Drei Erkenntnisse zu Zero Trust aus der Executive Order 14028

Im Mai 2021 veröffentlichte die Biden-Administration Exekutivverordnung (EO) 14028, beauftragt Bundesbehörden mit der Aufgabe, die Cybersicherheit zu verbessern, und empfiehlt ausdrücklich Zero-Trust-Sicherheitspraktiken.

Die EO folgte auf die COVID-19-Pandemie, die die digitale Transformation für viele Organisationen im öffentlichen und privaten Sektor beschleunigte. Fast über Nacht wechselten Unternehmen zur Telearbeit, und die Cloud-Migration wurde zu einer immer dringlicheren Anforderung.

Darüber hinaus wirkten sich mehrere aufsehenerregende Cyberangriffe erheblich auf die Lieferketten aus, darunter SolarWinds, Koloniale Pipeline, und JBS Fleischverarbeitung.

Jetzt, ein Jahr nach EO 14028, ist es möglich, zurückzublicken und zu sehen, welche Fortschritte bei der Umsetzung erzielt wurden Zero Trust in allen Bundesbehörden.

Gary Barlet, Federal Field CTO von Illumio, diskutierte gemeinsam mit Nicolas M. Chaillan, dem ehemaligen CISO der U.S. Air Force and Space Force, in einem Webinar, das von der Institut für kritische Infrastrukturtechnologie (ICIT).

Sehen Sie sich das Webinar hier an:

Lesen Sie weiter, um drei wichtige Erkenntnisse aus ihrer Diskussion zu erfahren.

EO 14028 trug dazu bei, die Zero-Trust-Implementierung zu verbessern

Sowohl Barlet als auch Chaillan sind sich einig, dass seit der Exekutivverordnung vom vergangenen Mai Fortschritte in Richtung Zero Trust erzielt wurden. Die Verordnung hat den Sicherheitsteams von Bundesbehörden — und privaten Organisationen — geholfen, ihre Diskussionen fortzusetzen und Finanzmittel für Zero-Trust-Initiativen zu erhalten.

Wie Barlet und Chaillan sagten: „Eine Executive Order tut nie weh.“

Am wichtigsten ist, dass die Sicherheitsteams jetzt über von der Regierung unterstützte Beweise für Zero-Trust-Sicherheitsstrategien verfügen.

„Das macht es für diejenigen, die Zero Trust implementieren wollen, viel hilfreicher, wenn sie etwas haben, auf das sie verweisen und das sie als Referenz verwenden können“, so Barlet.

Und für viele Behörden begannen die Diskussionen über Zero Trust mit der Executive Order. Laut Challain hat es dazu beigetragen, die Meinung der Menschen über Zero Trust zu ändern und den Konsens weg von traditionellen Cybersicherheitsmodellen hin zu modernen Best Practices zu bewegen.

Das folgt Der wachsende Erfolg von Zero Trust im privaten Sektor in den letzten Jahren — und zeigt, wie weit Bundesregierung und Militär bei der Cybersicherheit hinterherhinken.

„Die nächsten Jahre werden eine interessante Zeit mit weiteren Zero-Trust-Erfolgen sein. Es ist ein Mentalitätswandel, der für die Zukunft notwendig ist, um erfolgreich zu sein „, erklärte Barlet.

Bundesbehörden nutzen Zero Trust, um die Auswirkungen unvermeidlicher Verstöße zu minimieren

Jenseits einer Exekutivverordnung Zero Trust hat echte Vorteile zum Schutz von Unternehmen vor den ausgeklügelten Cyberbedrohungen von heute.

Ältere Sicherheitstools haben sich auf den Perimeter konzentriert, aber die verteilte, hypervernetzte Natur moderner Netzwerke bedeutet, dass der Perimeter nicht mehr so existiert wie früher. Dadurch sind Netzwerke anfällig für Angriffe.

„Geschichte für Geschichte, Jahr für Jahr hören wir, wie Leute all dieses Geld ausgeben, um verhindern ein Verstoß, aber es gibt keine Diskussion darüber, was passiert nach es kommt zu einem Verstoß „, sagte Barlet.

EIN Die Zero-Trust-Strategie geht davon aus, dass es zu Sicherheitsverletzungen kommen und bietet Möglichkeiten, die Auswirkungen eines Angriffs zu mildern, sobald er stattfindet.

Sowohl Barlet als auch Challain sind sich jedoch einig, dass es einige gegeben hat Verwirrung darüber, was Zero Trust in der Praxis bedeutet — und wie es sich in bestehende Sicherheitsarchitekturen einfügt.

„Zero Trust scheint zu bedeuten, dass Sie nicht versuchen werden, Verstöße zu verhindern — und das ist nicht der Fall“, erklärte Barlet. „Wir werden nicht aufgeben zu versuchen, eine Sicherheitsverletzung zu verhindern, aber lassen Sie uns auch für den einen Fehler oder die Sicherheitslücke planen, die das Eindringen einer Sicherheitsverletzung ermöglicht, und wie wir einen katastrophalen Angriff verhindern können.“

Insgesamt empfahlen Barlet und Challain Agenturen, die Netzwerkabläufe transparent zu machen, unnötige Kommunikation abzuschalten und eine Zero-Trust-Segmentierung zu implementieren, auch bekannt als Mikrosegmentierung, um die Ausbreitung einer Sicherheitsverletzung zu begrenzen.

Zero-Trust-Segmentierung für Bundesbehörden: Fangen Sie einfach irgendwo an

Obwohl es die Idee der Netzwerksegmentierung schon seit Jahren gibt, erörterten Barlet und Challain, wie die heutigen weitläufigen Netzwerke traditionelle Segmentierungsmethoden mithilfe von IP-Adressen oder VLANs nahezu unmöglich machen. Beide befürworten eine Segmentierung in einem viel kleineren Maßstab.

Insbesondere, so Barlet, benötigen Netzwerke Null Vertrauen Segmentierung zum Schutz vor der ständig wachsenden Anzahl von Benutzern, Anwendungen und Umgebungen, die Sicherheitslücken für Angreifer bieten.

Trotz der dringenden Notwendigkeit einer Zero-Trust-Segmentierung stellten Barlet und Challain fest, dass viele Agenturen sind von dem Prozess überfordert.

„Sie müssen wissen, wer wo und wann auf was zugreift. Dann müssen Sie wissen, welche dieser Kommunikationsflüsse unnötig sind und blockiert werden können. Wenn man all diese Fragen in ihrer Gesamtheit betrachtet, ist das sehr entmutigend „, sagte Barlet.

Es ist nicht erforderlich, ein ganzes Zero-Trust-Segmentierungsprojekt auf einmal abzuschließen. Barlet und Challain empfehlen ein inkrementeller Ansatz um hohe Kosten, Verwirrung und möglichen Verwaltungsaufwand zu vermeiden.

„Versuche nicht, alles auf einmal zu machen. Fangen Sie einfach irgendwo an „, sagte Barlet.

Barlet und Challain haben zu Beginn den Umfang eines Zero-Trust-Segmentierungsprojekts eingegrenzt und waren sich einig, dass Agenturen:

• Vermeiden Sie es, von den Details überwältigt zu werden.
• Verbessern Sie sofort ihre Onlinesicherheit Körperhaltung.
• Nutzen Sie die Gelegenheit, die Wirksamkeit von Zero Trust für zukünftige Initiativen unter Beweis zu stellen.

„Die einzige Möglichkeit, auf Ihrer Zero-Trust-Reise etwas zu erreichen, besteht darin, loszulegen. Erfolg führt zu Erfolg „, so Barlet.

Erfahren Sie mehr über Illumio und Zero-Trust-Segmentierung:

• Erfahre mehr darüber, wie Regierungsorganisationen kann die Ausbreitung von Sicherheitslücken mit Illumio stoppen.
• Laden Sie die Forrester Wave-Berichte herunter Benennung von Illumio als führendes Unternehmen sowohl im Bereich Zero Trust als auch Mikrosegmentierung.
• Nehmen Sie an der Zero Trust Impact Assessment von ESG teil um zu erfahren, wie Sie mehr aus Ihrer Zero-Trust-Strategie herausholen können.
• Kontaktieren Sie uns noch heute um eine Beratung und Vorführung zu vereinbaren.