Was die neue Sicherheitspolitik von Präsident Biden für die Zukunft des Cyberspace bedeutet

Dieser Artikel wurde ursprünglich veröffentlicht am LinkedIn von Andrew Rubin.

Die Biden-Administration hat gerade ihr Erbe in der Cybersicherheitspolitik mit einer umfassenden Exekutivverordnung gefestigt, die darauf abzielt, die Widerstandsfähigkeit der Regierung der Vereinigten Staaten zu verbessern und das Risiko zu verringern. Es ist das erste Mal seit fast zwei Jahrzehnten, dass unsere Regierung versucht, ihren Cybersicherheitsplan neu zu schreiben, und es kommt keinen Tag zu früh. Gegenspieler haben heute mehr denn je die Zeit, das Personal und die Ressourcen, um neuartige Eindringungsmethoden zu verfolgen — und wie die jüngsten Angriffe auf Colonial Pipeline und SolarWinds gezeigt haben, verzeichnen sie große Erfolge bei ihren Ausnutzungsmaßnahmen.

Dies ist nicht nur ein amerikanisches Problem, ein föderales oder ein politisches Problem — eine Ansteckung der Selbstgefälligkeit hat sich in das System eingeschlichen. Deshalb begrüße ich diese Exekutivverordnung mit offenen Armen — denn sie ist ein Aufruf zum Handeln, dass wir die Art und Weise, wie wir uns schützen, ändern müssen.

Der Zeit immer einen Schritt voraus

Die US-Bundesregierung hinkt bei der Modernisierung der Informationstechnologie und der Cybersicherheit seit geraumer Zeit in kläglichem Rückstand. Der Minister für Innere Sicherheit der Vereinigten Staaten, Alejandro Mayorkas, beschrieb den aktuellen Stand der Cybersicherheit auf Bundesebene in Amerika am besten, als er seine Vision für nationale Cyberresistenz am 31. März: „Unsere Regierung wurde letztes Jahr gehackt, und wir wussten monatelang nichts davon. Erst als eines der weltbesten Cybersicherheitsunternehmen selbst gehackt wurde und die Regierung alarmierte, fanden wir es heraus. Dieser Vorfall ist einer von vielen, die unterstreichen, dass die Bundesregierung die Cybersicherheitsmaßnahmen modernisieren und unsere Partnerschaften vertiefen muss.“

Wie kommt es, dass eines der reichsten und innovativsten Länder der Welt in der Vergangenheit hinterherhinkt, wenn es um die Sicherung der nationalen Infrastruktur geht? Man könnte meinen, dass die Milliarden von Bundesgeldern, die für die Sicherung staatlicher Vermögenswerte verwendet werden, die Auswirkungen von Bedrohungen von außen abschwächen würden.

Das Problem ist jedoch nicht, dass uns die Ressourcen oder das Talent oder der Zugang zu erstklassigen Cyberabwehrtechnologien fehlen — die USA sind schließlich die stolze Heimat vieler globaler Cybersicherheitsführer. Stattdessen ist das, was Ministerin Mayorkas meiner Meinung nach dargelegt hat, eine Anklage gegen das gesamte Cybersicherheitsmodell — wenn nicht für die ganze Welt, dann zumindest für die Bundesregierung.

Weltweit sind wir gab letztes Jahr 173 Milliarden US-Dollar für Cybersicherheit aus, aber wir haben mehr Sicherheitslücken als jemals zuvor in der Geschichte — und es sind die katastrophalsten Sicherheitslücken aller Zeiten. Trotz unserer gescheiterten Strategie und der schrecklichen Ergebnisse verfolgen wir in Bezug auf Cybersicherheit auch heute noch den gleichen Ansatz wie vor 20 Jahren. Unternehmen versuchen zu verhindern, dass Angriffe den Perimeter infiltrieren, erkennen Angriffe dann, wenn sie durchkommen, und verlassen sich darauf, dass auf Vorfälle reagiert wird, um das Chaos zu beseitigen.

Die Zeiten, in denen Prävention und Erkennung allein Ihre Behörde, Ihr Unternehmen oder Ihre Organisation gerettet haben, sind vorbei. In Ihrer Infrastruktur gibt es derzeit Angriffe, von denen Sie nicht wissen, dass sie da sind. Sie verstecken sich. Sie verkleiden sich. Sie versuchen, sich fortzubewegen, um Ihr geistiges Eigentum, Ihre Kundendaten und Regierungsgeheimnisse zu stehlen oder alles als Lösegeld zu erpressen. Und leider trägt unser derzeitiger Cybersicherheitsansatz kaum dazu bei, dass diese Angriffe zu groß angelegten Cyberkatastrophen werden.

Auf zum Ground Zero

Diese Exekutivverordnung bestätigt schließlich, dass die Cybersicherheit des Bundes Das Modell ist veraltet, da der erste Entwurf des neuen Sicherheitsdesigns entworfen wurde. Der neue Ansatz lässt sich in zwei Worten zusammenfassen: Zero Trust.

Wählen Sie einen Anbieter und Sie werden eine Million Zero-Trust-Definitionen finden. Forrester hat den Begriff vor mehr als einem Jahrzehnt veröffentlicht, und ein aktueller Blog Der Forrester-Analyst Steve Turner formulierte es so: „Zero Trust ist nicht ein Produkt oder eine Plattform; es ist ein Sicherheitsframework, das auf dem Konzept ‚Niemals vertrauen, immer verifizieren' und ‚von einer Verletzung ausgehen' basiert.“

In Bezug darauf, wie Zero Trust auf Bundesebene aussieht, wird es eine Reihe von Kernkomponenten für die erfolgreiche Umsetzung und Umsetzung einer Zero-Trust-Strategie geben. Zugriff, Identität und Segmentierung sind drei Kerntechnologien, die meiner Meinung nach in großem Maßstab erforderlich sein werden. Wenn Sie Google Authenticator, Authy oder eine andere Multifaktor-Authentifizierungs-App verwendet haben, haben Sie beispielsweise einen Schritt in Richtung Zero Trust gemacht. Es gibt jedoch grundlegende Designprinzipien, die unabhängig davon erforderlich sind, welcher Definition Sie folgen.

Als Ausgangsprinzip muss die Bundesregierung unter dem“von einem Verstoß ausgehen“ Mentalität, also die Denkweise, dass Angriffe bereits in der Infrastruktur vorhanden sind und neue Angriffe in Zukunft wieder durchkommen werden. Von diesem strategischen Ausgangspunkt aus kann sich die Cyberabwehr des Bundes dann besser darauf vorbereiten, gegnerische Angriffe in einer Cloud, einem Netzwerk oder Rechenzentrum zu stoppen. Wir haben auf die harte Tour gelernt, dass eine Effektivität von 99,9% nicht ausreicht, wenn 0,1% der Verstöße die Steuerzahler Milliarden von Dollar kosten oder die Schließung kritischer Infrastrukturen wie strategischer Kraftstoffleitungen erzwingen. Stattdessen geht es darum, sich proaktiv auf Sicherheitslücken vorzubereiten, damit Unternehmen deren Reichweite und Auswirkungen minimieren können.

Um noch ein bisschen weiter zu expandieren, sollte die Regierung den Prinzipien Least Privilege und Explicit Trust folgen. Das bedeutet, dass die Kommunikation innerhalb Ihrer Infrastruktur (zwischen Anwendungen, Netzwerken, Clouds, Rechenzentren oder Geräten) jederzeit über die geringstmöglichen Rechte verfügen sollte und dass Behörden verpflichtet werden sollten, der Kommunikation ausdrücklich zu vertrauen, bevor sie zwischen diesen Systemen stattfinden darf. Diese Prinzipien hätten beispielsweise verhindern können, dass der SolarWinds-Angriff so viel Schaden anrichtet. Die Malware wäre zwar in der Infrastruktur gewesen, aber isoliert und nicht in der Lage, so weitreichende Schäden anzurichten.

Die neue Cyber-Normalität

Ministerin Mayorkas erklärte: „Wir müssen unsere Denkweise grundlegend ändern und anerkennen, dass Verteidigung mit Widerstandsfähigkeit einhergehen muss. Um unsere Cyberabwehr zu verbessern, sind mutige und sofortige Innovationen, umfangreiche Investitionen und die Erhöhung der Messlatte für die grundlegende Cyberhygiene dringend erforderlich. Wir müssen Investitionen innerhalb und außerhalb der Regierung entsprechend priorisieren.“

Null Vertrauen ist mehr als nur ein nationaler Cybersicherheitsrahmen — es ist etwas, das sich jedes Unternehmen, jede Organisation oder Einzelperson zu eigen machen kann, um echte Cyberresistenz zu erreichen. Die Biden-Administration setzt sich nicht für einen Sturz der Sicherheitstools und -technologien ein, die die heutige Welt antreiben und schützen, sondern eine strategische Denkweise, um diese Lösungen zu ergänzen, um unsere Cybersicherheitsabwehr weiter zu stärken und unsere Abwehrmaßnahmen zu verstärken.

Die Modernisierung der Cybersicherheit auf Bundesebene kann natürlich nicht auf einmal erfolgen, aber sie muss mit Kontrollen beginnen, die böswillige Aktivitäten isolieren, sobald sie bereits in die Bundesnetzwerke eingedrungen sind. Es muss mit einer behördenübergreifenden Denkweise von Sicherheitsverletzungen beginnen. Und es muss mit der Einführung von Zero-Trust-Strategien in großem Maßstab beginnen.