.png)
Wie Bundesbehörden ein Zero-Trust-Pilotprojekt ins Leben rufen können
Letzte Woche sprach ich mit einem Leiter der Abteilung für Sicherheitsoperationen einer zivilen Behörde. Zero Trust bekommt weiterhin seine Aufmerksamkeit, vor allem am Endpunkt. Er möchte sich in die Zero-Trust-Prinzipien vertiefen, wenn der unvermeidliche Tag aus dem Büro des CIO kommt, an dem er eine Zero-Trust-Architektur implementieren muss. Er teilte auch mit, dass sein CIO Compliance-Druck auf die HVAs (High Value Assets) der Agentur ausübt. Sogar dieser Zweigstellenchef hat seine eigene Untergruppe von HVAs. Ich bin mir sicher, dass dieser Druck etwas damit zu tun hat, dass sie ihre FISMA-Gesamtpunktzahl verbessern wollen – da ein Teil der Scorecard speziell HVAs nennt.
Während es in dieser Agentur einen "Buzz" um Zero Trust gibt, kann es überwältigend sein, sich bei der Auswahl eines klar definierten Ereignisses oder Anwendungsfalls für den Start eines Projekts an die Arbeit zu machen. Das erinnert mich an jemanden, der einen Roman schreiben will und nicht weiß, wo oder wie er anfangen soll. Das Erlernen der Prinzipien des Schreibens ist zwar immer gut, aber es wird nie ausreichen – genauso wie es nie ausreicht, nur die Prinzipien von Zero Trust zu kennen. Es ist das Schreiben selbst, das man anfängt, die Gewohnheit und Konsistenz des Schreibens zu entwickeln. Wenn du einen Roman schreiben willst, dann führe ein Tagebuch, um Konsistenz zu gewährleisten, und suche nach der Möglichkeit, Artikel oder sogar Kurzgeschichten zu schreiben, um deine Schreibfähigkeiten zu erweitern.
Wenn Sie Zero Trust in Ihrem Unternehmen implementieren möchten, sollten Sie zunächst die kritischen Sicherheitsprioritäten und die aktuellen Zero-Trust-Funktionen ermitteln. Definieren Sie, wie Ihr gewünschter Zero-Trust-Endzustand aussehen würde. Wenn Sie ein eng umrissenes Zero-Trust-Problem, Ziele und das gewünschte Ergebnis haben, ist es einfacher, die Unterstützung Ihrer wichtigsten Stakeholder einzuholen.
NIST 800-207 sagt dies, wenn es heißt, dass Zero Trust eine Reise ist, und das Ziel sollte darin bestehen, Zero Trust schrittweise zu implementieren. Du willst später nicht überwältigt werden, indem du versuchst, diesen Roman zu schreiben, ohne ein oder zwei Kurzgeschichten auf dem Buckel zu haben. Warum auf ein zwingendes externes Ereignis wie eine Sicherheitsverletzung, Malware oder einen Zero-Day-Angriff warten? Starten Sie noch heute Ihr Zero Trust Pilotprojekt.
Um einen guten Ausgangspunkt für das Zero-Trust-Pilotprojekt des Filialleiters der Agentur zu finden, wollte ich mehr über seine HVAs erfahren – und darüber, wie wichtig es ist, die Sichtbarkeit der HVAs – ihrer Komponenten und legitimen Verbindungen – zu verbessern. Einige wichtige Fragen sind:
- Welche Anwendungen gelten als HVAs?
- Was sind die Anwendungskomponenten dieser HVAs?
- Wie sehen die Anwendungsebene, die Netzwerk- und Recheninfrastruktur aus?
- Verwenden Sie containerisierte Anwendungen?
- Was sind die legitimen Anwendungs-/Workload-Verbindungen zum HVA?
- Was sind die legitimen Endbenutzer- und Endpunktverbindungen zum HVA?
Transparenz und genaue Daten über die Komponenten und Verbindungen zu HVAs sind unerlässlich. Die Antworten auf diese Fragen helfen bei der Beantwortung der Frage "Wo soll man anfangen?"
Nachdem sie die HVA-Anwendungen eingegrenzt haben, besteht der nächste Schritt darin, die vorhandenen Zero-Trust-Funktionen zu bewerten.
Der derzeitige Ansatz der Behörde zur Absicherung ihrer HVAs offenbart ihre blinden Flecken und weist auf Möglichkeiten zur Ermöglichung von Zero Trust hin.
Aufgrund des schnellen Übergangs zur Remote-Arbeit war es auch wichtig zu verstehen, wie sich die HVA-Sicherheitslage entwickelt hat.
Ich bat den Zweigstellenleiter, mir mehr über seine Endpunkte zu erzählen. Die Niederlassung implementiert derzeit Carbon Black EDR zur Erkennung von Bedrohungen. Wie Sie vielleicht wissen, zeichnet Carbon Black kontinuierlich Endpunktdaten auf und speichert sie , damit Sicherheitsexperten Bedrohungen in Echtzeit für eine "Attack Kill Chain" visualisieren können. In den meisten Fällen kann es zu spät sein, wenn der Angriff bereits stattgefunden hat. Ihre Mission könnte kompromittiert oder Ihre Daten bereits exfiltriert werden.
Um Zero Trust am Endpunkt wirklich zu implementieren, müssen Sie Malware stoppen, bevor sie ausgeführt wird – und vor allem verhindern, dass sich die Malware lateral ausbreitet. Die Behörde kann ihre Endpunkt- und EDR-Investitionen erhöhen, indem sie die eingehenden Peer-to-Peer-Verbindungen zu Endpunkten proaktiv kontrolliert, indem sie eine "Zulassungsliste" legitimer Verbindungen verwendet und alles andere ablehnt. Dies ist das Herzstück von Zero Trust am Endpunkt. Er hat sicherlich die Möglichkeit, ein Zero-Trust-Pilotprojekt an den Endpunkten der Niederlassung zu starten.
Als ich mich etwas tiefer mit den HVAs im Zusammenhang mit Lateral-Movement-Angriffen in ihrem Rechenzentrum und ihrer Cloud-Umgebung befasste, stellte der Niederlassungsleiter fest, dass ein Verlust oder eine Beschädigung ernsthafte Auswirkungen auf die Fähigkeit der Filiale haben würde, ihre Mission zu erfüllen. Die HVAs sind eine Kombination aus jahrelang gesammelten Daten. Die Anwendungen, die damit zu tun haben, haben mit der Analyse und Visualisierung dieser Daten zu tun. Bisher konzentrierte sich der Großteil der Investitionen in Zero Trust auf die Segmentierung von Perimeternetzwerken sowie auf die Governance von Benutzeridentität und -zugriff. Diese Lösungen gehen nicht auf die Schwächen eines offenen und flachen internen Netzwerks ein.
Wenn Sie sich an eine echte Zero-Trust-Architektur halten, müssen Sie davon ausgehen, dass bereits eine Sicherheitsverletzung stattgefunden hat. Sobald sich das Paket innerhalb Ihres Netzwerkperimeters befindet, steuern böswillige Akteure direkt auf Ihre HVAs zu, ohne dass ihnen etwas im Weg steht. Die Sicherung des Ost-West-Verkehrs von HVAs ist ein weiterer Bereich, in dem jetzt ein Zero-Trust-Pilotprojekt gestartet werden kann.
Wir haben die Endpunkte und HVAs seiner Niederlassung als zwei Bereiche identifiziert, um ein Zero-Trust-Pilotprojekt zu starten.
Der nächste Schritt besteht darin, die Anzahl der Endpunkte und die Anzahl der Workloads und Anwendungen zu zählen, die Teil des Pilotprojekts sein werden. Ein kleines Pilotprojekt kann nur 50 Workloads und Endpunkte oder bis zu einigen hundert umfassen, und das Pilotprojekt umfasst die Segmentierung und Mikrosegmentierung dieser Elemente. Der Schlüssel ist, sich nicht von einer potenziellen Komplexität überwältigen zu lassen.
Nächster Schritt: Host-basierte Mikrosegmentierung
Der nächste Schritt besteht darin, das zu laden, was NIST 800-207, Abschnitt 3.1.2 wird als "hostbasierte Mikrosegmentierung mit Software-Agenten" bezeichnet. Mit der Lösung von Illumio laden Sie einen schlanken Software-Agenten auf jeden Workload, jede Anwendung oder jeden Server. Der Agent meldet lediglich den Kontext und die Telemetriedaten in Ihrem Netzwerk an ein "zentrales Gehirn" zurück, das eine grundlegende Echtzeit-Anwendungsabhängigkeitskarte erstellt. Diese Karte ist aus Sicht der Überwachung von entscheidender Bedeutung, da sie NIST 800-53 und dem RMF (Risk Management Framework) entspricht. Der erste RMF-"Bucket" ist identify und bietet eine Echtzeit-Zuordnung von Anwendungsabhängigkeiten, um die Mikrosegmentierungsrichtlinie durchzusetzen. Sie müssen sehen, was in Ihrem Netzwerk passiert – aus Sicht der Anwendung und der Workload –, bevor Sie eine Zero-Trust-Richtlinie verbessern oder durchsetzen können.
Es kann weniger als fünf Tage dauern, bis ein Zero-Trust-Pilotprojekt mit hostbasierter Mikrosegmentierung eingeführt ist, insbesondere wenn der Umfang und die gewünschten Ergebnisse klar definiert sind und es Schulungen gibt, um der mit diesem Pilotprojekt beauftragten Person die effizientesten Wege zu zeigen.
Das einzige Zögern des Abteilungsleiters war auf Ressourcenknappheit zurückzuführen. Er hatte niemanden, den er sich dieser Anstrengung widmen konnte. Lohnt sich eine drei- bis fünftägige Investition, um das Schreiben zur Gewohnheit zu machen – um das Wissen über Zero Trust vom Studium bis zur tatsächlichen Umsetzung zu erweitern?
Neben einem klar definierten Umfang ist ein klar definiertes und messbares Ergebnis wichtig, um Ihr Zero-Trust-Pilotprojekt intern zu verkaufen. Verbesserungen in bestimmten Bereichen der FISMA-CIO-Scores sind nur eines der gewünschten Ergebnisse und Maßstäbe für den Projekterfolg, die die Agentur möglicherweise in Betracht ziehen möchte. Zum Beispiel kann die Filiale der Behörde das Illumio-Traffic-Reporting verwenden, um die Identität und den Umfang der HVA-Anwendungskomponenten und -verbindungen zu validieren und die Mikrosegmentierung als ausgleichende Kontrolle zu verwenden, um ihre Schutzbewertungen zu verbessern. Es kann auch die Schwachstellenkarten von Illumio verwenden, um zu validieren, ob ein verwundbares System als lateraler Angriffsweg verwendet werden kann, was seine FISMA-Bewertungen weiter verbessert. Diese Metriken und die Transparenz sind angesichts der jüngsten Hackerangriffe auf US-Regierungsnetzwerke noch wichtiger.
Sobald Sie Ihr Zero-Trust-Pilotprojekt implementiert und messbare gewünschte Ergebnisse demonstriert haben, ist die Erweiterung sehr einfach – Sie fügen zusätzliche Anwendungen, Workloads und Endpunkte hinzu, bis Sie Ihren Roman geschrieben haben: eine agenturweite Zero-Trust-Architektur.
Um mehr darüber zu erfahren, wie Illumio Bundesbehörden dabei helfen kann, hochwertige Vermögenswerte zu sichern und Zero Trust zu beschleunigen, besuchen Sie die Seite zu den Lösungen des Bundes.
