.png)
Die Fortschritte bei Zero Trust auf Bundesebene in diesem Geschäftsjahr: Eine Expertenfrage und -antwort
Mit dem Ende der Bundesfinanzierung ist es der perfekte Zeitpunkt, um auf die Veränderungen zurückzublicken, die wir im vergangenen Geschäftsjahr bei der Cybersicherheit der Behörden gesehen haben. Viele Behörden haben sich darauf konzentriert, ihre Cybersicherheit zu stärken. Zero Trust stand im Mittelpunkt dieser Bemühungen und hat sich von einem Nischenkonzept zu einer zentralen Sicherheitsstrategie entwickelt.
Wir haben uns kürzlich mit Gary Barlet, dem CTO des öffentlichen Sektors von Illumio, zusammengesetzt, um über die Entwicklung von Zero Trust in der US-Bundesregierung zu sprechen.
In unserem Gespräch teilte Gary seine Erkenntnisse über den Stand von Zero Trust in der Regierung, die diesjährige Zero-Trust-Transformation auf Bundesebene und darüber, wie Zero-Trust-Technologien wie Mikrosegmentierung die Cybersicherheit des Bundes modernisieren.
F: Die US-Bundesregierung spricht seit einigen Jahren über Zero Trust. Wie haben sich die Zero-Trust-Initiativen der Behörden im vergangenen Jahr entwickelt?
A: There’s been a big shift in how people understand in the last few years. We used to spend a lot of time educating folks on Zero Trust. Now, more people know what it is. We’re spending more time discussing what a zero-trust strategy should look like for their agency’s unique needs.
Eine wichtige Sache, die den Menschen bewusst wird, ist, dass es kein einzelnes Zero-Trust-Produkt gibt. Zero Trust ist eine Strategie, bei der mehrere Technologien gemeinsam eingesetzt werden.
Ich denke, es gibt immer noch ein bisschen das, was ich eine ungesunde Fixierung auf Identität nennen würde. Viele Leute denken immer noch, dass Zero Trust Identität bedeutet, aber ich sehe, dass sich das langsam ändert.
Ich denke, die größte Veränderung, die ich sehe, ist die Art und Weise, wie die Menschen über Zero-Trust-Technologien denken. Vieles davon hängt von der Bekanntheit ab. Sicherheitsteams verstehen möglicherweise nicht vollständig, wie komplex ihre Netzwerke geworden sind. Sie wissen vielleicht nicht, dass wir bessere und einfachere Möglichkeiten entwickelt haben, um diese Komplexität im Rahmen eines Zero-Trust-Modells zu schützen. Es gibt Möglichkeiten, frühzeitig auf dem Weg zu Zero-Trust schnelle Erfolge zu erzielen, die noch vor wenigen Jahren nicht verfügbar waren.
F: Auf welche Hindernisse stoßen Agenturen Ihrer Erfahrung nach beim Aufbau von Zero Trust?
A: A lack of resources is a major challenge right now. Agencies often deal with tight budgets, not enough people, and cyber skills gaps. It’s tough for them to compete with private companies that have more resources and benefits to attract skilled workers. I do think new AI tech can help alleviate some of these resource challenges.
Another challenge is the mindset – and this is true for both the public and private sector. Agencies sometimes aim for perfection and get stuck. Zero-trust guidance like CISA’s Zero Trust Maturity Model (ZTMM) and the Department of Defense’s Zero Trust Reference Architecture presents Zero Trust as a linear, step-by-step process where you can check off each step. But that’s not the reality of how Zero Trust gets done. It’s an ongoing process. You have to work on many areas at once and accept that you’ll never be perfect, just better.
Es ist auch notwendig, die Denkweise zu ändern, dass eine Sicherheitsverletzung ein Scheitern bedeutet oder dass es sich nur um das Problem des Sicherheitsteams handelt. Verstöße werden passieren. Oft liegt ihr Ursprung außerhalb der Kontrolle des Sicherheitsteams, wie z. B. bei einer Phishing-E-Mail. Cybersicherheit liegt in der Verantwortung aller. Es braucht ein gewisses Maß an Bewusstsein in der gesamten Regierung.
F: Sie haben auf die Lücke bei den Cyber-Fähigkeiten in der Bundesregierung aufmerksam gemacht. Wie tragen öffentlich-private Partnerschaften, wie sie von FedRAMP unterstützt werden, dazu bei, diese Lücke zu schließen?
A: Öffentlich-private Partnerschaften haben einen Multiplikatoreffekt. Sie bieten Behörden die Flexibilität, die sie benötigen, um mit neuen Technologien, Risiken und Compliance-Anforderungen Schritt zu halten.
Private Organisationen können als vertrauenswürdiger Berater mit der Regierung zusammenarbeiten. Sie bringen Fachwissen mit, das für die eigenen Teams oft unmöglich zu erlernen wäre. Es ist eine großartige Möglichkeit für Sicherheitsexperten des öffentlichen und privaten Sektors, voneinander zu lernen und Erkenntnisse auszutauschen.
Wenn wir Informationen austauschen können, beseitigen wir gemeinsam Silos und verbessern die Cybersicherheit.
F: Welche Rolle spielen Automatisierung und KI Ihrer Meinung nach bei der Cybersicherheit von Bundesbehörden?
A: Like any organization, security automation and AI can help teams work faster and bridge the skills gap. But the risk of using these tools gets amplified in the government space.
When building and training AI models, there’s a risk of exposing sensitive information, including employees’ and citizens’ data. The technology is so new that we haven’t yet figured out a way to clearly track where training data is coming from or how it will be shared publicly.
KI-Modelle können auch eingebaute Verzerrungen aufweisen. KI-Algorithmen werden von Menschen erstellt, und ihre Trainingsdaten stammen oft aus menschlichen Eingaben. Menschen haben Vorurteile, oft solche, die für uns nicht offensichtlich sind. Zu diesem Zeitpunkt ist es fast unmöglich, die Art und Weise, wie KI unsere Vorurteile aufgreift, zu erkennen und zu korrigieren. Dies kann ein großes Problem in der Regierung sein.
Die Bürger sind verpflichtet, sich auf staatliche Organisationen zu verlassen und Informationen mit ihnen zu teilen. Jede Art von Voreingenommenheit der Regierung könnte den Bürgern schaden – und sogar Auswirkungen auf Leben und Tod haben.
.webp)
F: Welche Auswirkungen sehen Sie mit Blick auf die Zukunft von Zero-Trust-Technologien wie Mikrosegmentierung auf die Cybersicherheitsstrategien der Regierung?
A: Zero Trust is already speeding up cybersecurity modernization for federal agencies. Tech like microsegmentation is helping agencies move away from relying solely on preventing and detecting breaches towards containing breaches.
Eine positive Veränderung, die wir sehen, ist, dass immer mehr Menschen erkennen, dass Sicherheit die Aufgabe aller ist.
Zero-Trust-Technologie erfordert einen besseren Einblick in das Netzwerk und mehr Zusammenarbeit zwischen den Teams. Die Menschen gewöhnen sich an einen besseren Sicherheitsschutz. Heutzutage wird häufiger gefragt, warum bestimmte Schutzmaßnahmen nicht vorhanden sind, als warum sie vorhanden sind.
Aber wenn Cybersicherheit zu einem Mainstream-Thema wird, besteht meiner Meinung nach die Gefahr, dass wir selbstgefällig werden. Solange die Öffentlichkeit keinen besseren Schutz fordert, werden die Sicherheitsmaßnahmen möglicherweise nicht so schnell wie nötig vorangetrieben. Ich bin zuversichtlich, dass bessere und häufigere Gespräche über Cybersicherheit dazu beitragen werden, die Dynamik, die wir jetzt sehen, fortzusetzen.
Bauen Sie Zero Trust in Ihrer Agentur auf mit Illumio Government Cloud, jetzt FedRAMP® Authorized. Erfahren Sie mehr in der FedRAMP-Marktplatz.
.webp)
