Sean Connelly erzählt, wie Zero Trust die Cybersicherheit des Bundes modernisiert hat

Die Cybersecurity and Infrastructure Security Agency (CISA) steht an vorderster Front, wenn es darum geht, die kritische Infrastruktur der USA vor sich entwickelnden Cyberbedrohungen zu schützen. Sie war auch maßgeblich daran beteiligt, die Bundesregierung dabei zu unterstützen, ihre Cybersicherheit von einer traditionellen perimeterbasierten Strategie hin zu einem modernen Zero-Trust-Ansatz weiterzuentwickeln.

In einer kürzlichen Folge von The Segment: A Zero Trust Leadership Podcast habe ich mich mit einem führenden Architekten getroffen, der hinter dieser Umstellung auf Zero Trust steht: Sean Connelly, ehemaliger Direktor der Zero Trust Initiative von CISA. Er gab einen Einblick in die transformativen Veränderungen in der Cybersicherheit auf Bundesebene, die Entwicklung der Netzwerkperimeter und gab praktische Ratschläge für alle, die sich auf eine Zero-Trust-Reise einlassen.

Lesen Sie weiter, um eine Zusammenfassung unserer Diskussion zu erhalten.

Über Sean Connelly

Sean ist eine führende Figur in Cybersicherheit des Bundes, das in den letzten zehn Jahren eine entscheidende Rolle bei der Gestaltung der Initiativen von CISA gespielt hat. Er entwickelte das Zero-Trust-Cybersicherheitsmodell, das für die Verteidigungsstrategie der Bundesregierung von entscheidender Bedeutung ist. Er leitete auch die Entwicklung des ersten Zero-Trust-Reifegradmodells und war Mitautor der NIST Zero Trust Architecture.

Anfang dieses Jahres lancierte er die Büro der Zero-Trust-Initiative der CISA Regierungsbehörden mit den Schulungen und Ressourcen auszustatten, die sie zur Stärkung ihrer Cybersicherheitsmaßnahmen benötigen.

Wie CISA zur Modernisierung der Cybersicherheit des Bundes beigetragen hat

Mitte der 2000er Jahre wuchsen die Netzwerke der Bundesbehörden schnell, und die Netzwerkverbindungen zum Internet waren auf eine alarmierende Zahl angestiegen. Die Angriffsfläche wuchs. Sean erkannte, dass die Bundesregierung einen Weg finden musste, um das Risiko in der gesamten Bundesregierung zu reduzieren.

Sean und das CISA-Team haben sich mit anderen US-amerikanischen Cybersicherheitsbehörden zusammengetan, um das zu entwickeln Vertrauenswürdige Internetverbindungen (TIC) Initiative im Jahr 2007. Ziel war es, die Anzahl der Gateways in den Regierungsnetzwerken zu begrenzen. Es erfordert, dass der gesamte Internetverkehr des Bundes über eine von TIC zugelassene Behörde weitergeleitet wird.

Anfänglich lag der Schwerpunkt auf der Sicherung des Netzwerkperimeters, was von einem traditionellen Hub-and-Spoke-Netzwerkmodell abhing. Doch im Laufe der Zeit erkannten führende Vertreter der Cybersicherheit auf Bundesebene wie Sean, dass sie einen stärker dezentralisierten, datenorientierten Ansatz benötigten, und zwar mit dem Aufkommen von Wolke und Mobiltechnologie.

„Schon damals erwähnten Cisco und das Jericho Forum die Notwendigkeit einer tiefen Perimetrisierung“, erklärte er. „Eines ihrer Gebote lautete: ‚Je näher man die Sicherheit an die Daten legen kann, desto besser ist es. ' Und das macht Sinn, oder?“

TIC entwickelte sich zu 2.0 und schließlich 3.0, was Behörden nun dazu ermutigt, Cloud-Dienste und Zero Trust einzuführen, um sich vor der heutigen komplexen Bedrohungslandschaft zu schützen. TIC 3.0 konzentriert sich auf einen flexibleren, risikobasierten Ansatz als frühere Versionen des TIC-Programms.

Sean nannte TIC 3.0 eine „neue Reise“ für die Cybersicherheit des Bundes. Dies führte zu einem besseren Gleichgewicht zwischen Datensicherheit und Netzwerksicherheit. Dies war auch ein wichtiger Meilenstein bei der Einführung eines Zero-Trust-Ansatzes durch die Bundesregierung.

Aufbau des Zero-Trust-Reifegradmodells von CISA

Ein wichtiger Teil dieser „neuen Reise“ bestand darin, den Agenturen praktische Informationen zum Bauen zu geben Null Vertrauen. Zero Trust erforderte eine Änderung der Denkweise der Behörden, aber die Behördenleiter benötigten auch taktische Details, um Zero Trust umzusetzen.

Sean leitete die Bemühungen von CISA zur Schaffung der Zero-Trust-Reifegradmodell (ZTMM), veröffentlicht im Jahr 2021. Das ZTMM ist eine der wichtigsten Roadmaps, die Bundesbehörden auf ihrem Weg zu Zero Trust nutzen können.

Das ZTMM ist ein wichtiger Meilenstein bei der Einführung von Zero Trust durch die Bundesregierung. Dies liegt daran, dass es den Behörden bei der Erstellung ihrer Zero-Trust-Pläne eine gemeinsame Sprache bietet. Sean hatte erkannt, dass beim Aufbau von Zero Trust präzise Anleitungen erforderlich sind. Zu dieser Zeit hatte jede Behörde ein anderes Verständnis von Zero Trust. Es sorgte für Verwirrung darüber, wie Zero Trust in der Praxis aussah und wie es sich auf Bundessicherheitsmandate bezog. Er merkte an: „Man kann die Sprache in die Politik einfließen lassen, aber die Behörden wollen immer noch wissen: ‚Ist es das, was Sie wirklich meinen? '“

Nach der Veröffentlichung der ersten Version ging CISA gemeinsam mit anderen Cyberagenturen und KMU von Behörde zu Behörde, um ihre Fortschritte und ihren Reifegrad im Bereich Zero Trust zu besprechen. Dies führte zu über 100 Treffen, darunter Treffen mit Anbietern, Wissenschaftlern und internationalen Regierungen. CISA fügte dieses Feedback der zweiten Version des ZTMM hinzu, die 2022 veröffentlicht wurde.

„Es hat Anklang gefunden“, sagte Sean und dachte darüber nach, wie oft er die Berggrafik des ZTMM in Präsentationen und Artikeln gesehen hat. „Ich glaube, der Reiz ist allerdings, wenn man auf den Gipfel dieses Berges kommt, es ist wirklich eine Bergkette.“

Sean betonte, dass Zero Trust niemals vollständig ist; es ist eine fortwährende Reise. „Wir werden die Flagge verschieben, wir werden die Torpfosten irgendwann verschieben, wenn sich die Technologie weiterentwickelt“, erklärte er. „Wir müssen immer neue Wege finden, um Zero Trust aufzubauen.“ Aus diesem Grund betrachtet Sean das ZTMM als ein lebendes Dokument, das kontinuierlich den aktuellen Stand der Cybersicherheit widerspiegeln sollte.

5 Schritte zu Zero Trust

Laut Sean würde er, wenn er zu einem Meeting mit Leuten gehen würde, die gerade ihre Zero-Trust-Reise beginnen, ihnen empfehlen, mit dem NSTAC Zero Trust-Bericht. Dieser Leitfaden, der zusammen erstellt wurde John Kindervag, der Gründer von Zero Trust und Chief Evangelist von Illumio, skizziert fünf Schritte für den Aufbau eines Zero-Trust-Programms.

Hier ist eine Aufschlüsselung der fünf Schritte, die wir besprochen haben:

1. Definieren Sie die Schutzfläche: Identifizieren Sie, was geschützt werden muss.

2. Transaktionsflüsse zuordnen: Dokumentieren Sie Daten und Kommunikationsflüsse innerhalb Ihres Unternehmens, einschließlich System-, Client-Server- und organisatorischer Interaktionen.

3. Erstellen Sie die Architektur: Entwickeln Sie eine datenzentrierte Sicherheitsarchitektur mit Sicherheitsmaßnahmen in der Nähe der geschützten Ressourcen, die Signale aus dem Netzwerk, den Host-Geräten und der Identität nutzt.

4. Erstellen Sie dynamische Richtlinien: Richten Sie anpassungsfähige Richtlinien ein, die auf sich ändernde Bedingungen reagieren, und berücksichtigen Sie dabei die Interaktionen zwischen Client und Server sowie Unternehmen.

5. Manifestieren, überwachen und verwalten: Aufbau, kontinuierliche Überwachung und Wartung der Zero-Trust-Umgebung, um kontinuierliche Sicherheit und Compliance zu gewährleisten.

Höre zu, abonniere und rezensiere The Segment: A Zero Trust Podcast

Willst du mehr erfahren? Hören Sie sich die ganze Folge mit Sean an unsere Website, Apple-Podcasts, Spotify oder wo auch immer du deine Podcasts bekommst. Sie können auch ein vollständiges Protokoll der Episode lesen.

Wir werden bald mit weiteren Zero-Trust-Einblicken zurück sein!