Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

John Kindervags 3 Zero-Trust-Wahrheiten für Regierungsbehörden

Charlie Bedell
Manager für Content-Marketing
Illumio Editorial
2Februar 2024
23 min. lesen
Das Logo des Federal Tech Podcast

In den letzten Jahren hat der öffentliche Sektor in den USA eine Vielzahl von Leitlinien zu Zero Trust erhalten – vom Zero Trust Maturity Model der CISA bis hin zu EO 14028 und NIST SP 800-207. Es kann sich anfühlen, als würde es sich anfühlen, als würde man eine überwältigende Menge an Informationen durchsehen oder wissen, wo man in seiner Agentur anfangen soll.  

Aus diesem Grund hat sich der Federal Tech Podcast in einer kürzlich erschienenen Folge mit John Kindervag, dem Paten und Schöpfer von Zero Trust und Chief Evangelist bei Illumio, zusammengesetzt, um die drei wichtigsten Wahrheiten über Zero Trust zu verstehen. Diese Informationen sind von entscheidender Bedeutung, um Behörden dabei zu helfen, den richtigen Weg zu finden und auf dem richtigen Weg zu bleiben, wenn sie Zero-Trust-Vorschriften einhalten.

1. Sie können Zero Trust nicht auf einmal durchführen

Laut Kindervag ist eines der größten Missverständnisse über Zero Trust, insbesondere in der Bundesregierung, dass man Zero Trust auf einmal und innerhalb eines bestimmten Zeitrahmens erreichen kann.  

Das ist jedoch noch lange nicht die Art und Weise, wie er die Strategie entworfen hat.

"Es ist eine Reise, auf die man geht, und man ist für immer auf ihr", erklärte Kindervag.  

Der Start von Zero Trust ist für Behörden jetzt unerlässlich, um die Resilienz von Missionen zu stärken. Es ist jedoch unmöglich zu wissen, wann Ihre Behörde die vollständige Zero Trust erreichen wird, da es sich um eine fortlaufende Anstrengung handelt. Kindervag sagte, dass die wichtigere Frage, die sich die Behörden stellen sollten, darin besteht, was sie sichern, und nicht wann.

"Ich mache mir nicht so viele Sorgen um die Zeit, sondern darum, die richtigen Anreize und Programme auf die Beine zu stellen", sagte Kindervag.  

Er empfiehlt Behörden, damit zu beginnen, einen vollständigen End-to-End-Einblick in ihre Umgebung zu erhalten. Mit diesen Erkenntnissen können sie erkennen, wo Risiken liegen, die Sicherung der Bereiche priorisieren, die am meisten gefährdet und für die Mission am wichtigsten sind, und dann eine Schutzfläche nach der anderen durcharbeiten: "Sie bauen Zero Trust in Teilen auf", sagte er.

2. Zero Trust ist nicht schwer

Kindervag hat die Zero-Trust-Sicherheitsstrategie entwickelt, die im gesamten Unternehmen Anklang findet, von der obersten Führungsebene bis hin zu den Sicherheitsexperten. Zu diesem Zweck wurde die Strategie so konzipiert, dass sie einfach zu verstehen und umzusetzen ist.

"Warum machen all diese Leute Zero Trust so hart?", scherzte er. "Es ist inkrementell. Man macht es eine geschützte Oberfläche nach der anderen."

Indem die Durchsetzung zu einem iterativen Prozess wird, können sich Sicherheitsteams jeweils auf ein System, eine Anwendung oder eine Ressource konzentrieren – von den kritischsten bis zu den am wenigsten kritischen. Ein großer Vorteil davon ist, dass es die Mission kaum oder gar nicht stört.

"Sie implementieren Zero-Trust-Kontrollen für eine Schutzoberfläche nach der anderen, und das macht es unterbrechungsfrei", erklärte Kindervag. "Das Beste, was man vermasseln kann, ist eine geschützte Oberfläche. Man kann nicht das ganze Netzwerk oder die ganze Umgebung vermasseln."

3. Proaktives Implementieren von Zero Trust

Zero Trust basiert auf der Tatsache, dass Sicherheitsverletzungen unvermeidlich sind. Es spiegelt die Best-Practice-Sicherheitsstrategie für die moderne Angriffsfläche wider.  

"Die Angriffsfläche ist wie das Universum – sie dehnt sich ständig aus", sagte Kindervag.

Herkömmliche Präventions- und Erkennungssicherheitstools wurden für eine Zeit entwickelt, in der Computing-Umgebungen viel kleiner, einfacher und alle innerhalb eines einzigen Perimeters waren. Heutzutage sind Netzwerke komplex, verteilt und perimeterlos.  

Eine Zero-Trust-Architektur hilft Behörden, das erhöhte Risiko zu bewältigen, das sich aus dieser Entwicklung ergibt. "Zero Trust kehrt das Problem um und reduziert es auf etwas, das klein und leicht bekannt ist, das als Schutzfläche bezeichnet wird", erklärte Kindervag.

Präventions- und Erkennungstools sind zwar nach wie vor wichtig, reichen aber nicht aus, um sich vor den sich ständig weiterentwickelnden Cyberbedrohungen zu schützen. Es ist von entscheidender Bedeutung, dass Behörden proaktive Sicherheit sowohl für das Äußere als auch für das Innere des Netzwerks entwickeln. Zero-Trust-Technologien, einschließlich grundlegender Tools wie Zero Trust Segmentation (ZTS), helfen Behörden, sich proaktiv auf Sicherheitsverletzungen vorzubereiten.

"Es gibt viele Leute, die nichts tun, bis etwas Schlimmes passiert ist", sagte Kindervag und merkte an, dass dies eine veraltete Denkweise über Sicherheit sei. "Es ist so, wie wenn der Hagelsturm zuschlägt und man dann eine Versicherung für sein Auto abschließen möchte. Was sagt Ihnen die Versicherungsgesellschaft? Nein, es ist zu spät."

"Sie müssen vor die Sicherheitskontrolle kommen, nicht dahinter", empfahl Kindervag.

Die 5 Schritte für Zero Trust

Kindervag ermutigt Behörden, seinen fünfstufigen Prozess für die Zero-Trust-Implementierung zu befolgen, während sie Zero-Trust-Compliance aufbauen:

  1. Definieren Sie Ihre Schutzfläche: Sie können die Angriffsfläche nicht kontrollieren, da sie sich ständig weiterentwickelt, aber Sie können die Schutzfläche Ihres Unternehmens in kleine, leicht bekannte Teile verkleinern. Die Schutzoberfläche umfasst in der Regel ein einzelnes Datenelement, einen Dienst oder eine Ressource.
  1. Kartierung von Kommunikations- und Verkehrsflüssen: Sie können das System nicht schützen, ohne zu verstehen, wie es funktioniert. Die Transparenz Ihrer Umgebungen zeigt, wo Kontrollen erforderlich sind.
  1. Entwerfen Sie die Zero-Trust-Umgebung: Sobald Sie einen vollständigen Einblick in das Netzwerk erhalten haben, können Sie mit der Implementierung von Kontrollen beginnen, die auf jede Schutzoberfläche zugeschnitten sind.
  1. Erstellen Sie Zero-Trust-Sicherheitsrichtlinien: Erstellen Sie Richtlinien, die eine granulare Regel bereitstellen, die den Zugriff des Datenverkehrs auf die Ressource auf der Schutzoberfläche ermöglicht.
  1. Überwachen und warten Sie das Netzwerk: Binden Sie Telemetriedaten zurück in das Netzwerk, um eine Feedbackschleife aufzubauen, die die Sicherheit kontinuierlich verbessert und ein ausfallsicheres, antifragiles System aufbaut.

Illumio kann Ihrer Agentur helfen, diese fünf Schritte auf Ihrem Weg zu Zero Trust zu durchlaufen. Erfahren Sie mehr darüber, wie wir Regierungsbehörden unterstützen, und kontaktieren Sie uns noch heute, um loszulegen.

Verwandte Themen

Government

Verwandte Artikel

Illumio expandiert in Lateinamerika, um Cyber-Resilienz zu stärken
Cyber Resilience

Illumio expandiert in Lateinamerika, um Cyber-Resilienz zu stärken

Erfahren Sie mehr darüber, was die lateinamerikanische Region zu einem besonderen Ziel von Bedrohungsakteuren macht und wie Illumio helfen kann.

Read more
3 Cybersicherheitsprognosen für 2020
Cyber Resilience

3 Cybersicherheitsprognosen für 2020

Einblicke in die Konvergenz von physischer Infiltration und Cyberangriffen und was dies für die Cybersicherheit bedeutet.

Read more
Was Präsident Bidens Cybersecurity Executive Order für Bundesbehörden bedeutet
Cyber Resilience

Was Präsident Bidens Cybersecurity Executive Order für Bundesbehörden bedeutet

Die Cybersecurity-Durchführungsverordnung von Präsident Biden zielt darauf ab, die Widerstandsfähigkeit zu erhöhen und das Risiko für Regierungsbehörden zu verringern.

Read more
6 Expertenempfehlungen zu Zero Trust für Behörden
Cyber Resilience

6 Expertenempfehlungen zu Zero Trust für Behörden

Holen Sie sich die 6 wichtigsten Empfehlungen aus dem jüngsten GovExec-Webinar zur Implementierung von Zero Trust und Anwendungssegmentierung.

Read more
4 Grundlagen der Cybersicherheit, die jede Bundesbehörde umsetzen sollte
Cyber Resilience

4 Grundlagen der Cybersicherheit, die jede Bundesbehörde umsetzen sollte

Erfahren Sie, warum Cybersicherheitsverantwortliche den notwendigen Wandel hin zu einer Zero-Trust-Denkweise betonen, um sich an neue Bedrohungen anzupassen.

Read more
5 Zero-Trust-Erkenntnisse des ehemaligen CIO der Bundesregierung, Gary Barlet,
Zero-Trust-Segmentierung

5 Zero-Trust-Erkenntnisse des ehemaligen CIO der Bundesregierung, Gary Barlet,

Erfahren Sie, warum Gary Barlet, Federal Field CTO bei Illumio, Zero Trust als einen neuen Weg sieht, Cybersicherheit insgesamt anzugehen, und nicht nur einen neuen Weg, um alte Sicherheitsprobleme zu bewältigen.

Read more

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more