Die Fortschritte bei Zero Trust auf Bundesebene in diesem Geschäftsjahr: Eine Expertenfrage und -antwort

Mit dem Ende der Bundesfinanzierung ist es der perfekte Zeitpunkt, um auf die Veränderungen zurückzublicken, die wir im vergangenen Geschäftsjahr bei der Cybersicherheit der Behörden gesehen haben. Viele Behörden haben sich darauf konzentriert, ihre Cybersicherheit zu stärken. Zero Trust stand im Mittelpunkt dieser Bemühungen und hat sich von einem Nischenkonzept zu einer zentralen Sicherheitsstrategie entwickelt.  

Wir haben uns kürzlich mit Gary Barlet, dem CTO des öffentlichen Sektors von Illumio, zusammengesetzt, um über die Entwicklung von Zero Trust in der US-Bundesregierung zu sprechen.  

In unserem Gespräch teilte Gary seine Erkenntnisse über den Stand von Zero Trust in der Regierung, die diesjährige Zero-Trust-Transformation auf Bundesebene und darüber, wie Zero-Trust-Technologien wie Mikrosegmentierung die Cybersicherheit des Bundes modernisieren.  

F: Die US-Bundesregierung spricht seit einigen Jahren über Zero Trust. Wie haben sich die Zero-Trust-Initiativen der Behörden im vergangenen Jahr entwickelt?

A: In den letzten Jahren hat sich die Art und Weise, wie die Menschen verstehen, stark verändert. Früher haben wir viel Zeit damit verbracht, die Leute über Zero Trust aufzuklären. Jetzt wissen mehr Menschen, was es ist. Wir verbringen immer mehr Zeit damit, darüber zu diskutieren, wie eine Zero-Trust-Strategie für die individuellen Bedürfnisse ihrer Behörde aussehen sollte.  

Eine wichtige Sache, die den Menschen bewusst wird, ist, dass es kein einzelnes Zero-Trust-Produkt gibt. Zero Trust ist eine Strategie, bei der mehrere Technologien gemeinsam eingesetzt werden.

Ich denke, es gibt immer noch ein bisschen das, was ich eine ungesunde Fixierung auf Identität nennen würde. Viele Leute denken immer noch, dass Zero Trust Identität bedeutet, aber ich sehe, dass sich das langsam ändert.

Ich denke, die größte Veränderung, die ich sehe, ist die Art und Weise, wie die Menschen über Zero-Trust-Technologien denken. Vieles davon hängt von der Bekanntheit ab. Sicherheitsteams verstehen möglicherweise nicht vollständig, wie komplex ihre Netzwerke geworden sind. Sie wissen vielleicht nicht, dass wir bessere und einfachere Möglichkeiten entwickelt haben, um diese Komplexität im Rahmen eines Zero-Trust-Modells zu schützen. Es gibt Möglichkeiten, frühzeitig auf dem Weg zu Zero-Trust schnelle Erfolge zu erzielen, die noch vor wenigen Jahren nicht verfügbar waren.

F: Auf welche Hindernisse stoßen Agenturen Ihrer Erfahrung nach beim Aufbau von Zero Trust?

A: Der Mangel an Ressourcen ist derzeit eine große Herausforderung. Agenturen haben oft mit knappen Budgets, zu wenig Personal und Lücken bei den Cyber-Fähigkeiten zu kämpfen. Für sie ist es schwierig, mit privaten Unternehmen zu konkurrieren, die über mehr Ressourcen und Leistungen verfügen, um qualifizierte Arbeitskräfte anzuziehen. Ich glaube schon, dass neue KI-Technologien dazu beitragen können, einige dieser Ressourcenprobleme zu lindern.

Eine weitere Herausforderung ist das Mindset – und das gilt sowohl für den öffentlichen als auch für den privaten Sektor. Agenturen streben manchmal nach Perfektion und bleiben dabei. Zero-Trust-Richtlinien wie das Zero Trust Maturity Model (ZTMM) der CISA und die Zero Trust Reference Architecture des Verteidigungsministeriums stellen Zero Trust als linearen, schrittweisen Prozess dar, bei dem Sie jeden Schritt abhaken können. Aber das ist nicht die Realität, wie Zero Trust umgesetzt wird. Es ist ein fortlaufender Prozess. Du musst an vielen Bereichen gleichzeitig arbeiten und akzeptieren, dass du nie perfekt, sondern nur besser sein wirst.

Es ist auch notwendig, die Denkweise zu ändern, dass eine Sicherheitsverletzung ein Scheitern bedeutet oder dass es sich nur um das Problem des Sicherheitsteams handelt. Verstöße werden passieren. Oft liegt ihr Ursprung außerhalb der Kontrolle des Sicherheitsteams, wie z. B. bei einer Phishing-E-Mail. Cybersicherheit liegt in der Verantwortung aller. Es braucht ein gewisses Maß an Bewusstsein in der gesamten Regierung.

F: Sie haben auf die Lücke bei den Cyber-Fähigkeiten in der Bundesregierung aufmerksam gemacht. Wie tragen öffentlich-private Partnerschaften, wie sie von FedRAMP unterstützt werden, dazu bei, diese Lücke zu schließen?

A: Öffentlich-private Partnerschaften haben einen Multiplikatoreffekt. Sie bieten Behörden die Flexibilität, die sie benötigen, um mit neuen Technologien, Risiken und Compliance-Anforderungen Schritt zu halten.

Private Organisationen können als vertrauenswürdiger Berater mit der Regierung zusammenarbeiten. Sie bringen Fachwissen mit, das für die eigenen Teams oft unmöglich zu erlernen wäre. Es ist eine großartige Möglichkeit für Sicherheitsexperten des öffentlichen und privaten Sektors, voneinander zu lernen und Erkenntnisse auszutauschen.

Wenn wir Informationen austauschen können, beseitigen wir gemeinsam Silos und verbessern die Cybersicherheit.  

F: Welche Rolle spielen Automatisierung und KI Ihrer Meinung nach bei der Cybersicherheit von Bundesbehörden?

A: Wie in jedem Unternehmen können Sicherheitsautomatisierung und KI Teams dabei helfen, schneller zu arbeiten und die Qualifikationslücke zu schließen. Aber das Risiko, diese Tools zu nutzen, wird im Regierungsbereich noch verstärkt.  

Beim Erstellen und Trainieren von KI-Modellen besteht die Gefahr, dass vertrauliche Informationen, einschließlich der Daten von Mitarbeitern und Bürgern, preisgegeben werden. Die Technologie ist so neu, dass wir noch keinen Weg gefunden haben, klar nachzuverfolgen, woher die Trainingsdaten stammen oder wie sie öffentlich geteilt werden.

KI-Modelle können auch eingebaute Verzerrungen aufweisen. KI-Algorithmen werden von Menschen erstellt, und ihre Trainingsdaten stammen oft aus menschlichen Eingaben. Menschen haben Vorurteile, oft solche, die für uns nicht offensichtlich sind. Zu diesem Zeitpunkt ist es fast unmöglich, die Art und Weise, wie KI unsere Vorurteile aufgreift, zu erkennen und zu korrigieren. Dies kann ein großes Problem in der Regierung sein.  

Die Bürger sind verpflichtet, sich auf staatliche Organisationen zu verlassen und Informationen mit ihnen zu teilen. Jede Art von Voreingenommenheit der Regierung könnte den Bürgern schaden – und sogar Auswirkungen auf Leben und Tod haben.

F: Welche Auswirkungen sehen Sie mit Blick auf die Zukunft von Zero-Trust-Technologien wie Mikrosegmentierung auf die Cybersicherheitsstrategien der Regierung?

A: Zero Trust beschleunigt bereits die Modernisierung der Cybersicherheit für Bundesbehörden. Technologien wie die Mikrosegmentierung helfen Behörden, sich nicht mehr nur auf die Prävention und Erkennung von Sicherheitsverletzungen zu verlassen, sondern Sicherheitsverletzungen einzudämmen.  

Eine positive Veränderung, die wir sehen, ist, dass immer mehr Menschen erkennen, dass Sicherheit die Aufgabe aller ist.

Zero-Trust-Technologie erfordert einen besseren Einblick in das Netzwerk und mehr Zusammenarbeit zwischen den Teams. Die Menschen gewöhnen sich an einen besseren Sicherheitsschutz. Heutzutage wird häufiger gefragt, warum bestimmte Schutzmaßnahmen nicht vorhanden sind, als warum sie vorhanden sind.

Aber wenn Cybersicherheit zu einem Mainstream-Thema wird, besteht meiner Meinung nach die Gefahr, dass wir selbstgefällig werden. Solange die Öffentlichkeit keinen besseren Schutz fordert, werden die Sicherheitsmaßnahmen möglicherweise nicht so schnell wie nötig vorangetrieben. Ich bin zuversichtlich, dass bessere und häufigere Gespräche über Cybersicherheit dazu beitragen werden, die Dynamik, die wir jetzt sehen, fortzusetzen.

Bauen Sie Zero Trust in Ihrer Agentur auf mit Illumio Government Cloud, jetzt FedRAMP® Authorized. Erfahren Sie mehr in der FedRAMP-Marktplatz.