Zero Trust Cyber-Sicherheit
Die NASA signalisiert seit Monaten, dass sie eine Zero-Trust-Architektur für ihre Cybersicherheit einführen will. Jetzt beginnt die Agentur zu erklären, warum und wie sie dies tut. Ein Zero-Trust-Ansatz wird ihm helfen, seine Sicherheitslage zu verbessern. In einer Rede Ende letzten Monats während eines Webinars des American Council for Technology and Industry Advisory Council erklärte Mike Witt, Associate CIO für Cybersicherheit und Datenschutz bei der NASA, wie die NASA die Automatisierung als Teil ihrer Cybersicherheitsreaktion angenommen hat. Die Umstellung auf Telearbeit als Folge der Coronavirus-Pandemie beschleunigt auch die Akzeptanz von Zero Trust, die ein mehrjähriger Prozess sein wird. „Wir müssen weg von der Denkweise ‚Sie können für jede Warnung Rechenschaft ablegen'. Sie müssen Orchestrierungs- und [Sicherheitsorchestrierungs-, Automatisierungs- und Reaktions]-Technologien nutzen – künstliche Intelligenz, maschinelles Lernen. Das muss man akzeptieren“, sagte Witt laut GCN. „Sie müssen Playbooks nutzen und Ihre Teams dazu bringen, im Grunde viele dieser automatisierten Antworten zu machen, damit Sie Ihre begrenzte Analystenmacht … auf einige der interessanteren Dinge konzentrieren können.“ FedTech Insider NASA sieht mehrere Wege zur Verbesserung der Sicherheit Es gibt mehrere Möglichkeiten, wie die NASA zu einem Zero-Trust-Modell übergeht, über die einfache Automatisierung einiger Aspekte ihrer Cybersicherheitsreaktion hinaus. Wie das National Institute of Standards and Technology in seinem im August fertiggestellten Leitfaden zur Zero-Trust-Architektur feststellt, ist Zero-Trust nicht nur eine Reihe von Technologien. Es handelt sich vielmehr um „eine sich entwickelnde Reihe von Cybersicherheitsparadigmen, die die Abwehr von statischen, netzwerkbasierten Perimetern auf Benutzer, Assets und Ressourcen konzentrieren“. Eine Zero-Trust-Architektur verwendet laut NIST Zero-Trust-Prinzipien, um die Unternehmensinfrastruktur und die Arbeitsabläufe zu planen. „Zero Trust geht davon aus, dass Vermögenswerten oder Benutzerkonten kein implizites Vertrauen gewährt wird, das ausschließlich auf ihrem physischen Standort oder Netzwerkstandort basiert (dh lokale Netzwerke im Vergleich zum Internet)“, bemerkt NIST. Eine der Möglichkeiten, wie die NASA Zero Trust anwendet, ist die aktualisierte Trusted Internet Connections 3.0-Richtlinie des Department of Homeland Security. Die aktualisierte Anleitung hat der NASA geholfen, die von ihren Satelliten gesendeten Daten zu schützen. „Die Datenmenge, die wir von Satelliten übertragen, ist jetzt erschütternd, und wir sind tatsächlich auf … ein Problem gestoßen“, sagte Witt während des Webinars laut FedScoop. Die NASA arbeitete mit dem DHS zusammen, um ein Modell zu entwickeln, um Daten von Satelliten in eine sichere Cloud zu bringen, um Forschern den Zugriff auf die Daten zu erleichtern. Die NASA verwendet auch Machine-Learning-Technologie, um ihre Systemprotokolldateien zu analysieren, um anomales Verhalten zu erkennen. Laut FedScoop arbeitet die Weltraumbehörde auch mit dem Verteidigungsministerium und den Geheimdiensten bei „Red Teaming“-Übungen zusammen, um Schwachstellen in ihrem Netzwerk zu erkennen, bevor es böswillige Akteure tun. Die NASA hat auch ihren „signifikanten“ System-Footprint auf ein Drittel des Standes von vor drei Jahren geschrumpft. "Wir sind wahrscheinlich immer noch nicht da, wo wir sein müssen", sagte Witt. LESEN SIE MEHR: Erfahren Sie, wie Sie die Sicherheit mobiler Endpunkte bei der Telearbeit von Benutzern verbessern können. Wie wird sich Zero Trust in der Regierung auswirken? Wie viel werden Behörden in Technologien und IT-Sicherheitsintegrationen investieren, die es ihnen ermöglichen, auf ein Zero-Trust-Modell umzusteigen? Laura Criste, eine bundesstaatliche Marktanalystin bei Bloomberg, sagte gegenüber Federal News Network, dass die Bundesregierung "viele der Technologien besitzt, die in Null-Vertrauenswürdigkeit geraten würden, wie kontinuierliche Diagnose und Schadensbegrenzung". Sie sagt, dass CDM-Technologien, die noch immer nicht vollständig in der gesamten Regierung implementiert sind, entscheidend sein werden, um zu Null Vertrauen zu gelangen. „Auch wenn sie über die Technologien verfügen, müssen sie sie integrieren und sie so nutzen, dass das Zero-Trust-Framework implementiert wird“, sagt sie. „Und dann brauchen sie wahrscheinlich noch etwas Technik. Ich würde nicht erwarten, dass sie jedes einzelne Stück haben, das sie brauchen.“ Criste erwartet, dass Agenturen „einige modernere Technologien kaufen und einige dieser Altsysteme ersetzen werden. Und dann brauchen sie Auftragnehmer, die bei der Integration dieser Systeme helfen können und Experten für diese verschiedenen Arten von Technologien sind.“
AmerAsia Company - Beijing AmerAsia China IT Consulting – Data Drill – CaliCoin.io – AmerAsia Report – Reciprocity Project