Unsere Lieblings-Zero-Trust-Geschichten vom August 2023

Wir sind zurück mit einer weiteren Zusammenfassung der Zero-Trust-Neuigkeiten!  

Zero Trust bleibt weiterhin ein zentrales Thema für Sicherheitsexperten und Unternehmensführer gleichermaßen. Es war ein zentraler Punkt der diesjährigen Black Hat USA Konferenz. Und auch anderswo, wo immer mehr bundesstaatliche Cybersicherheitsvorschriften und -rahmen (wie der Nationale Cybersicherheitsstrategie-Implementierungsplan des Weißen Hauses) eingeführt und aktualisiert werden, bleiben die Zero-Trust-Grundsätze – „Annahme eines Sicherheitsverstoßes“ und „Privilegienminimierung“ – ganz oben auf der Agenda.

Hier sind einige der Zero-Trust-Geschichten und -Perspektiven, die uns in diesem Monat besonders aufgefallen sind.

Technologie-Interessengruppen fordern ein Zero-Trust-Framework zum Schutz der Öffentlichkeit vor KI (CyberScoop, Tonya Riley).

Angesichts des zunehmenden Interesses und der zunehmenden Akzeptanz von KI hat sich eine Gruppe von Technologiegruppen von öffentlichem Interesse gegen einen "zunehmend selbstregulierenden Ansatz" für künstliche Intelligenz gewehrt. Stattdessen fordern sie einen "Zero-Trust-Ansatz für die KI-Governance". Die Gruppe ist der Ansicht, dass es eine strengere Regulierung und Aufsicht über KI geben muss, da die Technologie auf dem Markt weiter Gestalt annimmt.  

Tonya Riley von CyberScoop erklärt: "Das [vorgeschlagene] Rahmenwerk ist nur der jüngste Vorstoß der Zivilgesellschaft, das Weiße Haus dazu zu bringen, einen strengeren Ansatz bei der KI-Regulierung zu verfolgen, während die Regierung an einer erwarteten KI-Durchführungsverordnung arbeitet."  

Mehr Informationen zur mit Spannung erwarteten Exekutivverordnung zum Thema KI finden Sie hier.  

Auch bei den diesjährigen Veranstaltungen Black Hat und DEF CON spielte KI eine zentrale Rolle – letztere beherbergte ein eigenes „KI-Dorf“, in dem Tausende von ethischen Hackern an verschiedenen Red-Teaming-Übungen teilnahmen, die darauf abzielten, Schwachstellen in den neuesten KI-Modellen aufzudecken .  

In diesem Blogbeitrag können Sie mehr über Illumios wichtigste Erkenntnisse von der Black Hat 2023 lesen.  

Sicherheit im Design: 10 Cybersicherheitsprioritäten für ein Zero-Trust-Rechenzentrum (VentureBeat, Louis Columbus)

Laut einer neuen Studie erklärt Louis Columbus von VentureBeat, dass die anfälligsten Bedrohungsvektoren für Rechenzentren „Kundensupport-, Kundendienst- und Ticketmanagement-Supportportale umfassen, die auf Rechenzentrumsservern laufen“.  

Wenn eine Sicherheitsverletzung nicht schnell entdeckt oder behoben wird, können Angreifer Tausende (sogar Millionen) vertraulicher Kundendaten stehlen und die wertvollsten Geschäftsinformationen eines Unternehmens stehlen.

Der Schlüssel zum Aufbau von Cyber-Resilienz im Rechenzentrum, erklärt Louis, liegt darin, mit Zero Trust zu beginnen: Oder "der Glaube, dass das Rechenzentrum bereits verletzt wurde und weitere Schäden sofort eingedämmt und gestoppt werden müssen".

Er fährt fort, dass "Angreifer ihr Handwerk kontinuierlich verfeinern, um Lücken in den Sicherheitsarchitekturen und Tech-Stacks von Rechenzentren zu finden und auszunutzen. Diese Lücken entstehen oft, wenn langjährige lokale Sicherheitsplattformen ohne die richtigen Konfigurationen in die Cloud erweitert werden, wodurch die Systeme anfällig für Sicherheitsverletzungen werden."

Für Organisationen, die ihre Sicherheitslage mit einer robusten Zero-Trust-Architektur stärken möchten, empfiehlt das NIST , der Mikrosegmentierung, auch Zero-Trust-Segmentierung genannt, von Anbietern wie Illumio Priorität einzuräumen, zusammen mit anderen identitätsbasierten Governance-, Authentifizierungs- und Netzwerk- und Endpunktsicherheitsmanagementlösungen.  

Erfahren Sie, warum laut einer Studie von Gartner 60 % der Unternehmen, die auf Zero Trust hinarbeiten, bis 2026 mehr als eine Form der Mikrosegmentierung einsetzen werden.  

Eine bessere Definition von Zero Trust (LinkedIn, Don Yeske)

Ich habe diesen LinkedIn-Artikel des Direktors für nationale Sicherheit des Department of Homeland Security (DHS) sehr genossen. Darin fordert er eine konsistentere, zugänglichere Definition von Zero Trust – eine, die Führungskräfte aller Abteilungen und Größen schätzen und in die Tat umsetzen können.  

Er argumentiert, dass Zero-Trust-Mandate nicht nur ein Schlachtruf für Cybersicherheitspraktiker sind, sondern ein Muss für alle Unternehmens- und Organisationsleiter von heute.  

Er erklärt: "Erfolg hängt von einer gemeinsamen Vision ab, die jeder nicht nur versteht, sondern auch unterstützt und für die jeder bereit ist, zu arbeiten und Opfer zu bringen. Zero Trust wird mit anderen Transformationen konkurrieren, wenn es um Zeit, Geld und Aufmerksamkeit geht. Es werden nicht die Cybersicherheitsexperten sein, die letztendlich über das Ergebnis dieser mehrjährigen Transformation entscheiden. Es werden Führungskräfte aus allen Disziplinen, auf allen Ebenen und in allen Organisationen sein, die für dieses gemeinsame Ziel an einem Strang ziehen müssen."

Kurz gesagt, schlägt er dies als neuen Slogan für Zero Trust vor: "Zero Trust ist ein Wandel in unserem Ansatz für Cybersicherheit: Von netzwerkzentrierter Sicherheit zu datenzentrierter Sicherheit."

Weitere Einblicke in das Zero-Trust-Konzept der US-Bundesregierung finden Sie in dieser Folge von Illumios „The Segment: A Zero Trust Leadership Podcast“.  

Das war's für diesen Monat. Wir melden uns bald mit weiteren Zero-Trust-Geschichten zurück!