6 Expertenempfehlungen zu Zero Trust für Behörden

Der öffentliche Sektor steht vor großen Fragen, wenn es um Cybersicherheitsansätze geht. Was kann getan werden, um Schwachstellen zu reduzieren und die Ausbreitung von Sicherheitsverletzungen einzudämmen? Welche Strategien sind der Schlüssel zur Verbesserung der Cyber-Resilienz inmitten einer sich ständig verändernden Bedrohungslandschaft?  

Um dies herauszufinden, diskutierte Gary Barlet, Federal Field CTO bei Illumio, kürzlich mit den Cybersicherheitsexperten der Regierung, Dr. Mark A. Stanley, NASA-Behördenleiter für Zero Trust, und Gerald J. Caron, Chief Information Officer der International Trade Administration, auf GovExec TV, um über die Anwendungssegmentierung und ihre Rolle in der Zero-Trust-Architektur für den öffentlichen Sektor zu diskutieren.

Lesen Sie weiter, um die sechs wichtigsten Empfehlungen aus der Diskussion über die Implementierung von Zero Trust und Anwendungssegmentierung zu erhalten.  

1. Zero-Trust-Initiativen sollten jetzt Priorität haben

Zu Beginn sprach Dr. Stanley über seine Rolle bei der NASA und die Landschaft der Zero-Trust-Politik, die er bei seiner Ankunft vorfand.

"Als ich bei der NASA ankam, war ich völlig überwältigt", sagte er. "Diese Leute dachten bereits über Zero Trust nach und darüber, wie wir dorthin gelangen würden, lange bevor die Durchführungsverordnung überhaupt herauskam. Sie hatten bereits Unterstützung und jede Menge Unterstützung von der Geschäftsleitung."  

Zu Beginn seiner Amtszeit bei der NASA wurde er zum NASA Zero Trust Lead ernannt. Er hat dazu beigetragen, Zero Trust zu einem der grundlegenden Elemente der NASA für die digitale Transformation zu machen.  

"Aus der Perspektive der Prioritäten hat alles, was ich tun kann, um Zero Trust voranzubringen, den Großteil unserer Zyklen in Anspruch genommen", erklärte er.

2. Transparenz ist der Schlüssel zur erfolgreichen Umsetzung einer Zero-Trust-Strategie

Die Antwort von Barlet befasste sich mit dem Kerngedanken, der mit der Zero-Trust-Strategie und der Anwendungssegmentierung einhergeht.

"Zero Trust ist ein sehr weit gefasster Begriff. Das erste, was wir für die Sicherheit für wichtig halten, ist zu verstehen, wie Informationen tatsächlich in Ihrem Unternehmen fließen", sagte Barlet.

Barlet empfahl Unternehmen, die auf Zero Trust hinarbeiten, mit Transparenz zu beginnen. Und das ist nicht nur eine Netzwerkkarte. Die heutigen hybriden Netzwerke sind perimeterlos und verstreut. Sicherheitsteams müssen den Überblick darüber behalten, wie Anwendungen auf einer granularen Ebene interagieren, und Barlet erklärt, dass ein Einblick in die Anwendungskommunikationsflüsse entscheidend ist, um zu verstehen, wie die Anwendung funktioniert. Sobald die Transparenz hergestellt ist, können Sicherheitsteams damit beginnen, Grenzen um diese Anwendungen zu ziehen, um das Netzwerk zu segmentieren.  

"Wenn etwas passiert, ist die Realität, dass es nicht darum geht, ob man kompromittiert wird, sondern wann. Was kommt als nächstes, wenn diese Kompromittierung eintritt?" sagte Barlet.

Erfahren Sie hier, wie die Application Dependency Map von Illumio Transparenz in Ihrer hybriden IT-Umgebung bietet.

3. Wenn Sie jetzt nicht an Zero Trust arbeiten, sind Sie im Rückstand

Barlet erläuterte weiter die Fallstricke für Unternehmen, die bei der Einführung von Zero Trust im Rückstand sind.

"So viele Unternehmen sind heute weit geöffnet", sagte er. "Sobald ein Angreifer Fuß gefasst hat, kann er sich uneingeschränkt in Ihrem Unternehmen ausbreiten."

Angreifer nutzen laterale Bewegungen, um sich von einem Teil der Umgebung in einen anderen auszubreiten. Wenn diese Umgebungen voneinander abgeschottet sind, können sich Sicherheitsverletzungen nicht ausbreiten. Dies wird durch eine Segmentierung, auch Zero-Trust-Segmentierung genannt, erreicht.

"Bei der Segmentierung sieht man all diese verschiedenen Komponenten und zeichnet Anwendung für Anwendung einen Ring", so Barlet. "Sobald das also kompromittiert ist, kann es eingedämmt werden und keine anderen Anwendungen infizieren."

4. Zero-Trust-Initiativen erfordern eine funktionsübergreifende Zusammenarbeit

Um ein Maß an Zero-Trust-Einführung zu erreichen, mit dem sich Unternehmen wohl fühlen können, ist es wichtig, eine kollaborative Denkweise anzunehmen. Dr. Stanley verglich die Denkweise der NASA mit ihrer ähnlichen Herangehensweise an wissenschaftliche Entdeckungen, bei der die NASA den Auftrag hat, Forschung und Erkenntnisse zum Wohle der Menschheit mit der Welt zu teilen.

"Wir auf Bundesseite müssen anfangen, darüber nachzudenken, wie wir zusammenarbeiten können", sagte Dr. Stanley. "Ich bin fest davon überzeugt, dass Cybersicherheit ein Teamsport ist."

Caron setzte Dr. Stanleys Meinung fort und veranschaulichte die Fallstricke des alten Ansatzes für die Zusammenarbeit im Bereich der Cybersicherheit.  

"Es gibt diese Silos der Exzellenz, aber all diese Gruppen müssen zusammenarbeiten, um echtes Zero Trust zu erreichen", erklärte Caron. "Früher hatte man einen Zwischenfall und machte einen Round-Robin-Prozess. Man drehte sich so lange im Kreis, bis man das Problem gefunden hatte."

Aber laut Barlet "kann man diese Dinge nicht mehr manuell machen. Es ist unmöglich, mit der Verbreitung der Technologie, der Verbreitung von Daten und der Verbreitung unserer Nutzer Schritt zu halten. Technologie ist der einzige Weg, wie wir hoffen können, dieser Kurve und diesem Wandel voraus zu sein oder ihr ebenbürtig zu bleiben.  

5. Zero Trust ist eine Strategie, kein Rezept

Im weiteren Verlauf des Webinars beleuchteten die drei Experten eine weitere wichtige Seite der Cybersicherheitsstrategie der Regierung – die Compliance.  

Caron eröffnete die Diskussion mit einer wichtigen Unterscheidung zwischen Compliance und Effektivität: "Das sind zwei sehr unterschiedliche Wörter mit zwei unterschiedlichen Bedeutungen. Compliance kann so etwas bedeuten wie: "Ich habe ein System, also muss ich eine Authentifizierung bereitstellen." Benutzername und Passwort könnten konform sein, aber es ist nicht effektiv."

Mit anderen Worten: Nur weil etwas eine Voraussetzung für die Einhaltung ist, bedeutet das nicht, dass es gleichzeitig Wirksamkeit erreicht. Caron ermutigt Unternehmen, Zero Trust als einen Versuch zu sehen, neben der Erfüllung von Compliance-Anforderungen auch effektiver zu sein.  

"Die Einhaltung der Vorschriften wird sich von selbst ergeben, wenn Sie effektiv werden", sagte Caron. "Das ist das Tolle, was ich an der Zero-Trust-Strategie und der Durchführungsverordnung, in der Zero Trust erwähnt wird, begrüße. Es bringt uns dazu, effektiver zu sein. Es ist eine Strategie, kein Rezept."

6. Schrittweise Schritte in Richtung Zero Trust unternehmen

Zum Abschluss sprachen Barlet und Dr. Stanley über die Best Practices für die Einführung von Zero Trust in Unternehmen.

Laut Barlet "gehen die effektivsten Unternehmen einen Schritt nach dem anderen vor."

Er erklärte, dass zu viele Behörden davon ausgehen, dass sie in der Lage sein werden, von null auf 100 Prozent Zero-Trust-Durchsetzung zu gehen. Wenn sie dann das Ziel nicht erreichen, verliert die Initiative an Fahrt oder wird als zu schwierig angesehen.

"Die Realität ist, dass man nie 100 Prozent erreichen wird", sagte Gary. "In der Welt, in der wir leben, ist der Versuch, 100 Prozent von irgendetwas zu erreichen, ein unerreichbares Ziel."

Stattdessen ermutigt Barlet Unternehmen, in Teilen auf Zero Trust hinzuarbeiten. Durch den schrittweisen Aufbau von Zero Trust können Behörden schnelle Erfolge erzielen und die Verteidigung, Sicherheit und den Schutz im Laufe der Zeit verbessern.

"Barlet war absolut goldrichtig", mischte sich Dr. Stanley ein. "Sie müssen alle Säulen von Zero Trust berücksichtigen. Sie müssen in der Lage sein, den Schutz, den es für Ihre Anwendungen und Daten bietet, zu nutzen, auch wenn Sie diese schrittweisen Verbesserungen an Ihrer Infrastruktur vornehmen."

Erfahren Sie hier mehr darüber, wie Illumio Ihnen helfen kann, Ihre Behörde zu schützen.

Kontaktieren Sie uns noch heute für eine kostenlose Demo und Beratung.