John Kindervags 3 Zero-Trust-Wahrheiten für Regierungsbehörden
In den letzten Jahren hat der öffentliche Sektor der USA eine Vielzahl von Leitlinien erhalten zu Null Vertrauen — von Das Zero-Trust-Reifegradmodell von CISA zu EO 14028 und NIST-SP 800-207. Es kann sich wie eine überwältigende Menge an Informationen anfühlen, die Sie durchsuchen müssen oder wissen, wo Sie in Ihrer Agentur anfangen sollen.
Deshalb hat sich der Federal Tech Podcast in einem aktuelle Folge mit John Kindervag, dem Paten und Gründer von Zero Trust und Chef-Evangelist bei Illumio, um die drei wichtigsten Wahrheiten über Zero Trust zu verstehen. Diese Informationen sind unerlässlich, um Behörden dabei zu helfen, bei der Einhaltung der Vorschriften den richtigen Weg zu finden und auf dem richtigen Weg zu bleiben Zero-Trust-Mandate.
1. Sie können Zero Trust nicht auf einmal ausführen
Laut Kindervag ist eines der häufigsten Missverständnisse über Zero Trust, insbesondere in der Bundesregierung, dass man Zero Trust auf einmal und innerhalb eines bestimmten Zeitrahmens erreichen kann.
Das ist jedoch weit davon entfernt, wie er die Strategie entworfen hat.
„Es ist eine Reise, auf die du dich begibst, und du bist für immer dabei“, erklärte Kindervag.
Für Agenturen ist es unerlässlich, jetzt mit Zero Trust zu beginnen Widerstandsfähigkeit der Mission. Es ist jedoch unmöglich zu wissen, wann Ihre Behörde den vollen Zero-Trust-Wert erreicht, da dies ein kontinuierliches Unterfangen ist. Laut Kindervag sollten sich Agenturen folgende wichtigere Fragen stellen was sie sichern, nicht wann.
„Ich sorge mich nicht so sehr um die Zeit, sondern darum, die richtigen Anreize und Programme einzuführen“, sagte Kindervag.
Er empfiehlt Agenturen, damit zu beginnen, alles von Anfang an vollständig zu machen Sichtbarkeit in ihre Umgebung. Mit diesem Einblick können sie sehen, wo Risiko lügt, priorisiert die Absicherung der Bereiche, die am stärksten gefährdet und für die Mission am kritischsten sind, und arbeitet dann eine Schutzfläche nach der anderen ab: „Zero Trust baut man stückweise auf“, sagte er.
2. Zero Trust ist nicht schwer
Kindervag hat die Zero-Trust-Sicherheitsstrategie entwickelt, die in der gesamten Organisation Anklang findet, von der obersten Führungsebene bis hin zu Sicherheitsexperten. Zu diesem Zweck wurde die Strategie so konzipiert, dass sie einfach zu verstehen und umzusetzen ist.
„Warum lassen all diese Leute Zero Trust so hart aussehen?“ er scherzte. „Es ist schrittweise. Sie tun es eine Schutzfläche nach der anderen.“
Indem die Durchsetzung zu einem iterativen Prozess wird, können sich Sicherheitsteams auf ein System, eine Anwendung oder eine Ressource nach der anderen konzentrieren — von den kritischsten bis hin zu den am wenigsten wichtigen. Dies hat den großen Vorteil, dass die Mission kaum oder gar nicht gestört wird.
„Sie implementieren Zero Trust-Kontrollen, eine Schutzfläche nach der anderen, und das macht sie unterbrechungsfrei“, erklärte Kindervag. „Das meiste, was Sie vermasseln können, ist eine Schutzoberfläche. Man kann nicht das gesamte Netzwerk oder die gesamte Umgebung kaputt machen.“
3. Implementieren Sie Zero Trust proaktiv
Zero Trust basiert auf der Tatsache, dass Sicherheitslücken unvermeidlich sind; es spiegelt die bewährte Sicherheitsstrategie für die moderne Angriffsfläche wider.
„Die Angriffsfläche ist wie das Universum — sie dehnt sich ständig aus“, sagte Kindervag.
Herkömmliche Sicherheitstools zur Vorbeugung und Erkennung wurden für eine Zeit entwickelt, in der Computerumgebungen viel kleiner und einfacher waren und sich alle innerhalb eines einzigen Perimeters befanden. Netzwerke sind heute komplex, verteilt und haben keinen Perimeter.
EIN Zero-Trust-Architektur hilft den Behörden, das erhöhte Risiko zu bewältigen, das sich aus dieser Entwicklung ergibt. „Zero Trust kehrt das Problem um und reduziert es auf eine kleine und leicht verständliche Oberfläche, die als Schutzfläche bezeichnet wird“, erklärte Kindervag.
Präventions- und Erkennungstools sind zwar immer noch wichtig, reichen aber nicht aus, um sich vor den sich ständig weiterentwickelnden Cyberbedrohungen zu schützen. Es ist von entscheidender Bedeutung, dass die Behörden proaktive Sicherheitsvorkehrungen sowohl für das Netzwerk als auch für die Außenseite des Netzwerks einrichten und Innenraum. Zero-Trust-Technologien, einschließlich grundlegender Tools wie Zero-Trust-Segmentierung (ZTS), helfen Behörden dabei, sich proaktiv auf Verstöße vorzubereiten.
„Es gibt viele Leute, die nichts tun, bis etwas Schlimmes passiert ist“, sagte Kindervag und merkte an, dass dies eine veraltete Denkweise über Sicherheit ist. „Es ist, als ob der Hagelsturm zuschlägt und Sie dann eine Versicherung für Ihr Auto abschließen möchten. Was sagt dir die Versicherungsgesellschaft? Nein, es ist zu spät.“
„Du musst vor die Sicherheitskontrolle gehen, nicht hinter sie“, empfahl Kindervag.
Die 5 Schritte für Zero Trust
Kindervag ermutigt Agenturen, seinem zu folgen fünfstufiger Prozess für die Zero-Trust-Implementierung beim Aufbau der Zero-Trust-Compliance:
- Definieren Sie Ihre Schutzoberfläche: Sie können die Angriffsfläche nicht kontrollieren, da sie sich ständig weiterentwickelt, aber Sie können die Schutzfläche Ihres Unternehmens in kleine, leicht erkennbare Teile verkleinern. Die Schutzfläche umfasst in der Regel ein einzelnes Datenelement, einen Dienst oder eine einzelne Ressource.
- Kartenkommunikation und Verkehrsflüsse: Sie können das System nicht schützen, ohne zu verstehen, wie es funktioniert. Ein Einblick in Ihre Umgebungen zeigt, wo Kontrollen erforderlich sind.
- Entwerfen Sie die Zero-Trust-Umgebung: Sobald Sie einen vollständigen Überblick über das Netzwerk haben, können Sie mit der Implementierung von Steuerungen beginnen, die auf jede Schutzfläche zugeschnitten sind.
- Erstellen Sie Zero-Trust-Sicherheitsrichtlinien: Erstellen Sie Richtlinien, die eine granulare Regel enthalten, die es dem Verkehr ermöglicht, auf die Ressource in der geschützten Oberfläche zuzugreifen.
- Überwachen und warten Sie das Netzwerk: Injizieren Sie die Telemetrie zurück in das Netzwerk und bauen Sie so eine Feedback-Schleife auf, die die Sicherheit kontinuierlich verbessert und ein robustes, antifragiles System aufbaut.
Illumio kann Ihrer Agentur helfen, diese fünf Schritte auf Ihrer Zero-Trust-Reise zu bewältigen. Erfahren Sie mehr darüber, wie wir Sie unterstützen Regierungsbehörden, und kontaktiere uns heute um loszulegen.