Unsere Lieblings-Zero-Trust-Geschichten vom August 2023

Wir sind zurück mit einer weiteren Zusammenfassung der Zero-Trust-Neuigkeiten!  

Zero Trust steht bei Sicherheitsexperten und Führungskräften gleichermaßen an erster Stelle. Es war ein wichtiger Schwerpunkt auf der diesjährigen Black Hat USA Konferenz. Und an anderer Stelle, da immer mehr bundesstaatliche Cybersicherheitsvorschriften und -rahmen (wie der National Cybersecurity Strategy Implementation Plan des Weißen Hauses) eingeführt und aktualisiert werden, bleiben die Zero-Trust-Grundsätze – Annahme von Sicherheitsverletzungen und geringsten Privilegien – ganz oben auf der Agenda.

Hier sind einige der Zero-Trust-Geschichten und -Perspektiven, die uns in diesem Monat besonders aufgefallen sind.

Tech-Interessengruppen wollen ein Zero-Trust-Framework, um die Öffentlichkeit vor KI zu schützen (CyberScoop, Tonya Riley)

Angesichts des zunehmenden Interesses und der zunehmenden Akzeptanz von KI hat sich eine Gruppe von Technologiegruppen von öffentlichem Interesse gegen einen "zunehmend selbstregulierenden Ansatz" für künstliche Intelligenz gewehrt. Stattdessen fordern sie einen "Zero-Trust-Ansatz für die KI-Governance". Die Gruppe ist der Ansicht, dass es eine strengere Regulierung und Aufsicht über KI geben muss, da die Technologie auf dem Markt weiter Gestalt annimmt.  

Tonya Riley von CyberScoop erklärt: "Das [vorgeschlagene] Rahmenwerk ist nur der jüngste Vorstoß der Zivilgesellschaft, das Weiße Haus dazu zu bringen, einen strengeren Ansatz bei der KI-Regulierung zu verfolgen, während die Regierung an einer erwarteten KI-Durchführungsverordnung arbeitet."  

Mehr über die mit Spannung erwartete KI-Durchführungsverordnung finden Sie hier.  

KI war auch ein Kernthema bei den diesjährigen Veranstaltungen Black Hat und DEF CON, bei denen es ein spezielles "AI Village" gab, in dem Tausende von ethischen Hackern an verschiedenen Red-Teaming-Übungen teilnahmen, um Schwachstellen in den neuesten KI-Modellen zu entdecken.  

In diesem Blogbeitrag erfahren Sie mehr über die wichtigsten Erkenntnisse von Illumio von der Black Hat 2023.  

Design für die Sicherheit: 10 Cybersicherheitsprioritäten für ein Zero-Trust-Rechenzentrum (VentureBeat, Louis Columbus)

Laut einer neuen Studie erklärt Louis Columbus von VentureBeat, dass zu den anfälligsten Bedrohungsvektoren für Rechenzentren "Kundensupport-, Kundendienst- und Ticketmanagement-Supportportale gehören, die auf Rechenzentrumsservern ausgeführt werden".  

Wenn eine Sicherheitsverletzung nicht schnell entdeckt oder behoben wird, können Angreifer Tausende (sogar Millionen) vertraulicher Kundendaten stehlen und die wertvollsten Geschäftsinformationen eines Unternehmens stehlen.

Der Schlüssel zum Aufbau von Cyber-Resilienz im Rechenzentrum, erklärt Louis, liegt darin, mit Zero Trust zu beginnen: Oder "der Glaube, dass das Rechenzentrum bereits verletzt wurde und weitere Schäden sofort eingedämmt und gestoppt werden müssen".

Er fährt fort, dass "Angreifer ihr Handwerk kontinuierlich verfeinern, um Lücken in den Sicherheitsarchitekturen und Tech-Stacks von Rechenzentren zu finden und auszunutzen. Diese Lücken entstehen oft, wenn langjährige lokale Sicherheitsplattformen ohne die richtigen Konfigurationen in die Cloud erweitert werden, wodurch die Systeme anfällig für Sicherheitsverletzungen werden."

Für Unternehmen, die ihre Sicherheitslage mit einer robusten Zero-Trust-Architektur stärken möchten, empfiehlt das NIST , der Mikrosegmentierung, auch Zero-Trust-Segmentierung genannt, von Anbietern wie Illumio neben anderen identitätsbasierten Governance-, Authentifizierungs- und Netzwerk- und Endpunktsicherheitsmanagementlösungen Vorrang einzuräumen.  

Erfahren Sie, warum 60 % der Unternehmen, die auf Zero Trust hinarbeiten, laut einer Studie von Gartner bis 2026 mehr als eine Form der Mikrosegmentierung verwenden werden.  

Eine bessere Definition von Zero Trust (LinkedIn, Don Yeske)

Ich habe diesen LinkedIn-Artikel des Direktors für nationale Sicherheit des Department of Homeland Security (DHS) sehr genossen. Darin fordert er eine konsistentere, zugänglichere Definition von Zero Trust – eine, die Führungskräfte aller Abteilungen und Größen schätzen und in die Tat umsetzen können.  

Er argumentiert, dass Zero-Trust-Mandate nicht nur ein Schlachtruf für Cybersicherheitspraktiker sind, sondern ein Muss für alle Unternehmens- und Organisationsleiter von heute.  

Er erklärt: "Erfolg hängt von einer gemeinsamen Vision ab, die jeder nicht nur versteht, sondern auch unterstützt und für die jeder bereit ist, zu arbeiten und Opfer zu bringen. Zero Trust wird mit anderen Transformationen konkurrieren, wenn es um Zeit, Geld und Aufmerksamkeit geht. Es werden nicht die Cybersicherheitsexperten sein, die letztendlich über das Ergebnis dieser mehrjährigen Transformation entscheiden. Es werden Führungskräfte aus allen Disziplinen, auf allen Ebenen und in allen Organisationen sein, die für dieses gemeinsame Ziel an einem Strang ziehen müssen."

Kurz gesagt, schlägt er dies als neuen Slogan für Zero Trust vor: "Zero Trust ist ein Wandel in unserem Ansatz für Cybersicherheit: Von netzwerkzentrierter Sicherheit zu datenzentrierter Sicherheit."

Weitere Einblicke in das Thema Zero Trust auf Bundesebene finden Sie in dieser Folge von Illumios The Segment: A Zero Trust Leadership Podcast.  

Das war's für diesen Monat. Wir melden uns bald mit weiteren Zero-Trust-Geschichten zurück!