Einführung von Zero Trust und Zugriffskontrolle
Zero Trust ist ein Sicherheitsmodell, das auf dem Prinzip „Niemals vertrauen, immer überprüfen“ basiert und jeden Benutzer oder jedes Gerät als potenzielle Bedrohung behandelt, unabhängig von seinem Standort innerhalb oder außerhalb des Netzwerkperimeters. Es erfordert eine strenge Identitätsprüfung für jede Entität, die versucht, auf Netzwerkressourcen zuzugreifen1.
Auf der anderen Seite, Zugangskontrolle ist eine Sicherheitstechnik, die den Zugriff auf Ressourcen innerhalb einer Computerumgebung reguliert und so das Risiko für die Organisation minimiert. Es kann physischer Natur sein und den Zugriff auf materielle Vermögenswerte steuern, oder logisch sein und Verbindungen zu Netzwerken, Systemdateien und Daten verwalten.
Diese beiden Konzepte hängen miteinander zusammen, wobei Zero Trust als Leitstrategie für die Entwicklung und Umsetzung von Zugangskontrollrichtlinien dient. Zugangskontrolle setzt das Zero-Trust-Modell durch und stellt sicher, dass nur authentifizierte und autorisierte Benutzer und Geräte Zugriff auf bestimmte Ressourcen erhalten.
Unter Zero Trust geht die Zugriffskontrolle über die bloße Ressourcenzugriffsverwaltung hinaus und umfasst die kontinuierliche Bewertung der Verbindungsvertrauenswürdigkeit. Dieser Ansatz, gepaart mit dem Prinzip der geringsten Rechte, macht Zero Trust zu einer dynamischeren und robusteren Form der Zugriffskontrolle. Durch die Integration dieser beiden Konzepte können Unternehmen ihre Sicherheitslage erheblich verbessern2.
Die Bedeutung der Zugriffskontrolle bei Zero Trust
Die Zugangskontrolle ist ein Eckpfeiler der Zero Trust Sicherheitsmodell, das nach dem Prinzip arbeitet „Niemals vertrauen, immer überprüfen“3. Es authentifiziert und autorisiert jeden Benutzer, jedes Gerät und jeden Netzwerkfluss, bevor es Zugriff gewährt, was die Sicherheit erhöht und das Risiko von Datenschutzverletzungen verringert. Durch die Implementierung des Zugriffs mit geringsten Berechtigungen wird sichergestellt, dass Benutzer gerade genug Zugriff haben, um ihre Aufgaben auszuführen, wodurch der potenzielle Schaden durch kompromittierte Konten oder Insider-Bedrohungen minimiert wird.
Im Zero-Trust-Kontext ist die Zugriffskontrolle dynamisch und adaptiv. Die Vertrauenswürdigkeit wird kontinuierlich anhand von Faktoren wie Benutzerverhalten, Gerätezustand und Netzwerkstandort bewertet. Dieser Ansatz geht über herkömmliche perimeterbasierte Sicherheitsmaßnahmen hinaus und konzentriert sich auf die Sicherung einzelner Ressourcen und Daten, anstatt sich ausschließlich auf Netzwerkgrenzen zu verlassen4.
Die Zugangskontrolle sorgt außerdem für Transparenz und Kontrolle und ermöglicht eine kontinuierliche Überwachung und Echtzeitreaktion auf Sicherheitsvorfälle. Es bildet die Grundlage für Vertrauensentscheidungen im Zero-Trust-Modell und trägt zu optimaler Sicherheit bei, indem es unbefugten Zugriff und seitliche Bewegungen innerhalb des Netzwerks verhindert.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Identifizieren von Vermögenswerten, Themen und Geschäftsprozessen
Im Bereich der Zugriffskontrolle innerhalb eines Zero-Trust-Frameworks ist die Identifizierung von Aktiva, Themen und Geschäftsprozesse ist ausschlaggebend5. Zu den Vermögenswerten gehören Daten, Anwendungen, Geräte und Infrastrukturkomponenten, die geschützt werden müssen. Subjekte, typischerweise Benutzer oder Systeme, interagieren mit diesen Assets. Geschäftsprozesse umfassen die betrieblichen Abläufe, die diese Vermögenswerte und Subjekte nutzen.
Organisationen können diese Elemente durch verschiedene Ansätze identifizieren. Asset Management umfasst umfassende Bestandsaufnahmen und Bewertungen, um den Wert, die Sensibilität und das Risikoniveau aller digitalen Vermögenswerte zu katalogisieren und zu verstehen. Überprüfung der Benutzeridentität stellt sicher, dass nur authentifizierte und autorisierte Personen Zugriff erhalten, was durch robuste Lösungen für das Identitäts- und Zugriffsmanagement erreicht wird. Geschäftsprozessabbildung Bietet einen klaren Überblick über die Ressourcennutzung, der durch Prozessdokumentation und Interviews mit Prozessverantwortlichen erreicht wird.
Die Identifizierung dieser Elemente ist für eine effektive Zugriffskontrolle in Zero Trust von grundlegender Bedeutung. Es ermöglicht Unternehmen, granulare Zugriffskontrollen einzurichten, das Prinzip der geringsten Rechte durchzusetzen und Zugriffsrechte kontinuierlich zu überwachen und anzupassen. Dieser Ansatz minimiert die Angriffsfläche, verhindert unbefugten Zugriff und wahrt die Integrität und Vertraulichkeit von Vermögenswerten, wodurch das Zero-Trust-Framework gestärkt wird6.
Die verschiedenen Arten der Zugangskontrolle verstehen
Die Zugriffskontrolle, ein Eckpfeiler der Cybersicherheit, umfasst verschiedene Arten, von denen jede auf einzigartige Weise zu einer Zero-Trust-Umgebung beiträgt. Diskretionäre Zugriffskontrolle (DAC)Obwohl flexibel, erfordert es eine sorgfältige Verwaltung, um unbefugten Zugriff zu verhindern7. Es wird normalerweise in weniger sensiblen Szenarien eingesetzt, in denen Dateneigentümer bei der Erteilung von Berechtigungen nach eigenem Ermessen entscheiden. Obligatorische Zugangskontrolle (MAC)Andererseits werden strenge, von einer zentralen Behörde festgelegte Zugriffsrichtlinien durchgesetzt, die eine strikte Einhaltung gewährleisten, aber möglicherweise die betriebliche Flexibilität einschränken. Es ist ideal für Hochsicherheitsumgebungen, in denen die Vertraulichkeit der Daten an erster Stelle steht. Rollenbasierte Zugriffskontrolle (RBAC) Vereinfacht die Zugriffsverwaltung durch die Zuweisung von Rechten basierend auf Rollen, orientiert sich am Prinzip der geringsten Rechte und reduziert das Risiko unbefugten Zugriffs. Zuletzt, Attributbasierte Zugriffskontrolle (ABAC), ein fortschrittliches Modell, berücksichtigt mehrere Attribute wie Benutzeridentität, Rolle, Zeit und Standort, bietet eine fein abgestimmte Kontrolle und ist auf die Zero-Trust-Prinzipien ausgerichtet8. Die Wahl des Zugangskontrolltyps sollte auf die identifizierten Vermögenswerte, Themen und Geschäftsprozesse abgestimmt sein und dabei Sicherheitsanforderungen und betriebliche Flexibilität in Einklang bringen.
Die Rolle von Führung und Engagement bei der Zugangskontrolle
Kurz und Zero-Trust-Umgebung, ist die Rolle der Führung von entscheidender Bedeutung bei der Gestaltung der Sicherheitslage der Organisation und der Förderung der Einführung strenger Zugangskontrollen. Führungskräfte geben den Ton für eine Sicherheitskultur vor und legen Wert auf die Zero-Trust-Prinzipien und das Prinzip der geringsten Privilegien. Sie beeinflussen die Art von Zugangskontrolle B. Discretionary Access Control (DAC), Mandatory Access Control (MAC) oder Role-Based Access Control (RBAC), und stellen deren konsistente Durchsetzung sicher.
Engagement ist ebenso wichtig, um die nachhaltige Wirksamkeit der Zutrittskontrollmaßnahmen sicherzustellen9. Eine engagierte Führung investiert in kontinuierliche Schulungs- und Sensibilisierungsprogramme und passt die Zugangskontrollen an die sich ändernde Sicherheitslandschaft an.
Führung und Engagement sind mit verschiedenen Arten der Zugangskontrolle verknüpft. Bei DAC stellt das Engagement der Führung sicher, dass Systembesitzer die Zugriffsberechtigungen korrekt definieren. Im MAC werden aufgrund des Engagements der Führung strenge Sicherheitsrichtlinien durchgesetzt. Bei RBAC prägt die Vision der Führung die Rollen und die damit verbundenen Zugriffsebenen, während ihr Engagement die strikte Einhaltung dieser Rollen gewährleistet.
Planung der Zugriffskontrolle in Zero Trust
Die Planung der Zugriffskontrolle in einer Zero-Trust-Umgebung erfordert einen proaktiven Ansatz zur Bewältigung von Risiken und Chancen. Implementieren Sie eine Strategie der geringsten Rechte, um Risiken zu mindern und Benutzern nur die Berechtigungen zu erteilen, die für ihre Rollen erforderlich sind. Durch regelmäßige Audits und Echtzeitüberwachung können Anomalien zeitnah erkannt und behoben werden. Nutzen Sie Chancen mit automatisierten Zugangskontrollsystemen, die sich in Echtzeit an sich ändernde Bedingungen anpassen. Nutzen Sie KI und maschinelles Lernen für prädiktive Risikoanalysen und adaptive Zugangskontrolle.
Ziele der Informationssicherheit sollten sich auf die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten konzentrieren. Implementieren Sie robuste IAM-Systeme (Identity and Access Management), die die Multi-Faktor-Authentifizierung, die risikobasierte adaptive Authentifizierung und den Zugriff mit den geringsten Privilegien durchsetzen. Regelmäßige Prüfungen der Zugriffsrechte und -privilegien können potenzielle Sicherheitslücken erkennen und beheben.
Führung und Engagement sind in diesem Planungsprozess von entscheidender Bedeutung. Der Chief Information Security Officer (CISO) sollte mit gutem Beispiel vorangehen und eine Kultur fördern, bei der die Sicherheit an erster Stelle steht. Dazu gehört auch, sicherzustellen, dass alle Mitarbeiter geschult sind und sich ihrer Rolle bei der Aufrechterhaltung der Sicherheit bewusst sind. Der CISO sollte sich dazu verpflichten, die Richtlinien und Verfahren zur Zugriffskontrolle regelmäßig zu überprüfen und zu aktualisieren, um mit den sich entwickelnden Bedrohungen und Technologien Schritt zu halten.
Implementierung der Zugriffskontrolle in Zero Trust
Die Implementierung der Zugriffskontrolle in einem Zero-Trust-Framework ist ein mehrstufiger Prozess, der mit der Identifizierung sensibler Daten und Systeme in Ihrem Unternehmen beginnt10. Dazu müssen Sie wissen, welche Arten von Daten Sie besitzen, wo diese gespeichert sind und wer Zugriff darauf hat. Als nächstes werden Zugriffsrichtlinien auf der Grundlage des Prinzips der geringsten Rechte definiert, um sicherzustellen, dass Benutzern nur die Zugriffsrechte gewährt werden, die zur Ausübung ihrer Rollen erforderlich sind. Um die Sicherheit zu erhöhen, wird die Multi-Faktor-Authentifizierung (MFA) implementiert, die von den Benutzern die Bereitstellung mehrerer Formen der Verifizierung verlangt.
Die Risiken einer nicht implementierten Zugriffskontrolle in Zero Trust sind erheblich, einschließlich unbefugtem Zugriff, Datenschutzverletzungen und Nichteinhaltung von Vorschriften11. Diese Risiken unterstreichen die Bedeutung einer kontinuierlichen Überwachung und Protokollierung des Zugriffs in einer Zero-Trust-Umgebung, die dabei hilft, Anomalien und potenzielle Bedrohungen in Echtzeit zu erkennen.
Die Planung der Zugriffskontrolle in Zero Trust steht in engem Zusammenhang mit deren Umsetzung. Es erfordert ein umfassendes Verständnis des Datenflusses, der Benutzerrollen und Zugriffsanforderungen Ihrer Organisation. Regelmäßige Audits und Überprüfungen der Zugriffsrichtlinien sind unerlässlich, um sicherzustellen, dass Zugriffsrechte kontinuierlich bewertet und an die sich entwickelnden Bedrohungen und Geschäftsanforderungen angepasst werden.
Risikobewertung der Informationssicherheit in der Zugangskontrolle
Die Risikobewertung der Informationssicherheit in der Zugangskontrolle innerhalb von a Zero Trust Das Framework ist ein entscheidender Prozess, bei dem potenzielle Schwachstellen identifiziert, bewertet und priorisiert werden12. Dieser Prozess beginnt mit einer gründlichen Bestandsaufnahme der digitalen Vermögenswerte, gefolgt von einer Bewertung potenzieller Bedrohungen für jeden Vermögenswert. Anschließend werden die potenziellen Auswirkungen jeder Bedrohung bewertet, wobei Faktoren wie Datensensibilität, Systemkritikalität und potenzieller Schaden für die Organisation berücksichtigt werden.
Um den Risikobewertungsprozess zu verbessern, sind eine kontinuierliche Überwachung und Echtzeit-Risikobewertungen von entscheidender Bedeutung. Dieser Ansatz ermöglicht die Erkennung neuer Bedrohungen und Schwachstellen bei ihrem Auftreten und ermöglicht die sofortige Umsetzung notwendiger Gegenmaßnahmen. Darüber hinaus stärkt die Integration von Risikobewertungen in andere Sicherheitsprozesse wie die Reaktion auf Vorfälle und die Planung der Notfallwiederherstellung die allgemeine Sicherheitslage.
Der Risikobewertungsprozess ist ein wesentlicher Bestandteil der Implementierung der Zugriffskontrolle in einer Zero-Trust-Umgebung. Es beeinflusst die Entwicklung von Zugriffskontrollrichtlinien und bestimmt, wer unter welchen Bedingungen Zugriff auf welche Ressourcen haben soll. Es hilft auch dabei, den Bedarf an zusätzlichen Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung oder Verschlüsselung zu erkennen. Daher ist ein robuster Risikobewertungsprozess von entscheidender Bedeutung für die erfolgreiche Implementierung der Zugriffskontrolle in einer Zero-Trust-Umgebung13.
Entwurf und Implementierung von Kontrollen in der Zugangskontrolle
In einer Zero-Trust-Architektur wird die Zugriffskontrolle durch den Entwurf und die Implementierung verschiedener Kontrollen gestärkt, die in administrative, technische und physische Kontrollen kategorisiert werden14. Zu den administrativen Kontrollen gehören Richtlinien und Verfahren wie Benutzerzugriffsverwaltung, Aufgabentrennung und Verwaltung der Bereitstellung von Diensten Dritter. Technische Kontrollen nutzen Technologien wie Firewalls, Intrusion-Detection-Systeme und Verschlüsselungsprotokolle. Zu den physischen Kontrollen gehören konkrete Maßnahmen wie Sicherheitskameras, Schlösser und biometrische Systeme.
Diese Kontrollen sind von entscheidender Bedeutung, um sensible Daten vor unbefugtem Zugriff zu schützen und die Einhaltung gesetzlicher Vorschriften sicherzustellen. Ihr Entwurf und ihre Implementierung basieren auf einer Risikobewertung der Informationssicherheit, die potenzielle Bedrohungen und Schwachstellen identifiziert. Beispielsweise kann ein hohes Risiko eines physischen Eindringens strengere physische Kontrollen erforderlich machen.
Bei der Zugriffskontrolle in einer Zero-Trust-Umgebung kommen auch präventive, aufdeckende, korrigierende, abschreckende und kompensatorische Kontrollen zum Einsatz. Die Wirksamkeit dieser Kontrollen wird im Rahmen des Risikobewertungsprozesses bewertet, wodurch eine Rückkopplungsschleife für kontinuierliche Verbesserungen entsteht15. Dieser iterative Prozess gewährleistet eine robuste Zugangskontrollstrategie, die in der Lage ist, auf sich entwickelnde Sicherheitsbedrohungen zu reagieren.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Die Vorteile und Herausforderungen der Zugriffskontrolle in Zero Trust
Die Zugriffskontrolle in Zero Trust bietet erhebliche Vorteile, einschließlich erhöhter Sicherheit und verbesserter Compliance, indem der Ansatz „Niemals vertrauen, immer überprüfen“ verfolgt wird. Dieser Ansatz minimiert das Risiko unbefugter Zugriffe und Datenschutzverletzungen und stellt die Einhaltung gesetzlicher Anforderungen sicher. Die Implementierung der Zugriffskontrolle in Zero Trust kann jedoch eine Herausforderung sein. Es erfordert ein umfassendes Verständnis des Netzwerks, einschließlich Benutzern, Geräten, Anwendungen und Daten. Die dynamische Natur digitaler Umgebungen kann die Verwaltung komplex machen und möglicherweise zu erhöhter Latenz und Benutzerunzufriedenheit aufgrund strenger Kontrollen führen.
Beim Entwerfen und Implementieren von Kontrollen sollte ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit gewährleistet sein. Die Beschränkung des Zugriffs auf sensible Ressourcen ist von entscheidender Bedeutung, aber auch die Sicherstellung, dass legitime Benutzer ihre Aufgaben ohne unnötige Behinderung ausführen können. Dieses Gleichgewicht erfordert sorgfältige Planung, kontinuierliche Überwachung und regelmäßige Aktualisierungen, um Änderungen in der Netzwerkumgebung widerzuspiegeln. Unternehmen sollten eine gründliche Bewertung ihrer Datenflüsse durchführen, kritische Assets identifizieren und die Rollen und Verantwortlichkeiten der Benutzer verstehen. Dies wird die Grundlage für die Gestaltung von Zugriffskontrollrichtlinien bilden, die dem Grundsatz der geringsten Rechte entsprechen und das Risiko unbefugten Zugriffs und potenzieller Schäden durch Insider-Bedrohungen minimieren.
Best Practices für die Zugriffskontrolle in Zero Trust
Die Implementierung der Zugriffskontrolle in einer Zero-Trust-Umgebung erfordert einen strategischen Ansatz, der robuste Sicherheit mit benutzerfreundlicher Zugänglichkeit in Einklang bringt.
Zu den wichtigsten Best Practices gehören:
-
Prinzip des geringsten Privilegs (PoLP): Indem Benutzern nur der für ihre Rollen erforderliche Zugriff gewährt wird, wird die Angriffsfläche minimiert und potenzieller Schaden durch kompromittierte Anmeldeinformationen begrenzt.
-
Multi-Faktor-Authentifizierung (MFA): MFA bietet eine zusätzliche Sicherheitsebene, die sicherstellt, dass unbefugter Zugriff verhindert wird, selbst wenn ein Passwort kompromittiert wird.
-
Kontinuierliche Validierung: Durch die regelmäßige Validierung der Benutzeridentitäten und -berechtigungen können Anomalien schnell erkannt und behoben werden.
-
Mikrosegmentierung: Durch die Segmentierung des Netzwerks in kleinere, isolierte Einheiten wird die seitliche Bewegung potenzieller Bedrohungen eingeschränkt.
Diese Strategien mindern effektiv Herausforderungen, indem sie die Angriffsfläche verkleinern, unbefugten Zugriff verhindern und eine schnelle Erkennung und Reaktion auf Anomalien ermöglichen. Sie spiegeln die Grundprinzipien von Zero Trust wider und verbessern die Sichtbarkeit, Kontrolle und Reaktionsfähigkeiten, wodurch die allgemeine Sicherheitslage gestärkt wird.
Abschließende Gedanken zur Zugriffskontrolle in Zero Trust
Die Zugriffskontrolle in Zero Trust ist eine grundlegende Komponente zur Gewährleistung optimaler Sicherheit. Es basiert auf dem Prinzip „Niemals vertrauen, immer überprüfen“, ein Konzept, das die Grundlage für die erste Einführung von Zero Trust bildete. Dieser Ansatz erfordert, dass jeder Benutzer, jedes Gerät und jeder Netzwerkfluss authentifiziert und autorisiert wird, bevor der Zugriff gewährt wird, unabhängig von seinem Standort oder seiner Netzwerkzugehörigkeit.
Die Best Practices für die Zugriffskontrolle in Zero Trust, einschließlich Zugriff mit geringsten Berechtigungen, Multi-Faktor-Authentifizierung und Mikrosegmentierung, tragen erheblich zu dieser Sicherheit bei. Zugriff mit den geringsten Rechten Minimiert potenzielle Schäden durch kompromittierte Konten, indem sichergestellt wird, dass Benutzer nur über die erforderlichen Berechtigungen zum Ausführen ihrer Aufgaben verfügen. Multi-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu, indem Benutzer zwei oder mehr Verifizierungsfaktoren angeben müssen, um Zugang zu erhalten. Mikrosegmentierung begrenzt die seitliche Bewegung potenzieller Bedrohungen, indem das Netzwerk in kleinere, isolierte Segmente unterteilt wird.
Diese Schlussfolgerung steht im Einklang mit der ersten Einführung von Zero Trust und Access Control, die einen Paradigmenwechsel in der Cybersicherheit markierte. Es wurde vom traditionellen perimeterbasierten Sicherheitsmodell zu einem dynamischeren, kontextbewussten Sicherheitsmodell übergegangen. Als Eckpfeiler dieses Modells wurde die Zugangskontrolle identifiziert, was die Vorstellung bestärkt, dass Vertrauen eine Schwachstelle ist. Die Weiterentwicklung der Zugriffskontrolle innerhalb von Zero Trust hat sie zu einem leistungsstarken Werkzeug im Umgang mit modernen Sicherheitsbedrohungen gemacht und gewährleistet eine robuste Verteidigung sowohl gegen externe als auch interne Bedrohungen.
Zitate
- 1: Was ist Zero Trust Security? Grundsätze der … – https://www.crowdstrike.com/cybersecurity-101/zero-trust-security/
- 2: Was ist Zero Trust? | Grundprinzipien und Vorteile – https://www.zscaler.com/resources/security-terms-glossary/what-is-zero-trust
- 3: Zero Trust Cybersecurity: „Niemals vertrauen, immer überprüfen“ – https://www.nist.gov/blogs/taking-measure/zero-trust-cybersecurity-never-trust-always-verify
- 4: Zero-Trust-Zugriffsrichtlinien: Richtlinienbasierter adaptiver Zugriff – https://cybertechaccord.org/zero-trust-access-policies-policy-based-adaptive-access/
- 5: Wie attributbasierte Zugriffskontrolle Zero-Trust erleichtert … – https://www.rightcrowd.com/2022/06/22/how-attribute-based-access-control-facilitates-zero-trust-security/
- 6: Überblick über das Zero-Trust-Einführungsframework – https://learn.microsoft.com/en-us/security/zero-trust/adopt/zero-trust-adoption-overview
- 7: Rolle der Führung bei der Bewältigung von Compliance-Problemen … – https://www.linkedin.com/pulse/role-leadership-tackling-compliance-issues-gopakumar-pillai
- 8: Zero-Trust-Modell – Moderne Sicherheitsarchitektur – https://www.microsoft.com/en-us/security/business/zero-trust
- 9: 7 Schritte zur Implementierung von Zero Trust, mit Beispielen aus der Praxis Von – https://www.techtarget.com/searchsecurity/feature/How-to-implement-zero-trust-security-from-people-who-did-it
- 10: Eine grundlegende Risikobewertungs- und Managementmethode – https://www.ncsc.gov.uk/collection/risk-management/a-basic-risk-assessment-and-management-method
- 11: So verbessern Sie das Risikomanagement mit Zero Trust … – https://www.microsoft.com/en-us/security/blog/2022/05/23/how-to-improve-risk-management-using-zero-trust-architecture/
- 12: Die 3 Arten von Sicherheitskontrollen (Experte erklärt) – https://purplesec.us/security-controls/
- 13: Balance zwischen Zugriffskontrolle: „Need to Know“ und „Least Privilege“ – https://www.businesstechweekly.com/cybersecurity/data-security/need-to-know-vs-least-privilege/
- 14: Zero Trust Maturity Model Version 2.0 – https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf
- 15: Cyber-Sicherheitsstrategie der Regierung 20222030–XNUMX – https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1049825/government-cyber-security-strategy.pdf
