.png)
Sean Connelly erklärt, wie Zero Trust die Cybersicherheit des Bundes modernisiert hat
Die Cybersecurity and Infrastructure Security Agency (CISA) steht an vorderster Front bei der Verteidigung der kritischen Infrastruktur der USA vor neuen Cyberbedrohungen. Das Unternehmen war auch ein wichtiger Akteur bei der Unterstützung der Bundesregierung bei der Weiterentwicklung ihrer Cybersicherheit von einer traditionellen perimeterbasierten Strategie zu einem modernen Zero-Trust-Ansatz.
In einer kürzlich erschienenen Folge von The Segment: A Zero Trust Leadership Podcast habe ich mich mit einem führenden Architekten zusammengesetzt, der hinter dieser Umstellung auf Zero Trust steht: Sean Connelly, ehemaliger Direktor der Zero Trust Initiative der CISA. Er gab einen Einblick in die transformativen Veränderungen in der Cybersicherheit des Bundes, die Entwicklung von Netzwerkperimetern und praktische Ratschläge für alle, die sich auf eine Zero-Trust-Reise begeben.
Lesen Sie weiter, um eine Zusammenfassung unserer Diskussion zu erhalten.
Über Sean Connelly
Sean ist eine führende Persönlichkeit im Bereich der Cybersicherheit auf Bundesebene und spielte in den letzten zehn Jahren eine entscheidende Rolle bei der Gestaltung von Initiativen bei der CISA. Er entwickelte das Zero-Trust-Cybersicherheitsmodell, das für die Verteidigungsstrategie der Bundesregierung unerlässlich ist. Er leitete auch die Entwicklung des ersten Zero Trust Maturity Model und war Mitautor der NIST Zero Trust Architecture.
Anfang dieses Jahres gründete er das CISA Zero Trust Initiative Office , um Regierungsbehörden die Schulungen und Ressourcen zur Verfügung zu stellen, die sie zur Stärkung ihrer Cybersicherheitsmaßnahmen benötigen.
Wie die CISA zur Modernisierung der Cybersicherheit auf Bundesebene beigetragen hat
Mitte der 2000er Jahre wuchsen die Netzwerke der Bundesbehörden schnell, und die Netzwerkverbindungen mit dem Internet hatten auf eine alarmierende Zahl zugenommen. Die Angriffsfläche wuchs. Sean erkannte, dass die Bundesregierung einen Weg finden musste, das Risiko in der gesamten Bundesregierung zu reduzieren.
Sean und das CISA-Team haben sich 2007 mit anderen US-Cybersicherheitsbehörden zusammengetan, um die Initiative Trusted Internet Connections (TIC) ins Leben zu rufen. Ziel war es, die Anzahl der Gateways in den Regierungsnetzwerken zu begrenzen. Es erfordert, dass der gesamte Internetverkehr des Bundes über eine vom TIC zugelassene Behörde geleitet wird.
Zunächst lag der Schwerpunkt auf der Sicherung des Netzwerkperimeters, der auf einem traditionellen Hub-and-Spoke-Netzwerkmodell basierte. Aber im Laufe der Zeit erkannten Cybersicherheitsverantwortliche wie Sean, dass sie mit dem Aufkommen von Cloud- und Mobiltechnologie einen dezentraleren, datenorientierten Ansatz benötigten.
"Schon damals haben Cisco und das Jericho Forum die Notwendigkeit einer tiefgreifenden Perimeterisierung erwähnt", erklärte er. "Eines ihrer Gebote lautete: 'Je mehr man Sicherheit in die Nähe der Daten bringen kann, desto besser ist es.' Und das macht Sinn, oder?"
TIC entwickelte sich zu 2.0 und schließlich 3.0 weiter, was Behörden nun dazu ermutigt, Cloud-Dienste und Zero Trust einzuführen, um sich vor der komplexen Bedrohungslandschaft von heute zu schützen. TIC 3.0 konzentriert sich auf einen flexibleren, risikobasierten Ansatz als frühere Versionen des TIC-Programms.
Sean nannte TIC 3.0 eine "neue Reise" für die Cybersicherheit des Bundes. Dies führte zu einem besseren Gleichgewicht zwischen Datensicherheit und Netzwerksicherheit. Dies war auch ein wichtiger Meilenstein bei der Einführung eines Zero-Trust-Ansatzes durch die Bundesregierung.
Aufbau des Zero-Trust-Reifegradmodells der CISA
Ein wichtiger Teil dieser "neuen Reise" bestand darin, den Behörden praktische Informationen zum Aufbau von Zero Trust zu geben. Zero Trust erforderte ein Umdenken bei den Behörden, aber die Führungskräfte der Behörden brauchten auch taktische Details, wie sie Zero Trust umsetzen konnten.
Sean leitete die Bemühungen der CISA zur Schaffung des Zero Trust Maturity Model (ZTMM), das 2021 veröffentlicht wurde. Das ZTMM ist eine der wichtigsten Roadmaps, die Bundesbehörden auf dem Weg zu Zero Trust nutzen können.
Das ZTMM ist ein wichtiger Meilenstein bei der Einführung von Zero Trust durch die Bundesregierung. Dies liegt daran, dass es eine gemeinsame Sprache für Agenturen bietet, wenn sie ihre Zero-Trust-Pläne erstellen. Sean hatte erkannt, dass eine präzise Anleitung erforderlich ist, wenn es um den Aufbau von Zero Trust geht. Zu dieser Zeit hatte jede Behörde ein anderes Verständnis von Zero Trust. Es führte zu Verwirrung darüber, wie Zero Trust in der Praxis aussieht und wie es auf die Sicherheitsmandate des Bundes angewendet wird. Er merkte an: "Man kann Sprache in die Politik einbringen, aber die Behörden wollen immer noch wissen: 'Ist es das, was Sie wirklich meinen?'"
Nach der Veröffentlichung der ersten Version schloss sich die CISA anderen Cyber-Agenturen und KMUs an, um von Agentur zu Agentur über ihre Fortschritte und ihren Reifegrad bei Zero Trust zu diskutieren. Dies führte zu 100+ Treffen, darunter solche mit Anbietern, Hochschulen und internationalen Regierungen. Die CISA hat dieses Feedback in die zweite Version des ZTMM aufgenommen, die 2022 veröffentlicht wurde.
"Es hat Anklang gefunden", sagte Sean und erinnerte sich daran, wie oft er die Berggrafik des ZTMM in Präsentationen und Artikeln gesehen hat. "Ich denke, der Reiz ist, wenn man auf den Gipfel dieses Berges kommt, ist es wirklich eine Bergkette."
Sean betonte, dass Zero Trust nie vollständig ist; Es ist eine fortlaufende Reise. "Wir werden die Flagge bewegen, wir werden die Torpfosten irgendwann verschieben, wenn sich die Technologie weiterentwickelt", erklärte er. "Wir müssen immer neue Wege finden, um Zero Trust aufzubauen." Zu diesem Zweck sieht Sean das ZTMM als ein lebendiges Dokument, das kontinuierlich den aktuellen Stand der Cybersicherheit widerspiegeln soll.
In 5 Schritten zu Zero Trust
Laut Sean würde er empfehlen, wenn er in ein Meeting mit Leuten geht, die gerade erst mit ihrer Zero-Trust-Reise beginnen, mit dem NSTAC Zero Trust-Bericht zu beginnen. Dieser Leitfaden, der zusammen mit John Kindervag, dem Schöpfer von Zero Trust und Chief Evangelist von Illumio, erstellt wurde, beschreibt fünf Schritte zum Aufbau eines Zero-Trust-Programms.
Hier ist eine Aufschlüsselung der fünf Schritte, die wir besprochen haben:
- Definieren Sie die Schutzfläche: Identifizieren Sie, was geschützt werden muss.
- Zuordnen von Transaktionsflüssen: Dokumentieren Sie Daten- und Kommunikationsflüsse innerhalb Ihres Unternehmens, einschließlich System-, Client-Server- und organisatorischer Interaktionen.
- Erstellen Sie die Architektur: Entwickeln Sie eine datenzentrierte Sicherheitsarchitektur mit Sicherheitsmaßnahmen in der Nähe der geschützten Ressourcen unter Verwendung von Signalen aus dem Netzwerk, den Host-Geräten und der Identität.
- Erstellen dynamischer Richtlinien: Richten Sie anpassungsfähige Richtlinien ein, die auf sich ändernde Bedingungen reagieren, wobei Client-Server- und organisatorische Interaktionen berücksichtigt werden.
- Manifestieren, Überwachen und Verwalten: Aufbau, kontinuierliche Überwachung und Wartung der Zero-Trust-Umgebung, um kontinuierliche Sicherheit und Compliance zu gewährleisten.
Hören, abonnieren und rezensieren Sie The Segment: A Zero Trust Podcast
Möchten Sie mehr erfahren? Hören Sie sich die ganze Folge mit Sean auf unserer Website, Apple Podcasts, Spotify oder wo auch immer Sie Ihre Podcasts bekommen, an. Sie können auch ein vollständiges Transkript der Episode lesen.
Wir melden uns bald mit weiteren Einblicken in Zero Trust zurück!
.webp)
.webp)