Unsere liebsten Zero-Trust-Geschichten vom August 2023

Wir sind zurück mit einer weiteren Zusammenfassung der Zero Trust-Neuigkeiten!

Zero Trust steht bei Sicherheitsexperten und Geschäftsführern nach wie vor an erster Stelle. Es war ein wichtiger Schwerpunkt der diesjährigen Black Hat USA-Konferenz. Und an anderer Stelle, da es mehr bundesstaatliche Vorschriften und Rahmenbedingungen für Cybersicherheit gibt (wie die des Weißen Hauses Umsetzungsplan für die nationale Cybersicherheitsstrategie) eingeführt und aktualisiert werden, wobei die Zero-Trust-Grundsätze — von Verstößen und geringsten Privilegien ausgehen — weiterhin im Vordergrund stehen.

Hier sind einige der Zero-Trust-Geschichten und -Perspektiven, die uns in diesem Monat aufgefallen sind.

Tech-Interessengruppen wollen ein Zero-Trust-Framework, um die Öffentlichkeit vor KI zu schützen (CyberScoop, Tonya Riley)

Angesichts des zunehmenden Interesses und der Akzeptanz von KI hat sich eine Gruppe von Technologiekonzernen von öffentlichem Interesse gegen einen „zunehmend selbstregulierenden Ansatz“ für künstliche Intelligenz gewehrt. Stattdessen fordern sie einen „Zero-Trust-Ansatz für die KI-Governance“. Die Gruppe ist der Ansicht, dass KI strenger reguliert und überwacht werden muss, da die Technologie auf dem Markt weiter Gestalt annimmt.

Tonya Riley von CyberScoop erklärt: „Der [vorgeschlagene] Rahmen ist nur der jüngste Vorstoß der Zivilgesellschaft, das Weiße Haus dazu zu bewegen, eine strengere Herangehensweise an die KI-Regulierung zu verfolgen, während die Regierung an einer erwarteten KI-Exekutivverordnung arbeitet.“

Weitere Informationen zur mit Spannung erwarteten KI-Exekutivverordnung finden Sie hier.

KI war auch ein zentrales Thema der diesjährigen Black Hat- und DEF CON-Veranstaltungen — bei letzteren fand ein spezielles „AI Village“ statt, in dem Tausende ethischer Hacker an verschiedenen Red-Teaming-Übungen teilnahmen, die darauf abzielten Entdecken von Sicherheitslücken in den neuesten KI-Modellen.

Weitere Informationen zu den wichtigsten Erkenntnissen von Illumio aus Black Hat 2023 finden Sie in dieser Blogbeitrag.

Sicherheitsorientiertes Design: 10 Cybersicherheitsprioritäten für ein Zero-Trust-Rechenzentrum (VentureBeat, Louis Columbus)

Laut neuen Forschung, erklärt Louis Columbus von VentureBeat, dass zu den anfälligsten Bedrohungsvektoren für Rechenzentren „Kundensupport, Kundenservice und Supportportale für Ticketmanagement gehören, die auf Rechenzentrumsservern laufen“.

Wenn eine Sicherheitsverletzung nicht schnell entdeckt oder behoben wird, können Angreifer Tausende (sogar Millionen) vertraulicher Kundendaten stehlen und die wertvollsten Geschäftsinformationen eines Unternehmens stehlen.

Der Schlüssel zum Aufbau der Cyber-Resilienz im Rechenzentrum liegt laut Louis darin, mit Zero Trust zu beginnen: Oder „der Glaube, dass das Rechenzentrum bereits angegriffen wurde und weiterer Schaden eingedämmt und sofort gestoppt werden muss“.

Er fährt fort, dass „Angreifer ihr Handwerk kontinuierlich verfeinern, um Lücken in den Sicherheitsarchitekturen und Tech-Stacks von Rechenzentren zu finden und auszunutzen. Diese Lücken treten häufig auf, wenn seit langem bestehende Sicherheitsplattformen vor Ort ohne die richtigen Konfigurationen in die Cloud ausgedehnt werden, wodurch die Systeme anfällig für Sicherheitslücken sind.“

Für Unternehmen, die ihre Sicherheitslage mit einer robusten Zero-Trust-Architektur stärken möchten, teilt Louis das mit NIST empfiehlt, der Mikrosegmentierung, auch Zero-Trust-Segmentierung genannt, von Anbietern wie Illumio neben anderen identitätsbasierten Governance-, Authentifizierungs- und Netzwerk- und Endpunktsicherheitsmanagementlösungen Priorität einzuräumen.

Sehen Sie warum 60% der Unternehmen Laut einer Studie von Gartner wird das Streben nach Zero Trust bis 2026 mehr als eine Form der Mikrosegmentierung einsetzen.

Eine bessere Definition von Zero Trust (LinkedIn, Don Yeske)

Mir hat dieser LinkedIn-Artikel des Direktors für nationale Sicherheit des Department of Homeland Security (DHS) sehr gut gefallen. Darin fordert er eine einheitlichere, zugänglichere Definition von Zero Trust — eine Definition, die Führungskräfte aller Abteilungen und Größen zu schätzen wissen und in die Tat umsetzen können.

Er argumentiert, dass Zero-Trust-Mandate nicht nur ein Schlachtruf für Cybersicherheitsexperten sind, sondern heute für alle Geschäfts- und Organisationsleiter unverzichtbar sind.

Er erklärt: „Erfolg hängt von einer gemeinsamen Vision ab, die jeder nicht nur versteht, sondern unterstützt und für die jeder bereit ist, zu arbeiten und Opfer zu bringen. Zero-Trust wird in Bezug auf Zeit, Geld und Aufmerksamkeit mit anderen Transformationen konkurrieren. Es werden nicht Cybersicherheitsexperten sein, die letztlich das Ergebnis dieser mehrjährigen Transformation bestimmen. Es werden Führungskräfte aller Disziplinen, auf allen Ebenen und in allen Organisationen sein, die für dieses gemeinsame Ziel an einem Strang ziehen müssen.“

Kurz gesagt, er schlägt dies als neuen Slogan für Zero Trust vor: „Zero Trust ist eine Änderung unseres Ansatzes zur Cybersicherheit: Von netzwerkzentrierter Sicherheit zu datenzentrierter Sicherheit.“

Für mehr föderale Zero-Trust-Einblicke, auschecken diese Folge von Illumios The Segment: Ein Zero Trust Leadership Podcast.

Das ist alles für diesen Monat. Wir werden bald mit weiteren Zero-Trust-Geschichten zurück sein!