Das Zero-Trust-Memo der Federal OMB informiert die Behörden über Fristen

Im Mai 2021 veröffentlichte die Biden-Administration Executive Order 14028 zur Verbesserung der Cybersicherheit des Landes nach den Angriffen von SolarWinds und Colonial Pipeline. Die Anordnung zielte darauf ab, die Cyber-Resilienz zu erhöhen und das Risiko für Regierungsbehörden zu verringern. Sie wurden angewiesen, innerhalb von nur 60 Tagen einen Plan für die Implementierung einer Zero-Trust-Architektur zu entwickeln. Einschreiben Antwort auf die Bestellung, Mark Sincevich, Bundesdirektor von Illumio, stellte fest, dass die Behörden einen operativen Fahrplan für den Aufbau und die Implementierung der Architektur in föderalen Systemen benötigten.

Diese Roadmap ist was Memorandum M-22-09, veröffentlicht am 26. Januar^th vom Office of Management and Budget (OMB), entwirft — eine föderale Zero-Trust-Architecture-Strategierichtlinie mit festen Fristen.

Es weist die Behörden an, OMB und CISA innerhalb von 60 Tagen nach Veröffentlichung des Memos einen Umsetzungsplan für das Geschäftsjahr 22-FY24 vorzulegen. In dem Memo wird klar und deutlich beschrieben, was die Agenturen auf technischer Ebene erreichen sollen, was bis wann zu tun ist und welche Budgetplanung erforderlich ist. Einige Meilensteine haben einen Zeitrahmen von 12 Monaten, andere 24 Monate. Das Memo enthält wichtige Hinweise dazu, wo sich die Behörden bis Ende des Geschäftsjahres 2024 in Bezug auf Zero Trust voraussichtlich befinden werden.

Das Memo bietet einen direkten Überblick zwischen dem, was die OMB von den Behörden erwartet, und dem, was eine Plattform oder Lösung bieten kann. Es ist nicht nötig, einen Vertrauensvorschuss zwischen einer schlecht definierten Anforderung und dem, was ein Anbieter zu bieten hat, einzugehen.

Die Forderungen des Memos sind ehrgeizig. Aber die Behörden haben fast drei Jahre Zeit, um ihre Zero-Trust-Haltung weiterzuentwickeln, und ich kann mir vorstellen, dass die Mehrheit bis Dezember 2024 entweder einen großen Prozentsatz dessen erreicht haben wird, was erforderlich ist, oder einen endgültigen Plan haben, wie dies erreicht werden soll. In dem Memo wird jedoch nicht spezifiziert, wie die Fortschritte gemessen und der Erfolg gemessen werden — und die Definition und Nachverfolgung dieser Kennzahlen wird für die Förderung der Akzeptanz von entscheidender Bedeutung sein.

Die fünf Zero-Trust-Säulen von CISA

Die in dem Memorandum dargelegten strategischen Ziele entsprechen dem Zero-Trust-Reifegradmodell der Cybersecurity and Infrastructure Security Agency (CISA), das fünf Säulen umfasst:

1. Identität
2. Geräte
3. Netzwerke
4. Anwendungen und Workloads
5. Daten

Wie Mark in seinem Blog feststellte, gibt es keine Technologie, die Agenturen implementieren können, um Zero Trust zu erreichen. Illumio kann jedoch zu vielen der in dem Memorandum genannten Ziele beitragen und diese direkt unterstützen. Im Rahmen der Identitätspfeiler sollte die Bundesregierung beispielsweise „ein vollständiges Inventar aller Geräte haben, die für behördliche Zwecke verwendet werden und Vorfälle auf diesen Geräten verhindern, erkennen und darauf reagieren können“.

Illumio kann die EDR-Funktionen (Endpoint Detection and Response) einer Behörde verbessern, indem es vollständige Einblicke in den Kontext bietet, um Risiken und Zusammenhänge zwischen Geräten zu verstehen. EDR-Tools können Ihnen sagen, was auf einem einzelnen Gerät passiert. Mit den Kartenfunktionen von Illumio können Sie die Interaktionen und Beziehungen zwischen Geräten verfolgen und sich ein klareres Bild davon machen, was erlaubt sein sollte und was nicht.

Und natürlich sind bestimmte Systeme wie Mainframes nicht mit EDR-Tools kompatibel, da diese Tools für die Installation auf einem Betriebssystem konzipiert sind. Illumio kann jedoch Flussdaten aus diesen Systemen aufnehmen und diese und ihre Interaktionen auf derselben Abhängigkeitskarte darstellen. Und diese detaillierte Karte der Abhängigkeiten in Echtzeit ist ein wichtiger erster Schritt zur Zero-Trust-Segmentierung.

Schutz von Netzwerken und Anwendungsworkloads

Der Schlüsselsatz des Memorandums zu Netzwerken lautet: „Behörden müssen sich von der Praxis verabschieden, ein breites unternehmensweites Netzwerk zu unterhalten, das eine bessere Sichtbarkeit oder den Zugriff auf viele verschiedene Anwendungen und Unternehmensfunktionen ermöglicht.“ Das übergeordnete Ziel des Netzwerkabschnitts besteht darin, die Netzwerkgrenzen in isolierte Umgebungen aufzuteilen. Also, mit anderen Worten: Segmentierung implementieren.

In Bezug auf die Arbeitsbelastung weist das Memorandum die Behörden an, „Anwendungen auf sichere Weise über das Internet zugänglich zu machen, ohne auf ein virtuelles privates Netzwerk (VPN) oder einen anderen Netzwerktunnel angewiesen zu sein“. Sie müssen mindestens eine nach innen gerichtete Anwendung des Federal Information Security Management Act (FISMA) Moderate identifizieren und dafür sorgen, dass sie voll funktionsfähig und über das öffentliche Internet zugänglich ist.

Zusammengenommen lautet die Botschaft: Sie können nicht davon ausgehen, dass Sie irgendetwas in Ihrem Netzwerk vertrauen können, und Sie müssen jede Anwendung schützen, als ob alles andere um sie herum nicht vertrauenswürdig wäre. Gehen Sie stattdessen von einer Sicherheitslücke aus, bei der jede Ressource in Ihrem Netzwerk von einem böswilligen Akteur kompromittiert werden könnte. Was können Sie tun, um sicherzustellen, dass es für sie wirklich schwierig ist, ihre Ziele zu erreichen?

Und genau hier kommen Illumio und Zero Trust Segmentation ins Spiel. Die Zero-Trust-Segmentierung, zu der auch die hostbasierte Mikrosegmentierung gehört, ist die Grundlage für Zero-Trust-Architektur zum Zwecke der präzisen Steuerung seitliche Bewegung im gesamten Netzwerk.

Ein hostbasierter Ansatz für die Gebäudesicherheit ermöglicht eine granulare Steuerung im Anwendung und Arbeitsaufwand gleichen Sie die Anforderungen des Memos aus, was ein netzwerkbasierter Segmentierungsansatz nicht auf einfache Weise bieten kann. Die Zero-Trust-Segmentierungstechnologie von Illumio unterstützt Behörden direkt dabei, die in der Mitteilung dargelegten Anforderungen an den Schutz von Anwendungen und Workloads zu erfüllen.

Sicherer Zugriff auf interne Anwendungen über das Internet

Wenn Sie eine Anwendung, die normalerweise intern ist, sicher über das Internet zugänglich machen, bedeutet das, dass jeder, der sich erfolgreich authentifiziert, in Ihrem internen Netzwerk direkten Zugriff darauf hat. Wenn diese Anwendung jedoch kompromittiert ist, sollte das nicht bedeuten, dass Ihr gesamtes Unternehmen gefährdet ist. Sie müssen eine Mikrosegmentierung rund um diese Anwendung einführen, um die Auswirkungen einer Sicherheitsverletzung zu begrenzen. Im Grunde benötigt jede Anwendung einen „Mikroperimeter“, eine Zero-Trust-Enklave. Illumio kann eine wichtige Rolle dabei spielen, dies zu ermöglichen.

Risikobasierte Transparenz und Überwachung

Natürlich sind Transparenz und Überwachung wichtige Bestandteile jeder Zero-Trust-Sicherheitsstrategie. von Illumio Abbildung der Anwendungsabhängigkeiten ermöglicht es Ihnen, den Datenverkehr zwischen Anwendungen und Workloads über Rechenzentren und Cloud-Plattformen hinweg in Echtzeit zu beobachten und so Abhängigkeiten und Konnektivität zu verstehen, sodass Sie sie entsprechend segmentieren können.

Illumio sammelt viele nützliche Informationen, die Überwachungsplattformen nutzen können, ohne den Aufwand — und das oft unterschätzte Risiko — einer Netzwerkinspektion. Zum Beispiel Illumio überlagert Schwachstellendaten von Drittanbietern mit der Anwendungsabhängigkeitskarte für einen risikobasierten Ansatz zur Priorisierung von Sicherheits- und Patch-Entscheidungen. Wenn Sie sich das Zero Trust Maturity Model von CISA ansehen, geht es hauptsächlich darum, was Sie zuerst tun.

Die Integration von Schwachstellen-Feed-Daten und Bedrohungsdaten ermöglicht eine risikobasierte Transparenz. Illumio nimmt Schwachstellen-Scan-Daten von Ihrem Lieblingsscanner in unsere Policy Compute Engine (PCE) auf. Auf diese Weise erhalten Sie Metadaten zu Sicherheitslücken zu jedem Workload, den Sie mit einer Ansicht der Workload-Konnektivität überlagern können. Auf dieser Grundlage erhalten Sie eine quantitative Gefährdungs- oder Risikobewertung, sodass Sie leicht nachvollziehen können, wie viele Risiken Sicherheitslücken auslösen und welche Anwendungen mit anfälligen Ports verbunden sind.

In der Regel hat ein Schwachstellenscanner keine Ahnung, wie exponiert eine Arbeitslast ist. Aber genau das hat Illumio. Die beiden bilden eine starke Kombination. Nehmen wir ein Beispiel.

Das Log4j-Sicherheitslücke ermöglichte es Hackern, die Kontrolle über Millionen von Servern zu übernehmen, sie herunterzufahren oder sie zu zwingen, aufgrund des weit verbreiteten fehlerhaften Codes Malware auszuspucken. Log4j hatte einen CVSS-Score (Common Vulnerability Scoring System) von 10.

Stellen wir uns jedoch vor, Sie haben nur einen Workload, auf dem Log4j ausgeführt wird, und dieser ist tief in Ihrem Rechenzentrum vergraben und hat nur wenige Verbindungen zu anderen Workloads. In der Zwischenzeit befindet sich eine weitere Sicherheitslücke mit einem Wert von 5 auf 10 Servern, die stark vernetzt sind.

Wenn Sie sich jetzt nur Ihre Schwachstellen-Scanner-Daten ansehen, kommen Sie zu dem Schluss, dass Sie den Log4j-Server besser sofort patchen sollten. Wenn Sie sich jedoch Ihr aktuelles Risiko ansehen, stellen Sie fest, dass diese 10 Server mit Sicherheitslücke 5, die eng miteinander verbunden sind, am stärksten gefährdet sind und zuerst gepatcht werden sollten.

Genau das können Sie anhand der risikobasierten Sichtbarkeit von Illumio erkennen. Beim Schwachstellenmanagement fehlt es oft an Priorisierung, und Illumio hilft dabei, die Sicherheitslücken zu priorisieren, die am stärksten gefährdet sind und am wahrscheinlichsten zuerst ausgenutzt werden.

Einführung eines Zero-Trust-Segmentierungsplans mit Illumio

Denken Sie also darüber nach, was das OMB-Memo verlangt. In 60 Tagen (Ende März) müssen die Behörden über einen Implementierungsplan für die Zero-Trust-Architektur verfügen, in dem detailliert beschrieben wird, wie sie die Ziele des Memos erreichen werden. Dazu gehört auch, wie sie die Planziele, die bis Ende des Geschäftsjahres 2024 abgeschlossen werden müssen, und diejenigen, die im Geschäftsjahr 2022 und im Geschäftsjahr 2023 abgeschlossen werden müssen, budgetieren — eine schwierige Aufgabe, die aufgrund der Zeitbeschränkungen umso schwieriger wird. Der beste Weg ist, klein anzufangen und über einen Zeitraum von drei Jahren zu expandieren.

Ein großer Teil des 60-Tage-Plans muss zeigen, wie Ihre Behörde die seitliche Bewegung eines Gegners stoppen kann. Dies sollte ganz oben auf der Prioritätenliste stehen. Bevor Sie die Zero-Trust-Segmentierung einführen, benötigen Sie eine Übersicht der Anwendungs- und Workload-Abhängigkeiten in Echtzeit.

Sie müssen sehen, was Sie segmentieren möchten. Sichtbarkeit ist also entscheidend, zusammen mit Sperren unnötig offener Ports. Letzteres können Sie mit einem von Illumio so genannten „Containment Switch“ erreichen, bei dem es sich in Wirklichkeit um ein Mikrosegment um einen bestimmten Port handelt. Illumio kann Schwachstellendaten aufnehmen, um die riskantesten Ports zu priorisieren, wodurch der Angriffsvektor reduziert wird. Ihre Behörde kann auch einen Plan zur Mikrosegmentierung hochwertiger Ressourcen (HVAs) wie kritischer Anwendungen oder Workloads vorlegen.

So könnte ein dreijähriger Rollout aussehen:

• GESCHÄFTSJAHR 22: Verschaffen Sie sich einen Überblick über Ihr Netzwerk, führen Sie Containment Switches mit Schwachstellenkarten ein, führen Sie HVAs für Mikrosegmente ein und integrieren Sie sie in Ihr SIEM
• GESCHÄFTSJAHR 23: Ausweitung der Segmentierungsbemühungen auf größere Bereiche der Behörde (z. B. Trennung von Produktion und Entwicklung), weitere Integration in das SIEM, Hinzufügen Grenzen der Durchsetzungund erweitern Sie auf klassifizierte Netzwerke
• GESCHÄFTSJAHR 24: Schließen Sie den Rollout der Mikrosegmentierung für nicht klassifizierte/klassifizierte Netzwerke ab, setzen Sie die anwendungsspezifische Durchsetzung fort und integrieren Sie sie in neue Serverversionen

Die Illumio Zero Trust Segmentierung kann jedes dieser Ergebnisse ermöglichen. Und während des Dreijahreszeitraums können sich Teile einer Behörde während des Rollouts gleichzeitig an verschiedenen Stellen befinden. Illumio ist flexibel und kann, da es von der Netzwerkarchitektur entkoppelt ist, auf eine unbegrenzte Anzahl von verwalteten Workloads skaliert werden.

Illumio stoppt die seitliche Ausbreitung von Malware und Cyberangriffen, sodass Ihre Behörde ihre Mission effektiver erfüllen kann. Für weitere Informationen:

• Nehmen Sie Kontakt mit uns auf sprechen Sie mit unseren Zero-Trust-Experten auf Bundesebene.
• Besuchen Sie unsere Seite mit föderalen Lösungen um mehr darüber zu erfahren, wie Illumio Behörden und Behörden beim Aufbau einer Zero-Trust-Architektur mit risikobasierter Transparenz und Zero-Trust-Segmentierung unterstützt.