Biden wil Zero-Trust Architectuur in het hele land

De regering-Biden is begonnen met het definiëren van een "zero-trust"-architectuur voor de cyberbeveiligingssystemen en de dagelijkse activiteiten van de Amerikaanse overheid. Haar ambities voor zero trust als cyberdefensie reiken verder dan dit toch al gedurfde doel, tot diep in de particuliere sector.

Van nature heeft een overheidsinitiatief van deze omvang invloed op de markt, aangezien federale aannemers zich aanpassen aan de nieuwe eisen en hun toeleveringsketens ook op één lijn brengen. Maar de regering Biden wil extra invloed uitoefenen op de invoering van "zero-trust"-architecturen in het hele land met maatregelen die variëren van publiek-private softwareontwikkelingsprocessen tot een software-etiketteringsprogramma, zoals het "Energy Star"-etiket voor apparaten, om de veiligheid van software te verifiëren.

Daartoe heeft de regering in mei een uitvoeringsbesluit[1] en in september een ontwerparchitectuur[2] uitgevaardigd, aangezien kritieke infrastructuur in zowel de publieke als de private sector van de VS onophoudelijk het doelwit was van ransomware-aanvallen. "Te lang hebben we het bijltje erbij neergegooid," aldus het bevel. "We moeten de koopkracht van de federale overheid gebruiken om de markt ertoe aan te zetten beveiliging in te bouwen in alle software vanaf de basis."

De "zero-trust"-strategie is een van de initiatieven die deel uitmaken van wat de regering haar "overheidsbrede" reactie op ransomware en andere vormen van cybercriminaliteit noemt. Andere initiatieven zijn onder meer de ondersteuning van wetgeving inzake het melden van ransomware[kl1] en het voeren van internationale diplomatie om wereldwijde criminele netwerken en door staten gesponsorde cyberaanvallen te bestrijden.

De eerste dagen voor Zero Trust

Osterman Research meldde onlangs dat veel organisaties in de private en publieke sector nog in het beginstadium zijn van het inzetten van zero trust: "Ze zijn net begonnen, of ze moeten nog beginnen." Bijna twee op de drie organisaties (65%) verwachten binnen twee jaar een volledige uitrol van een zero-trust architectuur te bereiken, aldus de onderzoeksgroep.[3]

Zero trust brengt verschillende organisatorische en technologische veranderingen met zich mee. De belangrijkste aspecten zijn:

• Aanpak: Geen enkel individu of apparaat is te vertrouwen zonder voortdurende verificatie, of het nu binnen of buiten een organisatie is. Deze benadering vervangt de praktijk van het bouwen van een perimeter rond een organisatie om gegevens en activiteiten te beschermen tegen cyberaanvallen.
• Technologieën: Zero-trust-architecturen zijn gebaseerd op belangrijke technologieën, zoals identiteits- en toegangsbeheer, beheer van de toegang tot toepassingen, gegevensclassificatie en beheer van gegevensstromen. De architectuur is slechts één facet van de cyberbeveiligingsverdediging van een organisatie, die een aanvulling vormt op of integreert met het beheer van softwarekwetsbaarheden, detectie- en reactiesystemen en andere beveiligingen.
• Barriers: Barrières voor implementatie zijn onder andere beperkingen voor het implementeren van zero trust op legacy-systemen, aldus Osterman. Bovendien moeten zero-trust architecturen worden ontworpen en geïmplementeerd zonder de productiviteit te beïnvloeden. Ze vereisen aanzienlijke organisatorische veranderingen om de weerstand te overwinnen van werknemers en andere belanghebbenden die geconfronteerd worden met het vaker valideren van hun identiteiten en toegangsrechten onder verschillende omstandigheden. Er kunnen tientallen of meer van deze zogenaamde "microsegmentatiebeleidslijnen" zijn.

Uiteindelijk bleek uit het onderzoek van Osterman dat zero trust naar verwachting de gemiddelde doeltreffendheid van de verdediging tegen een reeks cyberdreigingen zal verdubbelen.

Federale zero-trust strategie

De "zero-trust"-architectuur, die de overheid in september voor commentaar heeft vrijgegeven, is bedoeld om basisbeleidslijnen en technische eisen vast te stellen en zich tegelijkertijd te richten op de belangrijkste beveiligingsresultaten. De implementatie wordt beschreven als een meerjarig traject. Meer specifiek gaat het om:

• Consolidatie van agentschap-identiteitssystemen.
• Bestrijding van phishing door sterke multifactorauthenticatie.
• Behandelen van interne netwerken als onvertrouwd.
• Versleutelen van verkeer.
• Bescherming dichter bij de gegevens brengen door de beveiliging van toepassingen te versterken.

Tegelijkertijd wordt in de verklaring van het Witte Huis "een gelijktijdig publiek-privaat proces voor de ontwikkeling van nieuwe en innovatieve benaderingen voor de veilige ontwikkeling van software uiteengezet en wordt de kracht van federale aanbestedingen gebruikt om de markt te stimuleren". Voor het bovengenoemde etiketteringsprogramma zou een proefprogramma worden gestart, dat niet alleen op de overheid maar ook op het grote publiek is gericht.

De reactie van het bedrijfsleven is voorlopig

De zero-trust architectuur en de bijbehorende initiatieven in Biden's "whole of government" cybersecurity richtlijn "zullen een brede impact hebben op de private sector," volgens een analyse van het Wiley advocatenkantoor. "De richtlijn wil de lat hoger leggen door middel van een reeks stappen die het cyberlandschap voor zowel de publieke als de private sector op agressieve wijze zullen veranderen." [4]

Bedrijven hebben aarzelend gereageerd. Zo heeft de Information Technology Industry Council (ITI), een brancheorganisatie, zijn algemene steun uitgesproken, maar ook een aantal bezwaren geuit. "In zijn huidige vorm lijkt het document het concept van beveiligingssilo's te bestendigen," zei ITI. "Meer duidelijkheid over een alomvattende benadering van zero trust zal agentschappen helpen hun aanpak te verfijnen voor mensen/apparaten (personeel), applicaties/gegevens (werklast) en activa (werkplek)."

De groep stelde ook voor dat het plan meer prioriteiten zou stellen en dat de aanpak van cyberrisico's proactiever zou zijn. ^[5]

Cisco van zijn kant schreef: "Deze inspanning moet zichtbaar worden gesteund door niet-technische leidinggevenden van het agentschap." [6] Het bedrijf verklaarde de noodzaak van meer nadruk op dit punt door te zeggen dat "implementatie van zero-trust principes zal resulteren in veranderingen in de manier waarop het hele agentschap werkt en zal de risicotolerantie voor alle medewerkers van het agentschap veranderen."

De BSA en de Software Alliance hebben een afwachtende houding. "Ik zou zeggen dat de industrie van duidelijkheid houdt... maar de industrie houdt ook van kwaliteit, dus als wat eruit komt te breed is en meer signaal dan ruis creëert, is er daar een beetje spanning," zei BSA beleidsdirecteur Henry Young.[7]

De kern van de zaak

Terwijl de regering-Biden een zero-trust-architectuur uitrolt, wil zij ook deze opkomende benadering van cyberbeveiliging in het hele land stimuleren, zowel in de openbare als in de particuliere sector. Het is nog vroeg, maar uit onderzoek blijkt dat beveiligingsmanagers veel vertrouwen hebben in het potentieel van zero trust om de beveiliging te verbeteren.

[1] "President Signs Executive Order Charting New Course to Improve the Nation's Cybersecurity and Protect Federal Government Networks," Witte Huis

[2] "Office of Management and Budget Releases Draft Federal Strategy For Moving the U.S. Government Towards to a Zero-Trust Architecture," Witte Huis

[3] "Why Zero Trust Is Important," Osterman Research

[4] "Biden's Cyber EO Aims to Improve Federal Security and Move Private Sector," Wiley

[5] "Re: Oproep tot het indienen van openbare opmerkingen over de federale Zero-Trust-strategie," Raad voor de informatietechnologie-industrie

[6] "Zero Trust en de federale overheid: Feedback for Progress," Cisco

[7] "Industry Groups Express Cautious Optimism About Biden's Executive Order on Software Standards," BSA | The Software Alliance

[kl1]Link naar MB Ransomware Reporting Mandates (nog niet geplaatst)