Wie Bundesbehörden ein Zero-Trust-Pilotprojekt ins Leben rufen können

Ich habe letzte Woche mit einem Leiter der Abteilung für Bundessicherheitsoperationen einer zivilen Behörde gesprochen. Zero Trust erregt weiterhin seine Aufmerksamkeit, vor allem am Endpunkt. Er möchte in die Zero-Trust-Prinzipien eintauchen, wenn der unvermeidliche Tag aus dem Büro des CIO kommt, an dem er eine Zero-Trust-Architektur. Er gab auch an, dass sein CIO den Compliance-Druck auf die HVAs (hochwertige Vermögenswerte) der Behörde ausübt. Sogar dieser Filialleiter hat seine eigene Untergruppe von HVAs. Ich bin mir sicher, dass dieser Druck etwas mit dem Wunsch zu tun hat, ihren FISMA-Gesamtwert zu verbessern — da in einem Teil der Scorecard ausdrücklich HVAs genannt werden.

In dieser Agentur herrscht zwar ein „Buzz“ um Zero Trust, aber es kann überwältigend sein, bei der Auswahl einer klar definierten Veranstaltung oder eines klar definierten Anwendungsfalls für den Start eines Projekts zur Sache zu kommen. Das erinnert mich an jemanden, der einen Roman schreiben möchte und nicht weiß, wo oder wie er anfangen soll. Es ist zwar immer gut, die Prinzipien des Schreibens zu lernen, aber es wird nie genug sein — genauso wie es niemals ausreichen wird, nur die Prinzipien von Zero Trust zu kennen. Beim Schreiben selbst beginnt man, die Gewohnheit und Konsequenz des Schreibens zu entwickeln. Wenn Sie einen Roman schreiben möchten, führen Sie aus Gründen der Konsistenz ein Tagebuch und suchen Sie nach der Gelegenheit, Artikel oder sogar Kurzgeschichten zu schreiben, um Ihre Schreibfähigkeiten zu erweitern.

Wenn Sie Zero Trust in Ihrem Unternehmen implementieren möchten, sollten Sie zunächst die kritischen Sicherheitsprioritäten und die aktuellen Zero-Trust-Funktionen herausfinden. Definieren Sie, wie Ihr gewünschter Zero-Trust-Endstatus aussehen würde. Wenn Sie ein eng umrissenes Zero-Trust-Problem, Ihre Ziele und das gewünschte Ergebnis haben, ist es einfacher, die Unterstützung Ihrer wichtigsten Stakeholder einzuholen.

NIST 800-207 gibt dies an, wenn es heißt, Zero Trust ist eine Reise, und das Ziel sollte darin bestehen, Zero Trust schrittweise zu implementieren. Sie möchten sich später nicht überwältigen lassen, wenn Sie versuchen, diesen Roman ohne eine oder zwei Kurzgeschichten zu schreiben. Warum auf ein überzeugendes externes Ereignis wie eine Sicherheitsverletzung, Malware oder einen Zero-Day-Angriff warten? Starten Sie noch heute Ihr Zero-Trust-Pilotprojekt.

Um einen guten Ausgangspunkt für das Zero-Trust-Pilotprojekt des Leiters der Niederlassung zu empfehlen, wollte ich mehr über seine HVAs erfahren — und darüber, wie wichtig es ist, die Sichtbarkeit von HVAs zu verbessern — ihre Komponenten und legitimen Verbindungen. Ein paar wichtige Fragen sind:

1. Welche Anwendungen gelten als HVAs?
2. Was sind die Anwendungskomponenten dieser HVAs?
3. Wie sieht die Anwendungsebene, die Netzwerk- und Recheninfrastruktur aus?
4. Verwenden Sie containerisierte Anwendungen?
5. Was sind die legitimen Anwendungs-/Workload-Verbindungen zur HVA?
6. Was sind die legitimen Endbenutzer- und Endpunktverbindungen zur HVA?

Sichtbarkeit und genaue Daten zu den Komponenten und Verbindungen zu HVAs sind unerlässlich. Die Antworten auf diese Fragen helfen bei der Beantwortung der Frage „Wo soll ich anfangen?“

Sobald sie die HVA-Anwendungen eingegrenzt haben, besteht der nächste Schritt darin, die vorhandenen Zero-Trust-Funktionen zu bewerten.

Der aktuelle Ansatz der Behörde zur Sicherung ihrer HVAs deckt ihre blinden Flecken auf und weist auf Möglichkeiten hin, Zero Trust zu ermöglichen.

Aufgrund der raschen Umstellung auf Telearbeit war es auch wichtig zu verstehen, wie sich ihre HVA-Sicherheitslage entwickelt hat.

Ich habe den Filialleiter gebeten, mir mehr über seine Endgeräte zu erzählen. Die Niederlassung implementiert derzeit Carbon Black EDR zur Bedrohungserkennung. Wie Sie vielleicht wissen, zeichnet Carbon Black kontinuierlich Endpunktdaten auf und speichert sie, sodass Sicherheitsoperationen Experten können Bedrohungen in Echtzeit für eine „Attack Kill Chain“ visualisieren. In den meisten Fällen kann es zu spät sein, wenn der Angriff bereits stattgefunden hat. Ihre Mission könnte gefährdet sein oder Ihre Daten sind bereits exfiltriert.

Um Zero Trust wirklich am Endpunkt zu implementieren, müssen Sie Malware stoppen, bevor sie ausgeführt wird — und vor allem verhindern, dass sich die Malware lateral ausbreitet. Die Behörde kann ihre Investitionen in Endgeräte und EDR erhöhen, indem sie die eingehenden Peer-to-Peer-Verbindungen zu Endpunkten proaktiv kontrolliert, indem sie eine „Zulassungsliste“ legitimer Verbindungen verwendet und alles andere ablehnt. Dies ist das Herzstück von Zero Trust am Endpunkt. Er hat sicherlich die Gelegenheit, ein Zero-Trust-Pilotprojekt an den Endpunkten der Filiale zu starten.

Als ich die HVAs im Zusammenhang mit lateralen Bewegungsangriffen innerhalb des Rechenzentrums und der Cloud-Umgebung etwas genauer untersuchte, stellte der Filialleiter fest, dass Verlust oder Korruption schwerwiegende Auswirkungen auf die Fähigkeit der Filiale haben würden, ihren Auftrag zu erfüllen. Bei den HVAs handelt es sich um eine Kombination jahrelanger gesammelter Daten. Die beteiligten Anwendungen haben mit der Analyse und Visualisierung dieser Daten zu tun. Bis heute konzentrierte sich der Großteil ihrer Investitionen in Zero Trust auf Perimeter Netzwerksegmentierung und zur Benutzeridentität und Zugriffssteuerung. Diese Lösungen lösen nicht die Schwächen eines offenen und flachen internen Netzwerks.

Wenn Sie an einer echten Zero-Trust-Architektur festhalten, müssen Sie davon ausgehen, dass bereits ein Verstoß stattgefunden hat. Sobald sich das Paket in Ihrem Netzwerkperimeter befindet, werden böswillige Akteure direkt auf Ihre HVAs zusteuern, ohne dass ihnen etwas im Weg steht. Natürlich ist die Sicherung des Ost-West-Verkehrs von HVAs ein weiterer Bereich, in dem jetzt ein Zero-Trust-Pilotprojekt beginnen kann.

Wir haben die Endpunkte und HVAs seiner Niederlassung als zwei Bereiche identifiziert, in denen ein Zero-Trust-Pilotprojekt gestartet werden soll.

Der nächste Schritt besteht darin, die Anzahl der Endpunkte und die Anzahl der Workloads und Anwendungen zu zählen, die Teil des Pilotprojekts sein werden. Ein kleines Pilotprojekt kann nur 50 Workloads und Endpunkte oder bis zu ein paar hundert umfassen. Das Pilotprojekt umfasst die Segmentierung und Mikrosegmentierung dieser Elemente. Der Schlüssel liegt darin, sich nicht von potenzieller Komplexität überwältigen zu lassen.

Nächster Schritt: Host-basierte Mikrosegmentierung

Der nächste Schritt besteht darin, das zu laden, was NIST 800-207, Abschnitt 3.1.2, als „hostbasierte Mikrosegmentierung mithilfe von Softwareagenten“ bezeichnet. Mit Illumios Lösung, du lädst ein Lightweight Softwareagent auf jedem Workload, jeder Anwendung oder jedem Server. Der Agent meldet lediglich den Kontext und die Telemetrie in Ihrem Netzwerk an ein „zentrales Gehirn“ zurück, das in Echtzeit eine grundlegende Übersicht der Anwendungsabhängigkeiten erstellt. Diese Karte ist aus Sicht der Überwachung von entscheidender Bedeutung, da sie NIST 800-53 und dem RMF (Risikomanagement-Framework) entspricht. Der erste RMF- „Bucket“ ist identifizieren, bietet eine Echtzeit-Abbildung der Anwendungsabhängigkeiten zur Durchsetzung Mikrosegmentierung politik. Bevor Sie eine Zero-Trust-Richtlinie verbessern oder durchsetzen können, müssen Sie sehen, was in Ihrem Netzwerk vor sich geht — aus Anwendungs- und Workload-Sicht.

Die Einführung eines Zero-Trust-Pilotprojekts mit hostbasierter Mikrosegmentierung kann weniger als fünf Tage in Anspruch nehmen, insbesondere wenn der Umfang und die gewünschten Ergebnisse klar definiert sind und die Person, die mit diesem Pilotprojekt beauftragt ist, geschult wird, wie sie am effizientesten vorgehen kann.

Das einzige Zögern des Filialleiters war auf Ressourcenbeschränkungen zurückzuführen. Er hatte keine Person, die er sich diesen Bemühungen widmen konnte. Lohnt sich eine Investition von drei bis fünf Tagen, um Ihr Schreiben zur Gewohnheit zu machen — Ihr Zero-Trust-Wissen vom Studium bis zur tatsächlichen Umsetzung zu erweitern?

Neben einem klar definierten Umfang ist es wichtig, ein klar definiertes und messbares Ergebnis zu haben, um Ihr Zero-Trust-Pilotprojekt intern zu verkaufen. Verbesserungen in bestimmten Bereichen der FISMA CIO-Ergebnisse sind nur eines der gewünschten Ergebnisse und Messgrößen für den Projekterfolg, die die Behörde möglicherweise in Betracht ziehen sollte. Zum Beispiel kann die Zweigstelle der Agentur das Illumio verwenden Verkehrsmeldung um die Identität und den Umfang der HVA-Anwendungskomponenten und -verbindungen zu überprüfen und die Mikrosegmentierung als ausgleichende Kontrolle zu verwenden, um die Schutzwerte zu verbessern. Es kann auch die von Illumio verwenden Karten der Sicherheitslücken um zu überprüfen, ob ein anfälliges System als lateraler Angriffspfad genutzt werden kann, wodurch seine FISMA-Werte weiter verbessert werden. Diese Kennzahlen und die Sichtbarkeit sind angesichts der jüngsten Hackerangriffe auf Netzwerke der US-Regierung noch wichtiger.

Sobald Sie Ihr Zero-Trust-Pilotprojekt implementiert und messbare gewünschte Ergebnisse nachgewiesen haben, ist es ganz einfach, es zu erweitern — Sie fügen zusätzliche Anwendungen, Workloads und Endpunkte hinzu, bis Sie Ihren Roman geschrieben haben: eine behördenweite Zero-Trust-Architektur.

Um mehr darüber zu erfahren, wie Illumio Bundesbehörden dabei helfen kann, hochwertige Vermögenswerte zu sichern und Zero Trust zu beschleunigen, besuchen Sie die Seite mit föderalen Lösungen.