Bedrohungsanalyse

    Biden will Zero-Trust-Architektur landesweit vorantreiben

    Während die Biden-Administration ihre Null-Vertrauens-Architektur für Bundesbehörden einführt, haben die Beamten deutlich gemacht, dass sie auch die Wirtschaft mit ins Boot holen wollen.

    by Karen Lynch
    29BLOG_1.jpg

    Wichtige Punkte

    • Eine Durchführungsverordnung des Weißen Hauses treibt die US-Regierung zu einem Null-Vertrauens-Ansatz bei der Cybersicherheit.
    • Im Gegenzug könnten staatliche Auftragnehmer die Einführung von Zero Trust in der Privatwirtschaft beschleunigen, wenn die Lieferketten die Anforderungen der Behörden erfüllen.
    • Über diesen Schneeballeffekt hinaus hat die Biden-Administration Ziele für die Privatwirtschaft festgelegt, um landesweit Null Vertrauen zu erreichen.

    Die Regierung Biden hat damit begonnen, eine Null-Vertrauens-Architektur für die Cybersicherheitssysteme und den täglichen Betrieb der US-Regierung zu definieren. Ihre Ambitionen für Null-Vertrauen als Cyberverteidigung reichen über dieses bereits kühne Ziel hinaus bis tief in den privaten Sektor hinein.

    Es liegt in der Natur der Sache, dass eine öffentliche Beschaffungsinitiative dieses Ausmaßes den Markt beeinflusst, da die Auftragnehmer des Bundes sich auf die neuen Anforderungen einstellen und auch ihre Lieferketten anpassen müssen. Die Regierung Biden möchte jedoch zusätzlichen Einfluss auf die landesweite Einführung von vertrauensfreien Architekturen ausüben, indem sie Maßnahmen ergreift, die von öffentlich-privaten Softwareentwicklungsprozessen bis hin zu einem Software-Kennzeichnungsprogramm reichen, ähnlich dem "Energy Star"-Label für Haushaltsgeräte, um die Sicherheit von Software zu überprüfen.

    Zu diesem Zweck hat die Regierung im Mai eine Durchführungsverordnung[1] und im September einen Architekturentwurf[2] herausgegeben, da kritische Infrastrukturen sowohl im öffentlichen als auch im privaten Sektor der USA unerbittlich von Ransomware-Angriffen betroffen waren. "Viel zu lange haben wir die Sache auf die lange Bank geschoben", heißt es in der Anordnung. "Wir müssen die Kaufkraft der Bundesregierung nutzen, um den Markt dazu zu bringen, Sicherheit von Grund auf in alle Software einzubauen."

    Die Null-Vertrauens-Strategie ist eine von mehreren Initiativen, die zu der von der Regierung als "gesamtstaatlich" bezeichneten Reaktion auf Ransomware und andere Arten von Cyberkriminalität gehören. Zu den weiteren Initiativen gehören die Unterstützung der Gesetzgebung zur Meldung von Ransomware[kl1] und die internationale Diplomatie zur Bekämpfung globaler krimineller Netzwerke und staatlich geförderter Cyberangriffe.

    Die ersten Tage von Zero Trust

    Osterman Research hat kürzlich berichtet, dass sich viele private und öffentliche Organisationen noch in der Anfangsphase der Einführung von Zero Trust befinden: "Sie fangen gerade erst an oder stehen noch am Anfang". Fast zwei von drei Unternehmen (65 %) erwarten, dass sie innerhalb von zwei Jahren eine vollständige Zero-Trust-Architektur einführen werden, so die Forschungsgruppe.[3]

    Zero Trust beinhaltet mehrere organisatorische und technologische Veränderungen. Zu den wichtigsten Aspekten gehören:

    • Ansatz: Keiner Person und keinem Gerät darf ohne ständige Überprüfung vertraut werden, weder innerhalb noch außerhalb einer Organisation. Dieser Ansatz ersetzt die Praxis, einen Perimeter um eine Organisation herum aufzubauen, um Daten und Abläufe vor Cyberangriffen zu schützen.
    • Technologien: Zero-Trust-Architekturen basieren auf Schlüsseltechnologien wie Identitäts- und Zugriffsmanagement, Anwendungszugriffsmanagement, Datenklassifizierung und Datenflussmanagement. Die Architektur ist nur eine Facette der Cybersicherheitsabwehr eines Unternehmens, die Software-Schwachstellenmanagement, Erkennungs- und Reaktionssysteme und andere Schutzmaßnahmen ergänzt oder integriert.
    • Barrieren: Zu den Hindernissen bei der Implementierung gehören laut Osterman die Einschränkungen bei der Implementierung von Zero-Trust auf Altsystemen. Darüber hinaus müssen Zero-Trust-Architekturen ohne Beeinträchtigung der Produktivität entwickelt und implementiert werden. Sie erfordern erhebliche organisatorische Veränderungen, um den Widerstand von Mitarbeitern und anderen Beteiligten zu überwinden, die ihre Identitäten und Zugriffsrechte unter verschiedenen Umständen häufiger überprüfen müssen. Es könnte Dutzende oder mehr dieser so genannten "Mikro-Segmentierungsrichtlinien" geben.

    Letztlich hat Ostermans Studie gezeigt, dass Zero Trust die durchschnittliche Wirksamkeit der Abwehrmaßnahmen gegen eine Reihe von Cyberbedrohungen verdoppeln dürfte.

    Zero-Trust-Strategie des Bundes

    Die Zero-Trust-Architektur, die von der Regierung im September zur Kommentierung freigegeben wurde, soll die grundlegenden politischen und technischen Anforderungen festlegen und sich auf die wichtigsten Sicherheitsergebnisse konzentrieren. Die Umsetzung wird als ein mehrjähriger Prozess beschrieben. Im Einzelnen umfasst sie Folgendes:

    • Konsolidierung der Identitätssysteme der Agenturen.
    • Bekämpfung von Phishing durch starke Multifaktor-Authentifizierung.
    • Interne Netzwerke werden als nicht vertrauenswürdig behandelt.
    • Verschlüsselung des Datenverkehrs.
    • Verlagerung des Schutzes näher an die Daten durch Stärkung der Anwendungssicherheit.

    Gleichzeitig wird in der Erklärung des Weißen Hauses "ein paralleler öffentlich-privater Prozess zur Entwicklung neuer und innovativer Ansätze für die Entwicklung sicherer Software und zur Nutzung der Macht des öffentlichen Auftragswesens als Anreiz für den Markt" beschrieben. Für das oben erwähnte Kennzeichnungsprogramm soll ein Pilotprogramm gestartet werden, das sich nicht nur an die Regierung, sondern auch an die breite Öffentlichkeit richtet.

    Die Antwort der Unternehmen ist vorläufig

    Laut einer Analyse der Anwaltskanzlei Wiley werden die Null-Vertrauens-Architektur und die begleitenden Initiativen in Bidens "regierungsweiter" Cybersicherheitsrichtlinie "weitreichende Auswirkungen auf den privaten Sektor haben". "Sie versucht, die Messlatte durch eine Reihe von Schritten anzuheben, die die Cyberlandschaft sowohl für den öffentlichen als auch für den privaten Sektor aggressiv verändern werden. [4]

    Die Unternehmen haben zögerlich reagiert. Der Branchenverband Information Technology Industry Council (ITI) beispielsweise befürwortete das Dokument insgesamt, äußerte jedoch einige Bedenken. "In seiner derzeitigen Form scheint das Dokument das Konzept der Sicherheitssilos aufrechtzuerhalten", so ITI. "Mehr Klarheit in Bezug auf einen umfassenden Ansatz für Zero Trust wird den Behörden helfen, ihren Ansatz in Bezug auf Menschen/Geräte (Arbeitskräfte), Anwendungen/Daten (Arbeitsbelastung) und Vermögenswerte (Arbeitsplatz) zu verfeinern.

    Die Gruppe schlug außerdem vor, den Plan stärker nach Prioritäten auszurichten und proaktivere Ansätze für Cyberrisiken zu wählen. [5]

    Cisco schrieb seinerseits: "Diese Bemühungen müssen von der nicht-technischen Leitung der Behörde sichtbar unterstützt werden." [6] Das Unternehmen begründete die Notwendigkeit einer stärkeren Betonung dieses Punktes damit, dass "die Umsetzung der Null-Vertrauens-Prinzipien zu Veränderungen in der Arbeitsweise der gesamten Behörde führen und die Risikotoleranz aller Behördenmitarbeiter verändern wird."

    BSA | The Software Alliance äußerte eine abwartende Haltung. "Ich würde sagen, die Industrie mag Klarheit ... aber die Industrie mag auch Qualität, und wenn das, was dabei herauskommt, zu breit gefächert ist und mehr Signal als Rauschen erzeugt, gibt es da ein paar Spannungen", sagte der BSA Policy Director Henry Young.[7]

     

    Die Quintessenz

    Mit der Einführung einer Zero-Trust-Architektur will die Regierung Biden diesen neuen Ansatz für die Cybersicherheit im ganzen Land, sowohl im öffentlichen als auch im privaten Sektor, vorantreiben. Noch ist es nicht so weit, aber Untersuchungen zeigen, dass Sicherheitsverantwortliche große Hoffnungen in das Potenzial von Zero-Trust zur Verbesserung der Sicherheit setzen.

     


    [1] "Präsident unterzeichnet Exekutiverlass, der einen neuen Kurs zur Verbesserung der Cybersicherheit der Nation und zum Schutz der Netze der Bundesregierung vorgibt," Weißes Haus

    [2] "Office of Management and Budget Releases Draft Federal Strategy For Moving the U.S. Government Towards a Zero-Trust Architecture," White House

    [3] "Warum Zero Trust wichtig ist," Osterman Research

    [4] "Biden's Cyber EO Aims to Improve Federal Security and Move Private Sector," Wiley

    [5] "Re: Aufruf zur öffentlichen Stellungnahme zur Federal Zero-Trust Strategy," Information Technology Industry Council

    [6] "Zero Trust and the Federal Government: Feedback für den Fortschritt," Cisco

    [7] "Industry Groups Express Cautious Optimism About Biden's Executive Order on Software Standards," BSA | The Software Alliance

    [kl1]Link zu MB Ransomware-Meldepflichten (noch nicht veröffentlicht)

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang