Neue Studie: Studie zu den globalen Kosten von Ransomware. Erfahren Sie, was Vorfälle Sie kosten.
Holen Sie sich den Bericht

Haben Sie einen Vorfall erlebt?

|
Kontaktiere uns
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
Daten auf neue Weise schützen
Season Two
· Episode
4

Daten auf neue Weise schützen

In dieser Folge spricht Moderator Raghu Nandakumara mit Sean Connelly, dem ehemaligen Direktor des CISA Zero Trust Initiative Office, über die Entwicklung der Netzwerkarchitekturen, warum Vorfälle in den letzten 5 Jahren dazu geführt haben, dass sich der Bund stärker auf Cyber-Resilienz und insbesondere Zero Trust konzentriert hat und wie CISA über den Schutz von Daten auf neue Weise denkt.

Transkript

00:03 Sean Connelly

Ich betrachte die Datensicherheit auf neue Weise, aber ich denke, die Datensicherheitspfeiler war die schwächste und wir hatten am meisten zu tun.

00:12 Raghu Nandakumara

Willkommen bei The Segment, einem Zero Trust Leadership Podcast. Ich bin Ihr Gastgeber, Raghu Nandakumara, Leiter für Branchenlösungen bei Illumio, dem Unternehmen Zero Trust Segmentation. In der heutigen Folge gesellt sich ein ganz besonderer Gast zu mir, Sean Connolly, ehemaliger Federal Zero Trust Architect bei der Cybersecurity and Infrastructure Security Agency, kurz CISA. Sean war auch der vertrauenswürdige Programmmanager für Internetverbindungen bei CISA innerhalb des Department of Homeland Security (DHS). Er trat dem DHS bereits 2013 bei und war seitdem in verschiedenen Funktionen tätig. 2017 war er Hauptautor des Berichts zur IT-Modernisierung an den Präsidenten und 2019 war er Mitautor der NIST-Sonderpublikation Toward Zero Trust Architectures. Wir haben diese Episode bereits im Februar aufgenommen. Obwohl Sean inzwischen das CISA verlassen hat, werden Sie ihn aus seiner Perspektive sprechen hören, als er noch dort gearbeitet hat. Wir erörtern die Entwicklung der Netzwerkarchitekturen, warum Vorfälle in den letzten fünf Jahren dazu geführt haben, dass sich die Bundesregierung stärker auf Cyber-Resilienz und insbesondere Zero Trust konzentriert hat, und wie CISA über den Schutz von Daten auf neue Weise denkt. Es ist mir daher eine große Freude, Sean Connelly, Federal Zero Trust Architect bei CISA, in dieser Folge von The Segment begrüßen zu dürfen. Sean, es ist mir ein Vergnügen. Danke, dass du zu uns gekommen bist.

1:39 Sean Connelly

Oh, danke. Es war mir ein Vergnügen. Ich freue mich sehr, bei The Segment zu sein. Vielen Dank.

1:45 Raghu Nandakumara

Vielen Dank. Und das ist super aufregend für uns, weil man nicht oft die Gelegenheit hat, mit jemandem in Kontakt zu treten, der direkt an der Urheberschaft von Zero-Trust-Mandaten auf Regierungsebene beteiligt war. Aber bevor wir darauf eingehen, Sean, erzählen Sie uns etwas über Ihren Hintergrund und den Karriereweg, den Sie eingeschlagen haben, um Federal Zero Trust Architect zu werden.

2:07 Sean Connelly

Sicher, also danke. Also, ich beschäftige mich schon lange mit Computern. In den frühen 80ern hatte ich ein Nebenprojekt, bei dem ich einen TRS80-Modell drei, einen RadioShack-Computer, verwendete. Ich war auf der Wissenschaftsmesse und habe ziemlich schnell etwas über Benutzererfahrungen gelernt. Weil ich auf der Wissenschaftsmesse auf eine Privatschule ging und eine über 80-jährige Nonne versuchte, den Computer zu benutzen. Das ist jemand, der buchstäblich in den 1800er Jahren geboren wurde. Und es ist etwas anders, ihr zu erklären, wie man den Computer einschaltet und was ein Syntaxfehler bedeutet. Aber ich machte weiter und beschäftigte mich dann mehr mit Sicherheit oder Netzwerken aus Sicherheitsgründen. In den 90er Jahren installierte ich eine Menge Cisco-Router und Cisco-Switches, und da fing ich wirklich an, die Protokolle kennenzulernen. Und wirklich, wenn man Routing macht, muss man die Protokolle fast wie die Wireshark- oder Ether-Real-Level verstehen, um mich ein bisschen altern zu lassen. Und dann müssen Sie natürlich von diesem Netzwerk aus anfangen, sich Gedanken über den Perimeter zu machen. Dann kamen wir Anfang der 2000er Jahre zu Firewalls. Und dann, 2004 oder 2005, hatte ich die Gelegenheit, im Außenministerium zu arbeiten. Und natürlich das Außenministerium, über 200 Botschaften und Außenstellen auf der ganzen Welt, das Global Network. Einige der fortschrittlichsten anhaltenden Bedrohungen gehen vom Außenministerium aus. Es war wirklich eine großartige Erfahrung für mich, etwas über die Bundesregierung zu erfahren und zu erfahren, wie ein globales Netzwerk funktioniert. Und dann, glaube ich, 2013, hatte ich die Gelegenheit, zu NPPD, dem alten Namen für CISA, zu wechseln, und ich bin seit ungefähr 11 Jahren bei Cisco. Und in der Tat, diese Zeit im Außenministerium und die Zeit bei CISA lag mein Hauptaugenmerk auf diesem Gebiet, insbesondere bei den Bundesbehörden. Je nachdem, worauf Sie zählen, gibt es mehr als 100 zivile und exekutive Bundesbehörden, und wir haben mit diesen Behörden zusammengearbeitet, um ihre Netzwerke zu sichern und diese AP-Bedrohungen am Perimeter abzuwehren. Und dann kam Zero Trust hinzu, natürlich neue Arten von Diskussionen, aber das ist wirklich schon fast 20 Jahre her. Es hat mit dem Bundesunternehmen zusammengearbeitet und auf andere Weise zur Sicherheit beigetragen, als wir es meiner Meinung nach zuvor getan haben.

4:16 Raghu Nandakumara

Fantastisch. Also, du hast über den Perimeter gesprochen. Und ich denke, wenn wir uns die Entwicklung der Architekturen von Netzwerkarchitekturen in den letzten 20 Jahren ansehen, denke ich, dass die wohl größte Entwicklung rund um das Konzept des Perimeters stattgefunden hat. Und ich weiß, dass Sie an TIC eins, TIC zwei und in jüngerer Zeit an TIC drei beteiligt waren. Wenn Sie dem Publikum erklären könnten, wie sich die Art des Perimeters verändert hat und warum, dann müssen sich die Sicherheitsanforderungen entsprechend weiterentwickeln.

4:46 Sean Connelly

Sicher, das ist eine gute Frage. Also, vieles von dem, was wir angefangen haben, mit TIC eins, TIC zwei. Mitte der 2000er Jahre hatte das Office of Management Budget des Weißen Hauses allen CIOs und CISOs auf Bundesebene eine ziemlich einfache Frage gestellt: „Wie viele Verbindungen haben Sie im Internet? Wie viele Verbindungen hat die Behörde entweder zu Partnernetzwerken oder zum Internet selbst?“ Die Zahl, die zurückkam, war atemberaubend. Niemand dachte, es sei so, dass viele Schaltungen so viele Verbindungen sind. Es waren über 4000 Leitungen aufgeteilt, und das ist nur die zivile Seite, von DOD nicht mal die Rede. In den ersten Diskussionen ging es also wirklich um die Aggregation des Verkehrs. Wie konnten wir diese 4000 Internetleitungen nicht unbedingt eliminieren, sondern uns darauf konzentrieren und die sogenannte Traffic-Aggregation dieser Leitungen in einer begrenzten Anzahl von Rechenzentren, Firewall-Stacks, den sogenannten TIC-Zugangspunkten, durchführen? Das war also das Erste, die Daten zu konzentrieren. Und jetzt, da wir die zu kontrollierenden Leitungen und diese begrenzte Anzahl von TIC-Zugangspunkten haben, beginnen wir damit, diese Geräte mit einem standardisierten Grundsicherheitsperimeter zu umgeben. Und wieder, das geht zurück auf 2008, 2012, bis etwa 2015 oder so, als es diese gemeinsame Architektur gab, die sich mehr auf den sogenannten Nord-Süd-Verkehr als auf den Ost-West-Verkehr konzentrierte. Und es konzentrierte sich wirklich auf all diese Daten; es wurde eine TIC-Steuer genannt; wir hatten viele Agenturen, die Niederlassungen im Mittleren Westen oder an der Westküste hatten. Aber der Hauptsitz der Behörde hatte seine TIC-Zugangspunkte an der Ostküste. Also jetzt, sogar in ganz Amerika, die Zeit 40/50 Millisekunden, und wenn das Rechenzentrum drüben an der Westküste war, muss eine Behörde von LA rüber nach DC fahren, ihren Verkehr im Nord-Süd-Verkehr aussetzen und über die Westküste zurück. Und es gibt buchstäblich eine Steuer; es war ein Kompromiss. Das war der Zeitpunkt, an dem sich die Diskussionen über die Cloud wirklich weiterentwickelt haben und der Mobilfunk in der Szene so richtig zum Vorschein kam, dass wir es anders betrachten mussten. Die Beschaffung, das Perimetermodell, das alte Schloss und das Burggrabenmodell wurden, glaube ich, nie idealisiert, auch wenn ich damals davon sprach. Schon damals sprachen Cisco und das Jericho Forum, von dem ich John Kindervag gehört habe, darüber, dass wir das Jericho Forum tief durchdringen müssen. Ich glaube, John spricht darüber, dass Jericho sich manchmal auf TLS-Verbindungen konzentriert, also auf verschlüsselte Verbindungen vom Client zum Server, aber Jericho hatte in seinem Originaldokument eine Reihe von Geboten. Und eines davon paraphrasiere ich hier, aber so: „Je näher Sie die Sicherheit an die Daten stellen können, desto besser ist sie.“ Und das macht Sinn, oder? Und das war genau das Gegenteil von TIC eins und TIC zwei. Es erzwang die Datenerzwingung von Sitzungen durch diese Firewall-Stacks. Also genau dort, wie das Bundesunternehmen, wenn Sie so wollen, 2015 oder 2016, haben wir diese neue Reise begonnen.

7:45 Uhr Raghu Nandakumara

Es ist interessant. Sie haben diesen Punkt erwähnt, weil einer der Berichte besagt, dass Sie an der Erstellung des Berichts an den Präsidenten über die IT-Modernisierung des Bundes beteiligt sind. In der Zusammenfassung ist eine Sache, die wirklich interessant ist, dass Sie herausstellen, wie diese Maßnahmen es den Behörden ermöglichen, vom Schutz ihrer Netzwerkperimeter und der Verwaltung älterer, physischer Bereitstellungen zum Schutz von Bundesdaten und Cloud-optimierten Bereitstellungen überzugehen. In dem Bericht wird auch ein risikobasierter Ansatz betont, bei dem die Ressourcen der Behörden auf ihre wertvollsten Ressourcen konzentriert werden. Und ich finde das wirklich interessant, weil das fast direkt dazu führt, dass Sie sich auf TIC 3 konzentrieren, also weit weg von den Grenzen der gesamten Organisation. Aber die Kontrolle wirklich verlagern und sich auf die Sicherheit der wichtigsten Dinge konzentrieren, die Sie schützen möchten.

8:38 Sean Connelly

Ja, danke für die [Erwähnung] dieses Berichts. Ich war einer der vielen Autoren dort. Und in der Bundesregierung braucht es Zeit, um einige der verschiedenen Bürokratien, Richtlinien oder Mandate zu ändern. Und zu Ihrem Punkt: Das wurde 2017 geschrieben. Viele dieser Mitautoren waren noch bei uns, als wir nach der Veröffentlichung des Memos im Jahr 2019 mit der Einführung der TIC-3-Leitlinien begannen. Aber es hat so viele Jahre gedauert, obwohl wir zu Ihrem Punkt wussten, wohin er gehen wollte, aber es dauert immer noch eine Weile, bis die Politik so gestaltet ist, dass sie anfängt, diese Änderung durchzusetzen; ich möchte nicht sagen, dass es Kräfte gekostet hat. Aber fangen Sie an, andere Möglichkeiten und andere Möglichkeiten zu haben. Aber wie gesagt, es geht eher um Cloud-Optimierung, um eine Abkehr von der Datensicherheit, von einer direkten Abkehr von der Netzwerksicherheit, sondern darum, ein Gleichgewicht zwischen Datensicherheit und Netzwerksicherheit zu finden.

09:29 Raghu Nandakumara

Ja, ich stimme zu. Und ich denke, die Art und Weise, wie dieser spezielle Bericht und genau diese Konsolidierung der Netzwerkmodernisierung, so wie er formuliert ist, ist meiner Meinung nach der Ausgangspunkt für diesen Übergang zur Einführung eines Zero-Trust-Ansatzes.

09:44 Sean Connelly

Nein, das war buchstäblich John Kennedy. Ich werde ihn in seinem Interview wahrscheinlich 100 Mal erwähnen, aber damals, was auch immer 2010 oder 2011 war, war das Chewy Center-Dokument hier streng geschrieben. Damals war ich im Außenministerium und lief mit dieser Anleitung im Außenministerium herum und sagte, dass wir hier hin müssen. Ich bin mir nicht sicher, wie ich dorthin komme. Aber genau das ist der Rahmen, der sich weiterentwickelt hat. Ehrlich gesagt, ich glaube, wir haben es damals eher als eine Schnick-Lösung und eine Art Netzwerkzugriffskontrolllösung interpretiert. Fairerweise muss man sagen, dass NAC die Sicherheit in die Nähe der Daten rückt. Man hat quasi die Durchsetzung, wenn man wechseln will und man hat einen Agenten oder Client 802.1x auf dem Client, der wechselt. Aber selbst das war, glaube ich, nur ein Teil der Gleichung. Es hat eine Weile gedauert, bis sich die Diskussion weiterentwickelt hat, und wir haben gesehen, was Google in den letzten 5-10 Jahren getan hat, als sie vor etwa einem Jahrzehnt kompromittiert wurden, wie sie Beyond Core betrachteten und wie sie mit verschlüsselten Daten umgehen. Also, ich denke, all diese Diskussionen dauern an. Und dann, wie ich schon sagte, nur was die Gelegenheit oder den Zeitpunkt angeht, als der Bericht 2017 veröffentlicht wurde, begann Zero Trust in der Regierung auf unterschiedliche Weise Anklang zu finden. Oben bei NIST, das ist vor COVID, hat NIST eine Reihe von Workshops zum Thema Zero Trust abgehalten. Jedes Jahr gibt es ein jährliches Treffen. NSA, sie hatten eine große Beteiligung an diesen Treffen. Randy Resnick, der zu der Zeit bei der NSA war, ist jetzt der DoD Zero Trust Portfolio Management Officer, er war dort. Einige der wichtigsten Autoren des erwähnten Berichts zur IT-Modernisierung waren auf diesen Konferenzen anwesend. Es begann also, sich durchzusetzen; es war einfach nicht wirklich in der Richtlinie an sich, dem Zero Trust, enthalten. Gleichzeitig hatten Sie die Modernisierung erwähnt; es gab ein TIC-Memo oder dieses modernisierte TIC. Deshalb haben wir versucht, das TIC in drei Bereichen zu positionieren, um Zero Trust darin so weit wie möglich unterstützen und aufeinander abstimmen zu können.

11:38 Raghu Nandakumara

Ich verstehe es, denn die andere Sache, die mir aufgefallen ist, bevor wir den Bericht über die IT-Modernisierung verlassen, ist, dass er auch der Einführung der öffentlichen Cloud durch Bundesbehörden einen Stau bereitet. Warum haben Sie diesen Wandel in der Abkehr von einer übermäßigen Perimeter- und Netzwerkzentrierung hin zu einer stärkeren Fokussierung auf kritische Ressourcen in Bezug auf die Sicherheit beobachtet? Warum waren Sie der Meinung, dass dies für die Einführung oder die Beschleunigung der Einführung der Cloud durch Bundesbehörden unerlässlich war?

12:10 Sean Connelly

Nun, leider hatten wir eine Reihe von Fallstudien, in denen gezeigt wurde, dass der Durchschnitt eine breite Perimeterbasis ist. Sie konzentrieren sich zu einem großen Teil auf den Umkreis, der Gegner ist immer noch kompromittiert. Viele der Bemühungen, die Sie im Zusammenhang mit der IT-Modernisierung erwähnt haben, gingen tatsächlich auf den OPM-Angriff im Jahr 2015 zurück. Und das war eine Reaktion auf den OPM-Verstoß. Wir werden wahrscheinlich über das Cyber-EO und das Zero-Trust-Zeug sprechen, das in den letzten paar Jahren passiert ist. Vieles davon konzentrierte sich auf den SolarWinds-Verstoß. Manchmal gibt es also solche Sicherheitslücken, die die Aufmerksamkeit der Führung auf sich ziehen und diese Diskussionen dann auf neue Weise forcieren. Aber was Sie sagen, war die Wolke schon lange vor dem Verstoß im Gange. Natürlich gibt es FedRAMP, den GSA-Lead, den Cloud-Modernisierungs- oder ATO-Prozess seit etwa einem Jahrzehnt, aber es dauerte ein paar Jahre, bis ein Programm wirklich durchgesetzt wurde und begann, die verschiedenen Cloud-Anbieter im FedRAMP-Programm zu unterstützen. Ich kann mich erinnern, als Matt Goodrich etwa 2014 oder 2015 als Nummer 20 der CSP ATO feierte. Ich glaube, es gibt weit über 300 verschiedene Pakete für ATO. Es dauert also manchmal eine Weile, bis das passiert. Aber ja, die Cloud-Einführung ist erfolgt. Genau wie du gesagt hast, es ist derselbe Punkt. Sie sind größer oder schneller, machen sich die Cloud zu eigen, wir fangen an, wirklich aus Agenturen zu werden.

13:27 Raghu Nandakumara

Verstanden. Also, wir kommen in einer Sekunde wieder zur Cloud. Und Sie haben es selbst erwähnt, dass einige davon die OPM-Verletzung Mitte der 2010er Jahre waren. Und dann natürlich SolarWinds vor ein paar Jahren, das war wohl der Tropfen, der das Fass zum Überlaufen brachte, und vielleicht erzwang es die Veröffentlichung von EO 14028. Also, können Sie mit uns ein bisschen darüber sprechen, dass Sie dabei waren, als diese Dinge formuliert wurden, oder? Sprechen Sie ein bisschen über den Prozess.

13:52 Sean Connelly

Sicher. Es passieren also ein paar Dinge. Und ich werde die Politik nicht verstehen. Aber es gab auch administrative Änderungen. Chris DeRusha, der CISO auf Bundesebene, kam gerade rein. Eric Mill, Eric war Teil der Gruppe, die den Bericht zur IT-Modernisierung verfasst hat. Eric war lange dort. Es kommen eine Reihe wichtiger Personen in die Regierung. Und auch hier war uns als Regierung bewusst, dass wir in der Lage sein mussten, neue Standards zu setzen, nachdem SolarWinds kompromittiert wurde und die Auswirkungen davon ausgingen. Niemand sagt, vergessen Sie die Netzwerkperimeter, zu viel veraltete Technologie, wenn Sie so wollen, interne Behörden. Niemand wird die Firewalls loswerden, aber wir brauchen eine umfassendere Architekturlösung. Um auf das zurückzukommen, was Sie über die Cyber-Exekutivverordnung gesprochen haben, da waren eine Reihe von Taskern in Richtung OMB, in Richtung GSA, in Richtung CISA, in Richtung NIST, und es begann mit Gesprächen darüber, wie das weitere Vorgehen und eine umfassendere Architekturlösung aussehen sollte. Also nochmal, viele dieser Leute, es ist fast wie ein Schlagstockwurf, wenn Sie so wollen, aus verschiedenen Gruppen, aber es ging zurück zum IT-Modernisierungsbericht, da war eine klare Dynamik oder Richtung vorgegeben. Und dann konnte sich die Cyber-Exekutivverordnung noch konkreter manifestieren und, wie Sie sagen, konzentrieren Sie sich auf Zero Trust selbst, und zwar auf eine Art und Weise, als wir diese Gelegenheit nicht hatten, glaube ich, oder unter einer früheren Richtlinie oder einfach nur unter Legacy-Code und so.

15:19 Raghu Nandakumara

Also ohne einen Zwischenfall wie SolarWinds, oder ich glaube, Colonial Pipeline war nicht viele Monate nach SolarWinds. Waren das nur die, die dazu dienen, die Bedeutung von EO 14028 in den Mittelpunkt zu stellen? Oder wäre diese Verordnung ohne sie möglicherweise verzögert worden und hätte sie vielleicht nicht die Bedeutung und den Fokus erhalten, die sie gehabt hat?

15:44 Sean Connelly

Ja, auf jeden Fall gab es eine Art und Weise, von der ich nicht sicher bin, ob sie ohne das da gewesen wäre. Bei SolarWinds lag der Schwerpunkt bei den Warnangriffen auf die Berichterstattung über SolarWinds auf Microsoft und darauf, dass die Behörden viele ihrer kritischen Daten in verschiedenen Microsoft-Cloud-Tenants hatten. Deshalb mussten wir in der Lage sein, erneut eine umfassendere Lösung auf den Weg zu bringen. Ich glaube, eine Sache haben wir verpasst, als wir zu TIC 3 gegangen sind, und die ist natürlich auch genau zu dem Zeitpunkt passiert, als COVID passiert ist, wie die Veröffentlichung der TIC-Dokumente. Und wir wollten den Cloud-Anwendungsfall für TIC veröffentlichen, den ersten Anwendungsfall. Für Agenturen sind eine Reihe von Anwendungsfällen erforderlich. Als OMB 1926 das TIC-Memo veröffentlichte, gab es eine Reihe von Anwendungsfällen, und wir wollten mit dem Cloud-Anwendungsfall beginnen, weil ich glaube, dort unsere größte Aufmerksamkeit galt. Aber als COVID zuschlug und der Fokus auf Telearbeit rückte, waren wir gezwungen, etwas zu ändern und einen Anwendungsfall für Remote-Benutzer zu veröffentlichen. Viele der Funktionen, die Sie zum Schutz von Remote-Benutzern in einer Zweigstelle tun, und dann in der Cloud. Es gibt einige Gemeinsamkeiten, aber es gibt einige Unterschiede, auf die Sie hinweisen möchten. Ich denke, die Agenturen verwirren die Botschaft wirklich. Und einige Leute haben sich angesehen, was wir gemacht haben, und es war, oh, wir konzentrieren uns einfach mehr auf den Nutzer. Und das war wirklich nicht die Absicht. Also mussten wir den Cloud-Anwendungsfall am Ende veröffentlichen, aber was wir damit machen, ist, dass wir die ganze Zeit, in der wir diese verschiedenen Anwendungsfälle für TIC veröffentlichen, auch mit OMB, dem Weißen Haus, Clare Martoranas Team im Federal CIO und Chris DeRushas Team, dem Federal CISO, daran arbeiten, wie wir eine umfassendere Lösungsarchitektur entwickeln können. Schauen wir uns also an, innerhalb der Cyber-Exekutivverordnung und dann, gleich danach, als Entwurf des Zero-Trust-Strategie-Memos von OMB an die Behörden veröffentlicht wurde. Und auch das war Teil der Bemühungen, wirklich Diskussionen auf Führungsebene zu führen. Bei OMB führten sie Diskussionen wie mit den stellvertretenden Sekretären, bei denen es sich in der Regel um die zweiten Verantwortlichen handelt, die Agenturen selbst brauchen den Sekretär nicht. Es erregte also die Aufmerksamkeit der Führung, und genau das hat er, John Kindervag zugehört, jeder wusste, dass es in Ihrem Interesse sein muss, sowohl eine Ausrichtung von oben nach unten als auch von unten nach oben. Und ich tendiere eher von unten nach oben und helfe, zu pushen, wenn ich kann. Aber wir brauchten diese Führung von oben nach unten, und wie wir schon vor der Telefonkonferenz besprochen hatten, dass ein Präsident zur Verfügung stand, der klar und deutlich sagte: „Behörden, Sie müssen bei der Modernisierung der Cybersicherheitsarchitektur vorankommen“, hat sicherlich dazu beigetragen, die Aufmerksamkeit aller auf sich zu ziehen.

18:10 Uhr Raghu Nandakumara

Oh, ich stehe da draußen. Absolut. Als das herauskam und dann, glaube ich, alles, was danach folgte, kann ich mir nicht vorstellen, dass in der Cybersicherheitswelt mehr Aufregung über etwas herrschen würde, das von einer Regierung auf die Art und Weise kommt, wie sie es vorangetrieben hat. Als es für Sie fiel, drinnen zu sein, wie haben Sie sich gefühlt? Nun, dies ist ein wegweisender Moment in der Geschichte dieser Art von Cybersicherheit. Und ich bin mittendrin.

18:36 Sean Connelly

Nun, das ist eine gute Frage. Ich hätte nie gedacht, dass ich das auf diese Weise gehört habe. Es gab eine Reihe von Schlagstockwürfen. Wenn ich jetzt zurückblicke, ist das sicher der kritische Moment, in dem viele Dinge veröffentlicht wurden. Aber nachdem ich bei CISA war und mit OMB und GSA zusammengearbeitet habe, wurde insgesamt viel unternommen; es hat ein Jahrzehnt gedauert, bis wir an diesen Punkt gekommen sind. Aber klar, die Reaktion, das Interesse an Zero Trust, wo die Regierung nach der Cybersicherheit betrachtet wurde, nach OPM und dem Gespräch, ihre Erwartungen an die Cybersicherheitslage auf Bundesebene, darauf, wo wir jetzt stehen und wie wir in der Lage sind, einfach allgemein mit Ihnen zu sprechen und zu sagen: „Das ist es, was die Bundesregierung tut; das ist es, was wir uns ansehen.“ Es ist nur ein völlig anderes Schiff als Sie. Es hat das Narrativ verändert, und ich glaube, niemand hätte es erwartet, und das ist wieder ein echtes Kompliment, OMB, das Weiße Haus und ihre Weitsicht und die Möglichkeit, die Architektur in den Memos so zu positionieren, dass alle Aufmerksamkeit erregt werden.

19:33 Raghu Nandakumara

Ja, absolut. Und wir haben ganz kurz offline gesprochen, bevor wir mit diesem Thema angefangen haben. Das, was ich auch besonders interessant finde, an dem Memo ist. Kommt das aus dem Weißen Haus und dem Büro des Präsidenten? Einige Details der Spezifität sind unerwartet, ungewöhnlich unerwartet, aber auch sehr willkommen, weil wir zu viele gesehen haben und weiterhin zu viele Arten von Vorschriften sehen, die so hoch sind, dass, wenn Sie sagen: „Okay, nun, was muss ich eigentlich tun?“ Das ist nicht besonders klar. Warum war es also so wichtig, fast ein gewisses Maß an technischer Granularität zu haben? Etwas, das vom Büro des Präsidenten herausgegeben wird, um die Akzeptanz voranzutreiben?

20:19 Sean Connelly

Nun, das ist eine gute Frage. Und wir müssen hier vorsichtig sein, denn ich konnte John Kindervag hören, wie er wie Stecknadeln in die Sean Connelly Voodoo-Puppe steckte. Wir können uns zwar ein bisschen auf die Technik konzentrieren, aber eigentlich geht es mehr um den kulturellen Wandel, der passiert. Aber was Sie sagen, es gibt immer Diskussionen über den Schutz der Daten auf neue Art und Weise. Meine alte Chefin, Sarah Mosley, war 2015, 2016, als sie Chief Technical Officer bei CiscoCisa war, da draußen und predigte: „Sie müssen die Daten schützen“. Hack Diag, eine weitere dieser Quasi-Think-Tanks hier in Washington, DC, sie haben, glaube ich, 2018 ein Papier über Zero Trust veröffentlicht, also war es da draußen, aber zu Ihrem Punkt, bis Sie anfangen, sehr taktische Dinge in ein Zero-Trust-Memo aufzunehmen, die Cyber-Exekutivverordnung, die wirklich alle Aufmerksamkeit erregte. Aber selbst dann könnten wir ein wenig darüber sprechen; selbst als wir einführten, dass Agenturen Identität schnell online bewegen können, gab es Fragen wie, was bedeutet das wirklich? Da wir alle gleichzeitig zur Technologie zurückkehrten, wussten wir, dass die Art und Weise geändert werden musste, wie Agenturen eine Verbindung zur Cloud herstellen und sich mit ihren Benutzern verbinden können, unabhängig davon, ob es sich um Remote-Benutzer, Unternehmensbenutzer oder Kundenstamm handelt. Und diesen Datenverkehr über diese physischen technischen Zugangspunkte zu verlagern, war nicht der richtige Weg, um in der modernen Infrastruktur voranzukommen. Wir mussten also in der Lage sein, den Druck etwas abzubauen und neue Wege anzubieten. Wir sehen also allmählich, dass Behörden Secure Access Service Edge (SASE) - oder Security Service Edge (SSE) -Lösungen verwenden, auf eine Art und Weise, wie das vorher einfach nicht möglich war. Es gab also, fast wie Sie sagten, einen sehr taktischen Weg, Säule für Säule. Und um noch ein bisschen auf OMB und diese Strategie zurückzukommen: Wir haben unsere Veröffentlichung unseres Zero-Trust-Reifegradmodells aufeinander abgestimmt und die Strategie daher gelobt. Und bei CISA hatten wir also diese fünf Säulen, richtig? Identitätsgerät, Daten, Anwendungsnetzwerk und, oh, und sein Memo kam auf diese Weise heraus. Und genau wie es besprochen wurde, hatte oh die Identitäts-Säule, die Agenturen dafür brauchen. Nun, das müssen die Agenturen im Rahmen der Gerätesäule tun. Und es enthielt einen sehr klaren Plan, wie das Sicherheitsniveau in allen Bundesunternehmen verbessert werden kann. Aber in Wirklichkeit gibt es die organisatorischen Veränderungen, die gleichzeitig stattfinden und die dafür von entscheidender Bedeutung sind.

22:29 Raghu Nandakumara

Ja. Und ich stimme zu, ich denke, die Worte, die Sie verwenden, waren wirklich gut, es geht wirklich darum, einen Kultur- oder Strategiewechsel zu erzwingen. Aber das einfach zu spezifizieren, ohne zumindest ein gewisses Maß an taktischen Details zu haben, bedeutet, dass es sehr schwierig ist, die Leute dann festzuhalten, weil es so ist, okay, nun, zeig mir, was du tatsächlich getan hast. Und die taktischen Teile helfen ihnen zu zeigen, was sie getan haben. Sie haben also über das Zero Trust Maturity Model gesprochen. Und ich glaube, es gab 2.0, das letztes Jahr veröffentlicht wurde. 1.0 ist ein paar Jahre her. Sprich mit uns darüber. Das geht ziemlich schnell, kurz nach der Veröffentlichung der zweiten Version. Warum hielten Sie es für notwendig, das irgendwie durchzusetzen? Was sind die wichtigsten Erkenntnisse aus der ersten Version, ihrer Implementierung und dem Feedback, das in die Verbesserungen oder Erweiterungen in 2.0 eingeflossen ist?

23:21 Sean Connelly

Ja, das ist eine gute Frage. Also, fangen wir auf diese Weise an. Also haben wir die erste Version im Sommer 2021 veröffentlicht. Zur gleichen Zeit veröffentlichte OMB den Entwurf der Zero-Trust-Strategie. Und tatsächlich, obwohl wir Version eins veröffentlicht haben, weil ich denke, dass sie erforderlich war, stand sie in der Cyber-Exekutivverordnung. In Wirklichkeit war es eher ein Entwurf, der einfach etwas veröffentlichen wollte. Einer der Gründe, warum wir ihn damals veröffentlichen wollten, war, dass die Behörden dafür verantwortlich waren, ihren Zero-Trust-Umsetzungsplan an das Weiße Haus zu schicken. Und von uns bei CISA und OMB wollen wir, dass die Agenturen quasi eine gemeinsame Taxonomie, eine gemeinsame Sprache haben, wenn sie mit uns sprechen, denn besonders für OMB und uns selbst wird es schwierig sein, über 100 Pläne zu lesen, und sie haben keine Gemeinsamkeiten. Also haben wir das Reifegradmodell veröffentlicht, um Agenturen und Schiffsagenturen bei der Diskussion zu helfen, als sie zu uns kamen und uns erzählten, wie sie sich verbessern, aber ich habe es veröffentlicht, wir wussten, dass wir eine zweite Version machen mussten. Interessant war also, dass ich die Umsetzungspläne erwähnte, die die Agenturen der OMB vorlegen mussten. Und dann Sommer, Frühling und Sommer 2022. Es gab ein Tiger-Team mit uns und OMB und einigen anderen Agenturen, KMU (Fachexperten). Und wir haben die Anzahl der Umsetzungspläne von Agentur zu Behörde durchgesehen; es gibt 20/25, CFO-Agenturen, alle Teilagenturen, und dann auch noch eine Reihe kleinerer Agenturen. Wir gingen sie noch einmal durch, Team für Team, und führten diese Gespräche mit den Agenturen, um zu verstehen, wo sie sich auf ihrem Weg zum Zero Trust befanden. All das spiegelte sich dann in Version zwei des Memos wider, das, glaube ich, im April letzten Jahres veröffentlicht wurde. Es spiegelte diese Diskussionen wirklich wider, wieder über 100 Arbeitsgruppentreffen mit Agenturen, viele Treffen mit den verschiedenen Anbietergemeinschaften selbst und dann mit der Wissenschaft. Gleichzeitig gibt es Interesse von Seiten anderer Regierungen. Deshalb sprechen wir und andere Gruppen mit verschiedenen Regierungen, etwa: „Wie bringt die Bundesregierung Zero Trust voran? Wie unterstützen Sie Connected to the Cloud?“ Daher passen all diese Arten von Diskussionen in dieses Reifegradmodell. Eine Sache, die ich bereits erwähnt habe. Eine der ersten Aufgaben der Agentur bestand darin, zu einer schnellen Identität überzugehen, Online-FIDO2. Und was Sie sagen: Sie sprechen davon, bevor Sie die Sprache in die Politik umsetzen können. Aber trotzdem wollen die Agenturen immer noch wissen: „Ist es das, was Sie wirklich meinen?“ Und seit Jahrzehnten leben Behörden von ihrer CAC-Karte in Papierform. Wir setzen Mitarbeiter der Bundesregierung ein, und sie haben ihre Karte. Aber wir brauchen andere Möglichkeiten, um ein multifaktorales MFA, das gegen Phishing resistent ist, voranzubringen. Im Rahmen dieser Politik hatte OMB also die Weitsicht, FIDO nutzen zu können. Aber bei diesen Diskussionen im Jahr 2022 mussten wir bei fast jeder Behörde darüber sprechen, was wir damit meinen, denn ihre Identität ist quasi eine dieser komischen Branchen in Bezug auf Agenturen und deren Respekt. Einige Agenturen haben einen Identitätsberater; andere Agenturen haben ein KMU im Bereich Identität? Oder, falls Sie die Behörde nicht einmal gefragt haben, wer leitet die Identitätsstrategie für die Behörde? Ist es die Active Directory-Gruppe? Ist es die PKI-Gruppe? Ist es wie die Cloud oder die Leute, die die Cloud-Konten verwalten? Und so musste sich jeder von ihnen fast vor uns stellen und erklären, was wir damit meinen, dass wir im Internet schnell zur Identität verwendet werden, oder einfach nur einige der Fragen reflektieren, die uns bei den einzelnen Säulen der Strategie stellen.

26:39 Raghu Nandakumara

Fantastisch. Wenn Sie also einige der wichtigsten Rückmeldungen, die Sie für all diese Pläne erhalten und sich ansehen, zusammenfassen würden, was waren die wichtigsten Rückmeldungen, die in die Aktualisierungen des Reifegradmodells eingeflossen sind?

26:52 Sean Connelly

Du meinst Version zwei, oder? Eine andere Version? Ja, hol dir einfach eine Perspektive. Es ist ein 20-seitiges Dokument, in dem nicht einmal alle Arbeiter enthalten sind; wir haben gerade darüber gesprochen, als wir im September, glaube ich, oder 2021 den öffentlichen RFC hatten. Wir hatten über 300 Kommentare oder über 200 Seiten und mehr als 30 Kommentare und ein 20-seitiges Dokument. Es hat also eine Weile gedauert, die gemeinsamen Themen herauszuarbeiten. Sie sprechen natürlich davon, dass einige Anbieter ihre Technologie positionieren wollen; wir mussten das Textgefühl aus dieser Art herausnehmen; wir sprechen wirklich darüber, was wir versuchen, was unsere Absicht ist. Als wir die Priorisierung festlegten, wurden Agenturen gesucht. Die Behörden wollten zum Beispiel, dass diese Art von Interesse ist; sie wollten mehr Informationen über die Deprovisionierung von Geräten, darüber, wie man die Bereitstellung von Geräten aufhebt. Bei vielen, lass uns etwas online stellen oder es geht nicht viel um die Deprovisionierung. Also wollten wir das durchsetzen und die Behörden dazu bringen, darüber nachzudenken, wie sie die Bereitstellung von Dingen rückgängig machen müssen. Ich habe die Abgrenzung von MFA zu Phishing-resistentem MFA und FIDO2 erwähnt. Wir haben eine stärkere Sprache verwendet, sowohl in dieser Hinsicht als auch in Version 2. Eine weitere Sache betraf die Netzwerkseite, die eher in Richtung Mikrosegmentierung ging. Und es war interessant. Also nochmal, in der Dokumenten-Community, es ging wirklich um Anwendungssegmentierung. Also, die Anwendungssegmentierung geht in die App-Säule über, aber wir machen das mit verschiedenen Netzwerktools, und wir haben beschlossen, sie in den Bereich Netzwerke zu integrieren. Und um fair zu sein, alle Modelle sind falsch. Einige Modelle sind nützlich, und wir versuchen gerade, dies zu veröffentlichen. Wir sagen nicht, dass dies die einzige Sichtweise ist. Zu diesem Zeitpunkt haben wir mit Agenturen gesprochen. Als er mit mir sprach, half es der Agentur nur zu verstehen, dass die Community versteht, was CISA bedeutet. Aber wir sagen nicht, dass wir mit Sicherheit Recht haben, und was wir in Bezug auf Anwendungssicherheit meinen, ist die Segmentierung sozusagen die Netzwerk-Säule. Eine andere ist Verschlüsselung. Einige Gemeinschaften waren der Meinung, dass die Verschlüsselung meiner Meinung nach in der Datensäule erfolgen sollte; ich denke, wir haben entweder die Netzwerk- oder die Anwendungssäule. Es gibt also einfach viele verschiedene Möglichkeiten, sich zu positionieren, und es ist nicht definitiv hier, um zu sagen, was richtig oder falsch war. Ein weiteres Reifegrad, das es gibt, wie ich bereits erwähnt habe, ist Randy Resnick vor dem Verteidigungsministerium (DoD) und seinem Zero Trust. Das Verteidigungsministerium verfügt über eine Menge großartiger Informationen, es hat eine Strategie, um die Referenzarchitektur zu bekommen, es stützt sich auf viele Funktionen oder Kontrollen, ich glaube, es sind sieben Spieler im Einsatz. Wir haben die fünf Säulen, die ich bereits erwähnt habe, und dann drei übergreifende Funktionen: Sichtbarkeit, Automatisierung und Governance. Wir, ehrlich gesagt, viele von uns sind einfach nur ästhetisch. Wenn du dir Randys Vortrag anhörst und uns zuhörst, sagen wir dasselbe, nur ein bisschen anders, gib ihm eine etwas andere Optik und hilf den Leuten zu verstehen, weil eines, was ich mache, ich habe einen Marketing-Hintergrund, und eines der Dinge, von denen du hörst, ist, dass du etwas siebenmal sieben verschiedene Arten erklären musst, und genau das versuche ich hier zu tun, hilf einfach, das auf unterschiedliche Weise zu erklären, die Absicht. Ich werde auf das zurückkommen, was John Kindervag vor über 10 Jahren positioniert hat.

29:45 Raghu Nandakumara

Ja, absolut. Mein Kopf rast vor all den Dingen, auf die ich reagieren kann, und allem, was du gerade gesagt hast. Aber fangen wir zuerst mit der letzten Sache an. Ich denke, dass wir als Zero-Trust-Praktiker letztlich in der Lage sein sollten, dies auf verschiedene Weise zu gestalten. Ich denke, wir wollen, dass die Behörden, Organisationen usw. eine Zero-Trust-Strategie verabschieden und dann die Taktiken umsetzen, um ihre Haltung zu verbessern. Und wie auch immer wir diese Geschichte erzählen, solange eine dieser Methoden Anklang findet, ist das großartig. Es ist also wirklich wichtig, mehrere Möglichkeiten zu haben, sie zu erzählen. Lassen Sie uns über diesen Weg zur Reife im ZTM-Land sprechen, wenn Sie mich das so nennen lassen. Man hat sozusagen diese traditionellen Anfangsphasen, fortgeschrittenen und optimalen Stufen, und man hat diese Karten für jede der Säulen. Als Sie zunächst das Reifegradmodell und dann natürlich die Folgemaßnahmen zu Punkt Null veröffentlicht haben, haben Sie da zunächst gesehen, wie diese Organisation kopfüber in einer Säule den optimalen Reifegrad erreicht hat, bevor sie dann zur nächsten Säule übergeht? Weil ich sehe, dass sich das in einigen Ihrer 2.0-Formulierungen widerspiegelt.

30:51 Sean Connelly

Ja, das ist ein gutes Argument. Und etwas, das ich sogar über den Unterschied zwischen v1 und v2 erwähnt hatte. V1 ist traditionell, fortgeschritten und optimal. In Version 2 gibt es das traditionelle Anfangsformat und das Optimum für Fortgeschrittene. Und wir müssen das wirklich einbauen, weil es, wenn Sie so wollen, eine so große Distanz zwischen traditionell und fortgeschritten gibt, und wir brauchten sozusagen eine Möglichkeit für Anfänger, damit eine Behörde oder Organisation einfach verstehen kann, wann sie diese Reise beginnt. Deshalb war es wichtig für uns, die Initialen darin zu haben. Aber was Sie sagen, viel Sprache, wir haben über eine Menge Organisationen gesprochen, die in den zivilen Exekutivbehörden ein bisschen anders waren, wo sie bereits auf Reisen sind. Wir sprechen mit vielen Agenturen, die noch im Traditionellen sind und gerade erst am Anfang stehen. Daher ist es so, dass ein Großteil der Organisationen gerade durch die Migration, einfach von der traditionellen zur Anfangsphase, stattfindet. Aber was Ihren Punkt angeht, wie bei den Säulen selbst, haben wir es bewusst so abstrakt gemacht, dass es breit interpretiert werden kann. Aber wir haben einige gehört, wie zum Beispiel die Ansicht, dass wir die optimale Identitätssäule finden müssen, bevor wir uns auf die Netzwerksäule konzentrieren können. Und das ist wirklich nicht die Absicht unseres Modells in Bezug auf die Kategorisierung oder die Art und Weise, wie wir sie ausrichten. Im Idealfall bewegen sich die Organisationen parallel und die verschiedenen Abteilungen selbst. Und ein Großteil meines Schwerpunkts und der von John Kindervag, ich glaube, einige der Dinge, die Sie von Zero Trust sehen, haben eher auf der Netzwerkseite angefangen. Ich denke also, einige Agenturen oder Organisationen waren schon etwas weiter fortgeschritten, wenn Sie so wollen, was das Netzwerk anging, als was die Daten-Säule anging. Im Allgemeinen, zurück zu den Anfängen dieses Gesprächs, geht es in vielen Fällen um Datensicherheit auf neue Art und Weise. Aber ich denke, die Säule der Datensicherheit war die schwächste und wir hatten auch am meisten zu tun. Und wir haben das fast wieder getan, um das zu erkennen. Als wir anfingen, das Reifegradmodell zu schreiben, war es fast so, als hätten wir Daten mit diesen anderen Kategorien, Anwendungen sowie Geräte- und Netzwerkidentitäten verknüpft, weil wir Daten im großen Maßstab einfach nicht so in den Griff bekommen konnten, wie wir es jetzt können.

32:55 Raghu Nandakumara

Ja, ich stimme voll und ganz zu. Ich denke auch, dass die Art und Weise, wie Sie das Reifegradmodell verfolgen, angemessen ist, und ich denke, die Grafik zum Bergsteigen, die Sie im Dunkeln haben, ist angemessen, denn es ist wirklich, wenn ich auch an Ihren Bericht zur IT-Modernisierung zurückdenke, es ist dieser risikobasierte Ansatz. Und wenn ich an diesen Weg den Berg hinauf denke, ist das die tief hängende Frucht oder der nächste einfache Schritt, den ich machen kann, um zur nächsten Etappe zu gelangen. Und ich gehe im Zickzack den Weg hinauf und, und es könnte besser sein. Und genau das ist es, bring mich von einer Säule zur anderen. Denn die nächste offensichtliche Sache, die auf meiner Risikobewertung basiert, betrifft eine andere Säule als die, auf die ich mich heute konzentriere.

33:43 Sean Connelly

Ja, nur eine persönliche Notiz. Also, ich glaube, wir haben das Reifegradmodell im April letzten Jahres veröffentlicht. Und innerhalb einer Woche hielt Kevin Mandia, und jeder kennt Kevin Mandia, zufällig einen Vortrag auf der RSA Conference. Und er nahm das Reifemodell Mountain und steckte es in sein Deck, und ich bin mir sicher, dass ich die Gesprächsthemen verstehe und ihn von allen akzeptiert bekommen werde; es ist ziemlich monumental. Aber dass sie das Bergdeck bauen konnten, war für uns ein ziemliches Kompliment. Aber um es ganz offen zu sagen, Johnson war es wie ein Kollege; er war mehr als einer, der auf diesen Berg drängte. Es hat Resonanz gefunden. Ich glaube, der Reiz ist, wenn man den Gipfel erreicht, diesen Berg, es ist wirklich eine Bergkette, und hinter einem sind vielleicht Berge, das ist keine totale Analogie, aber der Grund, warum ich das sage, ist, weil das Optimum ist, wir werden die Flagge bewegen, wir werden die Torpfosten irgendwann verschieben, genau so, wie sich die Technik weiterentwickelt, wir müssen neue und neue Wege hinzufügen. Aber ja, aus irgendeinem Grund hat das, was Sie sagen, Resonanz gefunden, wenn ich den Berg hinaufging, den ich nicht kommen sah.

34:48 Raghu Nandakumara

Ja, ich mag es wirklich. Ja, wie sind... also wenn wir über die Fortschritte nachdenken, die die Agenturen machen, wie verfolgen sie das? Wie oft wird es verfolgt? Und wie werden sie zur Rechenschaft gezogen?

35:01 Sean Connelly

Ja, das werde ich auf Zehenspitzen umgehen. Das ist der Luxus, als Architekt bei CISA zu arbeiten. Wir konzentrieren uns auf Cybersicherheit. Aber um absolut fair zu sein, ist at eine vorrangige Frage für Office of Management Budget, The Hill, und wir haben ein Team, das dort sitzt, um zu helfen und diese Fragen selbst zu beantworten. Es besteht ein dringender Bedarf an Messungen. Zurück zur Strategie, der Federal Zero Trust-Strategie: Die Behörden wurden daran gemessen, wie viel von ihrer Flotte, wer in ihrem Ökosystem über Phishing-resistente MFE verfügt, wie viele ihrer Daten in der Cloud aus Datenkategorisierungen bestehen. Zum Glück gibt es also Messungen, die auf das zurückgehen, worüber wir zuvor gesprochen haben, um das Memo selbst zu messen. Und jedes davon ist für mich die Schulung, und ich konnte mir vorstellen, dass ich nicht näher darauf eingehen möchte, welche Behörde im Vergleich zu welcher Behörde gut abschneidet, aber es ist mehr, wir sehen in den letzten Jahren eindeutig einen Schub in Richtung Fisher's als MFA, der nur dazu beitragen kann, dass die Bundesregierung den Bürgern helfen kann, diese Netzwerke sicher nutzen zu können. Wir sehen einen klaren Trend dazu, dass die Behörden von dem, worüber wir mit TIC One und TIC Two gesprochen haben, abrücken; eine Reihe von Bundesbehörden mussten kommerzielle TIC-Anbieter nutzen. Sie werden M-TIC-Anbieter genannt. Es handelt sich um einen verwalteten Service, den nur wenige Anbieter anbieten, und Agenturen fragen seit Jahren neben M-Tipps nach anderen Lösungen. Es ist sehr teuer, es ist sehr ineffizient, wie ich schon über die TIC-Steuer gesprochen habe. Wir beobachten allmählich, dass die Behörde von den eingegebenen Lösungen abrückt, um SASE-Lösungen mit Sicherheitszertifizierungsdiensten und -lösungen auf eine Weise anbieten zu können, die eindeutig nicht nur effizientere Netzwerke schafft, insgesamt eine bessere Sicherheit bietet, sondern auch eine bessere Sichtbarkeit bietet. Es gibt also klare Tendenzen für jede dieser Säulen. Man kann schon sagen, dass sie, wenn Sie so wollen, auf einigen dieser verschiedenen Ausgangspunkte der Strategie erfolgreich waren.

36:54 Raghu Nandakumara

Fantastisch. Damals, als das Memo veröffentlicht wurde und die Erwartungen gestellt wurden, bestand gewissermaßen die Notwendigkeit, bis zum 24. Geschäftsjahr deutliche Fortschritte zu erzielen. Sind die Agenturen aus Ihrer Sicht auf dem Weg, das irgendwie zu erreichen? Es scheint so.

27:14 Sean Connelly

Ja, also das OMB arbeitet mit der Behörde zusammen, um einen Teil davon zu messen. Aber auch hier geht es zurück zum Phishing. Die Einführung von MFA ist von entscheidender Bedeutung. In der Lage zu sein, EDR für Endpoint Detection and Response einzufügen und wirklich zu erwähnen. Es gibt einen großen Drang, eine Anzahl, eine größere Anzahl von Geräten zu haben, die irgendeine Art von Endpoint Detection Response Agent unterstützen. Auf der Netzwerkseite habe ich SASE erwähnt. Wir messen also, wie wir es uns vorgestellt haben, und arbeiten daran, sicherzustellen, dass wir, CISA, immer noch an Sichtbarkeit gewinnen, da dies für unsere Mission von entscheidender Bedeutung ist, da die Behörden auf diese neuen Plattformen umsteigen. Es gibt also eine Reihe von Möglichkeiten, wie OMB und The Hill und verschiedene Organisationen, ich denke bei GAO, Verantwortung übernehmen, sie dimensionieren, sie messen neue Wege.

38:00 Raghu Nandakumara

Also, was ist passiert? Also, wir sind im Geschäftsjahr 24, das kommt und geht, wir haben die gewünschten Fortschritte erzielt. Was passiert jetzt, um sozusagen den Anstoß für die nächste Fortschrittsphase zu geben? Oder reicht die Dynamik aus, sodass die Agenturen jetzt sozusagen auf ihrem fröhlichen Weg sind und weitermachen werden?

38:21 Sean Connelly

Nein, das ist eine großartige Frage, und aus meiner Sicht kann ich sagen, dass OMB ein Teamkapitän bei Zero Trust ist, und einige andere werden abwarten müssen, was aus OMB herauskommt. Aber es gibt Diskussionen darüber, was der nächste Schritt zu Ihrem Vorstand ist.

38:34 Raghu Nandakumara

Okay, ich erinnere mich nur, dass Sie über die Kommentare sprechen, die sozusagen auf der Oberfläche von Maturity Model 1.0 abgegeben wurden, und ich erinnere mich, dass ich Kommentare im Namen unseres Unternehmens abgegeben habe. Aber ich glaube, ich erinnere mich an das Argument, das Sie über bestimmte Anbieter angesprochen haben, im Grunde genommen einfach ihre gesamte Produktdokumentation hineingeworfen und gesagt haben: „So implementieren Sie von oben bis x“. Und ich erinnere mich, dass ich Versionen davon gesehen habe und einige der, einige der Überarbeitungen, die wir überprüfen und kommentieren mussten. Und ich erinnere mich, dass ich reingegangen bin und es irgendwie aus der Perspektive umgeschrieben habe, dass das die Fähigkeit ist, die Sie einführen wollen, und das ist der Grund usw. Also, wenn Sie Ihre Kommentare durchdenken, bin ich mir sicher, dass Sie auf Dinge gestoßen sind, zu denen ich mich irgendwann geäußert habe.

39:15 Sean Connelly

Ich habe allerdings eine andere Art, das zu drehen. Eine der Positionen, die ich innehabe, ist, dass ich stellvertretendes Vorstandsmitglied im Tech Modernization Fund bin, den Technology Modernization Funds, TMF, nur zur Information aller. TMF ist eine Lösung für Agenturen, die möglicherweise nicht in der Lage sind, Finanzmittel über normale Kanäle zu erhalten. Sowohl der Kongress als auch das Weiße Haus können, glaube ich, 2018 diese andere alternative Möglichkeit für Agenturen schaffen, Vorschläge bei der TMF einzureichen. Aufgrund der engen Zusammenarbeit der GSA mit OMB und uns bei CISA ist das nicht mehr möglich. Eine Reihe von Agenturen, aber es ist eine Möglichkeit für Agenturen, Vorschläge zu unterbreiten und das System auf eine neue Art zu modernisieren. Aber als wir diese Diskussionen geführt haben, habe ich mir die TMF-Website oft angesehen. Sie können direkt auf der Titelseite Artikel darüber lesen, wie die Modernisierung von Systemen für eine Agentur für Landwirte für Landwirte erfolgt, um ihre Daten schneller verarbeiten zu können. Eine weitere Auszeichnung ging an eine Agentur für Unternehmen, die in der Lage sind, maßgefertigte Waren schneller durch ihre eigenen Häfen zu bringen. Eine weitere Auszeichnung ging an Veteranen, die diese Dienstleistungen schneller in Anspruch nehmen können. Was Sie nicht hören, ist, dass Sie mich nicht sagen hören, dass diese Agenturen möglicherweise mit einem MFA-Zertifikat ausgezeichnet wurden, oder dass die beiden Agenturen möglicherweise die Verlagerung der Cloud nutzen und die Vorteile von Clouds der Datenkennzeichnung und Datenkategorisierung nutzen. Aber in jeder dieser Auszeichnungen steckt noch ein anderes, nämlich das Zero-Trust-Prinzip, nämlich die Zero-Trust-Tenants. Und genau darum geht es bei TMF, den Menschen entweder Dienstleistungen, Gelder oder Informationen schneller zur Verfügung zu stellen. Und so hat sich wieder viel getan. Wir wollten idealerweise Zero-Trust-Mieter und die Produkte darin einbinden. Also, wie Sie mit Anbietern sprechen und wie sie mit ihren Kommentaren und ihren Dienstleistungen und ihrem geistigen Eigentum zu uns kamen, konnten wir trotzdem zulassen, okay, was ist die eigentliche Absicht? Wo liegt der wahre Wert und nutzen Sie ihn als Grundlage für das Reifegradmodell?

41:11 Raghu Nandakumara

Fantastisch. Also, was siehst du als das, wenn du nach vorne schaust? Und Sie denken an, okay, an die anhaltende Weiterentwicklung von Zero Trust in allen Behörden? Was sind Ihrer Meinung nach die wichtigsten Herausforderungen, die Sie für die Zukunft erwarten?

41:22 Sean Connelly

Ja, also ich meine, nach ein bisschen anders, was war die Herausforderung, die sich in letzter Zeit wirklich eröffnet hat. Ehrlich gesagt denke ich, das ist tatsächlich mehr als die Cyber-Exekutivverordnung, wiederum der Vorläufer des Memos, aber es ist notwendig, dass jede Behörde einen Zero-Trust-SME-Experten hat. Wir haben beobachtet, wie sich diese Rolle in einigen Agenturen verbreitet hat, wo es vielleicht nur ein abstraktes Beispiel war, aber vielleicht begann es dort, wo das Zero-Trust-KMU wie im CIO-Büro war, und dann geht es vielleicht zum CISO-Büro und dann vielleicht zum CTO, was darauf hindeutet, nur um zu verstehen, wie Sie die Zero-Trust-Prinzipien positionieren? Und die Ideen, und dann nennen wir es, hast du Disziplin in der Behörde? Und versteh mich nicht falsch, es gibt keine perfekte Antwort. Einige Agenturen sind eher Zero-Trust-Berater geworden und haben einige ihrer KMU aus den verschiedenen Säulen hinzugezogen, wenn man so will, zum Beispiel Identitäts-KMU in ihren Netzwerken. Andere Behörden haben mehr getan, wenn sie fast, eine einzelne Person oder ein einzelnes Büro beurlauben, als für diese Agentur. Einige davon waren nur die Positionierung der organisatorischen Veränderungen, die innerhalb der Behörde selbst stattfinden, ausgehend von einer Menge Zeit, wie zum Beispiel, wenn Agenturen in die Cloud wechseln, wie funktioniert organisatorischer Wandel, also vorher lateral, der Netzwerkbetrieb, Sicherheitsoperationen, für Rechenzentren, sichere Rechenzentrumsabläufe, konzentriert auf Pakete und konzentrieren uns darauf, sicherzustellen, dass wir unsere Verschließen Sie die Kappe und halten Sie Ihre Ausweise bereit oder halten Sie unsere Zentren bereit. Nun, all diese Art von Sichtbarkeit ändert sich in der Cloud. Und da die organisatorischen Veränderungen im Spiel sind, haben die Agenturen jetzt die richtige Art von KMU, um das auszugleichen. Manchmal sehen wir es immer noch bei den Cloud-Anbietern; sie müssen, ich würde es nicht nennen, alte Dienste bereitstellen, aber einige der ursprünglichen Dienste. Also, PCaps, wenn wir immer hören, dass die Anbieter zurückgehen und Support leisten müssen. Ich denke, Cloud-Anbieter dachten im Allgemeinen nicht, dass SOCs und NOCs diese Rohpaketerfassung wollen würden. Aber das ist der Großteil der Organisation, ich spreche nicht nur für die Bundesregierung. Ich meine, ganz allgemein haben viele Organisationen immer noch diesen Wunsch, verfügen über Tools oder Playbooks, die auf Paketerfassung basieren. Daher gibt es immer noch diesen organisatorischen Wandel, der mit unterschiedlichen Positionen und mit unterschiedlichen Geschwindigkeiten stattfindet. Meiner Meinung nach ist das entscheidend, um die Vorteile von Zero-Trust-Lösungen, Cloud-nativen, stärker monetarisierten Lösungen nutzen zu können.

43:53 Raghu Nandakumara

Ich meine, das, glaube ich, eröffnet ein Gefühl, die Offenheit öffnet eine weitere Büchse der Pandora, was eine ganze separate Podcast-Episode ist, in der es darum geht, wie man, wenn man modernisiert, wie man vermeidet, irgendwie einen Teil seiner Altschulden abzubauen und sie mitzunehmen, indem man neue Techniken und Verfahren anwendet, aber das ist für den Fall, dass man zum Podcast zurückkommt, Sean. Wir werden eine ganze Episode darüber haben. Also, aber nur ein paar Dinge, bevor wir, bevor Sie fertig werden, ein bisschen aus einer globalen Perspektive. Ich bin mir sicher, dass es weltweit Regierungen gibt, viele Verbündete der USA, die sich den Erfolg ansehen, den die USA und die US-Behörden mit der Einführung von Zero Trust haben, und versuchen, ähnliche Ansätze zu verfolgen, um ihre Sicherheitsmodernisierung voranzutreiben. Können Sie einen Kontext und Einzelheiten dazu angeben, wie Sie die Ausbreitung von Zero Trust über die Grenzen der USA hinaus beobachten?

44:47 Sean Connelly

Sicher, ich werde hier vorsichtig sein, aber es gab Gespräche mit Behörden, einigen Bundesregierungen, und einige der Diskussionen beziehen sich auf FedRAMP. Und nur was das Programm angeht, das FedRAMP ist, versuchen einige Regierungen immer noch, ihre Regierungsversion oder ihre Version von FedRAMP in ihrem Land durchzusetzen. Einige Länder haben das gemacht, was wir mit TIC 2 gemacht haben, in Bezug darauf, ob sie diese Daten hatten oder ob es eine Netzwerkaggregation gibt, diese endlichen TIC-Zugangspunkte. Und jetzt ist die Regierung am selben Ort, wo es Cloud und Handy gibt. Und so kommen die Regierungen zu uns. Wie nutzen wir die Vorteile dieser Secure Access Service-Lösung oder der SSE-Lösung? Wir führen also diese Art von Diskussionen. Eine weitere, die auf das phishing-resistente MFA zurückgeht. Das ist ein anderer Bereich. Auch hier glaube ich, wo die Bundesregierung etwas anders ist, wir hatten PIV- und CAC-Karten. Aber ein bisschen anders als unsere anderen Regierungen. Aber Sie sehen jetzt ein klares Interesse an FIDO2-Lösungen. Es handelt sich also um ein breites Spektrum dieser Diskussionen, nicht nur um die Position zu dem, was CISA tut. Aber auch hier sind die Cloud-Entwicklung und einfach die Datensouveränität ein weiterer Bereich, in dem ich viele Fragen höre.

45:56 Raghu Nandakumara

Fantastisch. In Ordnung. Also, um es zum Abschluss zu bringen, müssen wir das leider beenden. Also, Sie sind in einem Besprechungsraum zum Auftakt mit einer neuen Agentur, und sie ist dabei, ihre Zero-Trust-Reise zu beginnen. Und sie sagen: „Hey, Sean Connelly, Federal Zero Trust Architect, wir haben keine Ahnung, was Zero Trust ist. Kannst du uns darüber aufklären, worauf wir uns da einlassen?“ Was sagst du?

46:22 Sean Connelly

Das wäre also interessant, weil es in der Bundesregierung keine neuen Behörden gibt, oder? Also, vieles davon ist sehr, sehr alte Technologie; wir haben einige der ältesten Technologien, oder? Niemand sagt, wie die NASA, dass sie Phishing-MFA auf den Voyager-Satelliten installieren müssen, die 10 Milliarden Meilen entfernt sind, oder dass sie einen EDR-Agenten in der Nähe des Mars-Rovers platzieren müssen. Es geht also nicht so sehr um die neue Organisation. Aber zu Ihrem Punkt, wo Sie wohl mit einer Frage hingehen, habe ich John Kindervag ein paar Mal erwähnt. Ich hatte das Vergnügen, vor ein paar Jahren mit John an einem anderen Anschluss als dem Präsidenten zu arbeiten. Ich verstehe das immer falsch. Ich glaube, es war ein Beratungsausschuss für nationale Sicherheit im Bereich Telekommunikation. Diese Dokumente sind auf der Website von CISA verfügbar. Wenn Sie einfach NSTAC Zero Trust eingeben, sollte es direkt darauf ankommen. Aber in diesem Dokument ist eines der Dinge, die da drin stehen, und das ist das Tolle an der Zusammenarbeit mit John, dass John die fünf Schritte für Zero Trust einführt. Und John, das muss man ihm zugute halten, sagt immer, dass Zero Trust wirklich einfach ist. In diesem Dokument sind also diese fünf Schritte aufgeführt. Die erste besteht darin, die geschützte Oberfläche zu definieren. Und das ist der erste Schritt. Nun, das ist anders als bei TIC Two. Was auch immer Sie zu schützen versuchen, Sie versuchen, den Mainframe zu schützen, versuchen, einen Teil der Cloud zu schützen, platzieren Sie ihn hinter dem TIC. Es gab keine Definition der Schutzfläche. Bei Zero Trust ist es das, was versuchen Sie zu schützen? Jetzt wissen Sie, dass Sie diesen ersten Schritt gemacht haben. Der nächste Schritt ist die Abbildung der Transaktionsflüsse. Aber eines der wichtigsten Dinge, da wir gerade über Transaktionsabläufe gesprochen haben, meinen wir nicht nur System, System, Client-Server, ja, die sind wichtig, wie irgendeine Art von Paketerfassung oder einfach so, sondern es ist auch das Unternehmen, mit dem eine Firewall zwischen dem Gespräch mit dem Buchhaltungsteam oder dem Unternehmen selbst spricht. Diese Arten von Abläufen sind hier also von entscheidender Bedeutung. Dann fängst du an, diese neue Architektur aufzubauen. Und auch hier sind es datenzentrierte Lösungen, die Sie im Idealfall versuchen, die Sicherheit näher an das zu schützende Objekt heranzuführen. Ein Teil des Schlüssels ist die Rückkehr zum Reifegradmodell. Wenn Sie dieses neue System aufbauen, sollten Sie idealerweise damit beginnen, von jeder dieser Säulen unterschiedliche Signale zu erhalten. Die Netzwerk-Säule, Sie möchten Signale vom Host-Gerät empfangen, Sie möchten ein Signal von der Identität erhalten, die Sie wollen, all diese Signale, die in den vierten Schritt, die Erstellung der Richtlinien, einfließen können. Das heißt dynamische Richtlinien. Also, als Kunde werde ich für Sie da sein, oder es gibt Zugriff darauf, aber auch, noch einmal, auf die Unternehmensrichtlinien selbst. Und der fünfte Schritt besteht darin, dies zu manifestieren, zu überwachen und aufrechtzuerhalten. In diesen fünf Schritten, die mit der Suche nach einem Schutzdienst beginnen, müssen Sie die Transaktionsabläufe abwickeln, die Architektur aufbauen, die Richtlinien definieren sowie verwalten und überwachen. Das sind die fünf Schritte und Dinge, mit denen ich mit dieser Frage beginnen würde.

49:01 Raghu Nandakumara

Fantastisch. Tja, Sean, ich meine, ich habe noch so viele Fragen an dich, dann weiß ich, dass du einen anstrengenden Tag vor dir hast. Ich danke dir vielmals für diese Zeit heute. Ich weiß das wirklich zu schätzen. Es war fantastisch, mit dir zu sprechen.

49:13 Sean Connelly

Nein, das ist großartig. Sie kennen eindeutig die Netzwerkmodernisierung, Sie wissen, wohin wir gehen. Das war ein lustiges Gespräch. Ich danke dir vielmals.

49:20 Raghu Nandakumara

Vielen Dank, Sean. Danke, dass du dir die dieswöchige Folge von The Segment angesehen hast. Wir werden in zwei Wochen mit unserer nächsten Folge zurück sein. In der Zwischenzeit finden Sie weitere Zero-Trust-Ressourcen auf unserer Website www.illumio.com. Besuchen Sie uns auf LinkedIn und X, indem Sie die Links in unseren Shownotes verwenden. Das ist alles für heute. Ich bin dein Gastgeber, Raghu Nandakumara, und wir werden bald mit mehr zurück sein.

Zurück zum Seitenanfang
Lesen Sie mehr