eine Segmentierung erzielen und Kontrollen etablieren. Darüber hinaus wurden Berechtigungen festgelegt, die sicherstellen, dass der Zugriff auf wertvolle Daten, Ressourcen und Anwendungen eine Validierung erfordert, und es wurde eine durchgängige Multi-Faktor-Authentifizierung für alle Benutzer eingeführt.

Auf diese Weise konnte das Team eine Reihe von Zero-Trust-Richtlinien erstellen und umsetzen, die auf folgende Aspekte eingehen:

• genehmigte, tolerierte und nicht genehmigte Anwendungen
• Entschlüsselung des ausgehenden Datenverkehrs
• Blockieren von unangemessenem Datenverkehr für einen bestimmten Service nach Benutzer, Anwendung und/oder Gerät
• Bereitstellung von Sicherheitsschlüsseln für Mitarbeiter mit hohem Risiko

Zudem sorgte das Team dafür, dass das Security Operations Center (SOC) des Unternehmens Einblick in alle Anwendungen erhielt, die risikobehaftete Unternehmensdaten nutzten.

Mit diesem Ansatz konnten Browne und sein Team deutlich zuversichtlicher sein, dass die kritischen Daten des Unternehmens geschützt und nur für diejenigen Benutzer, Anwendungen und Geräte zugänglich waren, bei denen dies auch erwünscht war. Die Identität wurde bei jeder Datentransaktion überprüft. Zugleich erhielt das InfoSecTeam den erforderlichen Einblick, um seine Zero-Trust-Strategie zu überwachen, aufrechtzuerhalten und kontinuierlich zu verbessern.

Für Palo Alto Networks gewährleistet die Einführung einer effektiven Zero-Trust-Methode, dass die wertvollsten Datenassets des Unternehmens sicher bleiben und dass es eine Möglichkeit gibt, diese Sicherheit im Laufe der Zeit mit zunehmender Granularität zu verbessern. Auf dem weiteren Weg zu Zero Trust unterstützt diese Methode die laufenden Digitalisierungsbemühungen und die Arbeit des InfoSec-Teams zur Verbesserung des allgemeinen Sicherheitsniveaus von Palo Alto Networks.

Bereits die erste Zero-Trust-Initiative von Niall Browne hat zur Optimierung der Produkte von Palo Alto Networks beigetragen. Der laufende Zero-Trust-Prozess erlaubt es nun dem InfoSec-Team, mit den Produktentwicklern zusammenzuarbeiten, um Probleme aufzudecken und Feedback zur Produktplanung zu geben. So konnte das Team einen besseren Einblick in den eigenen, schnell wachsenden Datenbestand gewinnen, die Managementtools vereinfachen, die zur Unterstützung von Zero Trust erforderlich sind, und die in einer sich verschärfenden Bedrohungslage erforderliche Sicherheit aufrechterhalten.

Indem Palo Alto Networks diese Produktverbesserungen auf den Markt bringt, hilft das Unternehmen auch anderen bei der Entwicklung und Umsetzung einer effektiven Zero-Trust-Strategie. Die Herausforderungen, die Palo Alto Networks gemeistert hat, sind typisch für Unternehmen mit einem bedeutenden digitalen Bestand; der von Niall Browne und seinem Team definierte Ansatz bringt jedem Kunden dieselben Vorteile.

Einer der wichtigsten Vorteile des Projekts ist die Tatsache, dass ein datenzentrierter Ansatz die Sicherheitsverantwortlichen unserer Kunden dabei unterstützt, ihren Unternehmensleitungen und Vorständen das Thema „Zero Trust“ näherzubringen. „Anstatt über Tausende von Kennzahlen zu referieren, die niemand nachvollziehen kann, können CIOs und CISOs jetzt einfach über den Schutz von Daten sprechen“, so Niall Browne. „So ist das Ganze deutlich besser vermittelbar.“ Den Sicherheitsteams fällt es nun deutlich leichter, aussagekräftige Ergebnisse zu erzielen und Erfolge nachzuweisen.

Die Entwicklung eines effektiven Zero-Trust-Ansatzes ist für Palo Alto Networks ein wichtiger Erfolg. Für Browne und sein Team ist es jedoch erst der Anfang. Angesichts der dynamischen Entwicklung von Daten, Anwendungen, Netzwerken und Cloud-Umgebungen muss ein Zero-Trust-Ansatz stetig weiterentwickelt werden, um mit der Technologie und dem Geschäftsbetrieb Schritt zu halten.

Somit hält das Team kontinuierlich nach neuen Möglichkeiten Ausschau, um die Effektivität des Zero-TrustAnsatzes von Palo Alto Networks zu erhöhen. Dabei setzt das InfoSec-Team auf das Prinzip der fortlaufenden Selbstverbesserung, das fester Bestandteil seiner Methode ist. So trägt es zur Produktentwicklung bei, die Palo Alto Networks zum weltweit führenden Anbieter von Netzwerksicherheit macht.

Erfahren Sie mehr darüber, wie die Zero-Trust-Methode von Palo Alto Networks dazu beitragen kann, die Daten, Endpunkte und Anwendungen in Ihrem Unternehmen zu schützen. Weitere Informationen dazu finden Sie hier.