.png)
6 Expertenempfehlungen zu Zero Trust für Regierungsbehörden
Der öffentliche Sektor steht vor großen Fragen, wenn es um Cybersicherheitsansätze geht. Was kann getan werden, um Sicherheitslücken zu reduzieren und die Ausbreitung von Sicherheitslücken einzudämmen? Welche Strategien sind der Schlüssel zur Verbesserung der Cyber-Resilienz inmitten einer sich ständig verändernden Bedrohungslandschaft?
Um das herauszufinden, diskutierte Gary Barlet, Federal Field CTO bei Illumio, kürzlich auf GovExec TV mit den Cybersicherheitsexperten der Regierung, Dr. Mark A. Stanley, Leiter der NASA-Agentur für Zero Trust, und Gerald J. Caron, Chief Information Officer der International Trade Administration, auf GovExec TV über die Anwendungssegmentierung und ihre Rolle in der Zero-Trust-Architektur für den öffentlichen Sektor.
Lesen Sie weiter, um die sechs wichtigsten Empfehlungen aus ihrer Diskussion zur Implementierung von Zero Trust und Anwendungssegmentierung zu erhalten.
1. Zero-Trust-Initiativen sollten derzeit Priorität haben
Zu Beginn sprach Dr. Stanley über seine Rolle bei der NASA und die Landschaft der Zero-Trust-Politik, die er bei seiner Ankunft vorfand.
„Als ich bei der NASA ankam, war ich total umgehauen“, sagte er. „Diese Leute dachten bereits über Zero Trust nach und darüber, wie wir dorthin gelangen würden, lange bevor die Executive Order überhaupt herauskam. Sie hatten bereits Unterstützung und jede Menge Unterstützung durch das Führungsteam.“
Zu Beginn seiner Amtszeit bei der NASA wurde er zum Zero Trust Lead der NASA ernannt. Er hat dazu beigetragen, Zero Trust als eines der grundlegenden Elemente der NASA für die digitale Transformation hinzuzufügen.
„Was die Prioritäten angeht, hat alles, was ich tun kann, um Zero Trust voranzubringen, den Großteil unserer Zyklen in Anspruch genommen“, erklärte er.
2. Sichtbarkeit ist der Schlüssel zur erfolgreichen Umsetzung einer Zero-Trust-Strategie
Barlets Antwort befasste sich mit dem Kerngedanken, der mit der Zero-Trust-Strategie und der Anwendungssegmentierung einhergeht.
„Zero Trust ist ein sehr weit gefasster Begriff. Das Erste, was wir für die Sicherheit für wichtig halten, ist zu verstehen, wie Informationen in Ihrem Unternehmen tatsächlich fließen „, so Barlet.
Barlet empfahl Organisationen, die auf Zero Trust hinarbeiten, mit Sichtbarkeit zu beginnen. Und das ist nicht nur eine Netzwerkkarte. Heutige Hybridnetzwerke sind perimeterlos und verstreut. Sicherheitsteams müssen den Überblick darüber behalten, wie Anwendungen auf einer granularen Ebene interagieren, und Barlet erklärt, dass es entscheidend ist, einen Einblick in die Kommunikationsabläufe von Anwendungen zu haben, um zu verstehen, wie die Anwendung funktioniert. Sobald die Transparenz hergestellt ist, können Sicherheitsteams damit beginnen, Grenzen rund um diese Anwendungen zu ziehen, um das Netzwerk zu segmentieren.
„Wenn etwas passiert, geht es in der Realität nicht darum wenn du wirst kompromittiert werden, aber wenn. Was kommt als Nächstes, wenn dieser Kompromiss zustande kommt?“ sagte Barlet.
Erfahren Sie, wie die Anwendungsabhängigkeitskarte von Illumio Einblick in Ihre hybride IT-Umgebung bietet hier.
3. Wenn Sie jetzt nicht an Zero Trust arbeiten, sind Sie im Rückstand
Barlet fuhr fort, die Fallstricke für Unternehmen zu erläutern, die bei der Einführung von Zero Trust im Rückstand sind.
„So viele Unternehmen sind heute weit geöffnet“, sagte er. „Sobald ein Widersacher Fuß gefasst hat, kann er sich uneingeschränkt in Ihrem Unternehmen ausbreiten.“
Gegner nutzen seitliche Bewegungen, um sich von einem Teil der Umgebung zum anderen auszubreiten. Wenn diese Umgebungen voneinander abgeschottet sind, können sich Sicherheitslücken nicht ausbreiten. Dies wird durch Segmentierung erreicht, die auch als Zero-Trust-Segmentierung bezeichnet wird.
„Bei der Segmentierung sieht man all diese verschiedenen Komponenten und zeichnet einen Ring, Anwendung für Anwendung“, sagte Barlet. „Wenn das also einmal kompromittiert ist, kann es eingedämmt werden und andere Anwendungen können nicht infiziert werden.“
4. Zero-Trust-Initiativen erfordern eine funktionsübergreifende Zusammenarbeit
Um ein Niveau der Zero-Trust-Einführung zu erreichen, mit dem Unternehmen zufrieden sind, ist es wichtig, eine kollaborative Denkweise anzunehmen. Dr. Stanley verglich die Denkweise der NASA mit ihrem ähnlichen Ansatz bei wissenschaftlichen Entdeckungen, bei dem die NASA das Mandat erlässt, Forschungsergebnisse und Erkenntnisse zum Wohle der Menschheit mit der Welt zu teilen.
„Wir auf Bundesseite müssen anfangen, darüber nachzudenken, wie wir zusammenarbeiten können“, sagte Dr. Stanley. „Ich bin fest davon überzeugt, dass Cybersicherheit ein Mannschaftssport ist.“
Caron setzte Dr. Stanleys Einschätzung fort und verdeutlichte die Fallstricke des alten Ansatzes zur Zusammenarbeit im Bereich Cybersicherheit.
„Sie haben diese Exzellenzsilos, aber all diese Gruppen müssen zusammenarbeiten, um echtes Zero Trust zu erreichen“, erklärte Caron. „Früher gab es einen Zwischenfall und es kam zu einem Rundenturnier. Du würdest solange kreisen, bis du das Problem gefunden hast.“
Aber laut Barlet: „Du kannst diese Sachen nicht mehr manuell machen. Es ist unmöglich, mit der Verbreitung der Technologie, der Verbreitung von Daten und der Ausbreitung unserer Nutzer Schritt zu halten. Technologie ist die einzige Möglichkeit, wie wir hoffen können, dieser Kurve und diesem Wandel immer einen Schritt voraus zu sein oder ihnen ebenbürtig zu sein.
5. Zero Trust ist eine Strategie, kein Rezept
Im weiteren Verlauf des Webinars beschäftigten sich die drei Experten mit einem weiteren wichtigen Aspekt der Cybersicherheitsstrategie der Regierung — der Einhaltung von Vorschriften.
Caron eröffnete die Diskussion und machte einen wichtigen Unterschied zwischen Compliance und Effektivität: „Das sind zwei sehr unterschiedliche Wörter mit zwei unterschiedlichen Bedeutungen. Compliance kann so viel bedeuten wie: 'Ich habe ein System, also muss ich mich authentifizieren. ' Benutzername und Passwort könnten konform sein, aber das ist nicht effektiv.“
Mit anderen Worten, nur weil etwas eine Voraussetzung für die Einhaltung von Vorschriften ist, heißt das nicht, dass es gleichzeitig auch effektiv ist. Caron ermutigt Unternehmen, Zero Trust als eine Möglichkeit zu sehen, nicht nur die Compliance-Anforderungen zu erfüllen, sondern auch effektiver zu sein.
„Die Einhaltung der Vorschriften wird sich einstellen, wenn Sie wirksam werden“, sagte Caron. „Das ist das Tolle, was ich an der Zero-Trust-Strategie und der Executive Order, in der Zero Trust erwähnt wird, begrüße. Es bringt uns dazu, effektiver zu werden. Es ist eine Strategie, kein Rezept.“
6. Ergreifen Sie schrittweise Schritte in Richtung Zero Trust
Zum Abschluss sprachen Barlet und Dr. Stanley über die besten Praktiken für die Einführung von Zero Trust in Unternehmen.
Laut Barlet „gehen die effektivsten Organisationen Schritt für Schritt vor“.
Er erklärte, dass zu viele Behörden davon ausgehen, dass sie in der Lage sein werden, die Zero-Trust-Durchsetzung von Null auf 100 Prozent umzustellen. Wenn sie dann das Ziel nicht erreichen, verliert die Initiative an Fahrt oder wird als zu schwierig angesehen.
„Die Realität ist, dass Sie niemals 100 Prozent erreichen werden“, sagte Gary. „In der Welt, in der wir leben, ist der Versuch, alles zu 100 Prozent zu erreichen, ein unerreichbares Ziel.“
Stattdessen ermutigt Barlet Unternehmen, stückweise auf Zero Trust hinzuarbeiten. Durch den schrittweisen Aufbau von Zero Trust können Behörden schnelle Erfolge erzielen und Abwehrmaßnahmen, Sicherheit und Schutz im Laufe der Zeit verbessern.
„Barlet war absolut genau richtig“, fügte Dr. Stanley hinzu. „Sie müssen sich mit allen Säulen von Zero Trust befassen. Sie müssen in der Lage sein, den Schutz, den es für Ihre Anwendungen und Daten bietet, auch dann zu nutzen, wenn Sie diese schrittweisen Verbesserungen an Ihrer Infrastruktur vornehmen.“
Erfahren Sie mehr darüber, wie Illumio zur Absicherung Ihrer Regierungsbehörde beitragen kann hier.
Kontaktieren Sie uns noch heute für eine kostenlose Demo und Beratung.
.webp)
