Pentagon eröffnet Zero-Trust-Büro im Dezember

  • Das US-Verteidigungsministerium verstärkt seine Bemühungen im Bereich der Cybersicherheit mit einem speziellen Büro für Zero Trust, das im nächsten Monat eröffnet werden soll, so ein hochrangiger Beamter.

    Der CISO des Pentagons, David McKeown, sagte auf der CyberCon-Veranstaltung in dieser Woche, dass das Büro dem CIO unterstellt sein wird, obwohl die verantwortliche Führungskraft noch nicht benannt wurde.

    Die Zustimmung der Führungsebene zu Zero Trust hat dazu beigetragen, die Eröffnung zu beschleunigen, die zum Teil als Reaktion auf die SolarWinds-Kampagne gesehen werden kann, bei der neun Bundesbehörden von russischen Spionen kompromittiert wurden.

    “Wir haben unsere Anstrengungen verdoppelt, wir haben intern um Geld gekämpft, um dieses Problem schneller zu lösen”, sagte McKeown.

    “Wir richten ein Büro für Portfoliomanagement ein, das … alle Netzwerkumgebungen da draußen rationalisieren, Prioritäten setzen und jede von ihnen in den kommenden fünf, sechs, sieben Jahren auf einen Pfad des Zero Trust bringen wird.”

    Präsident Bidens Executive Order zur Cybersicherheit vom Mai forderte den Leiter jeder Behörde auf, innerhalb von 60 Tagen einen Plan zur Umsetzung einer Zero-Trust-Architektur zu entwickeln. Der Plan sollte die von der NIST empfohlenen Migrationsschritte für bewährte Praktiken enthalten sowie “alle bereits abgeschlossenen Schritte beschreiben, die Aktivitäten mit den unmittelbarsten Auswirkungen auf die Sicherheit identifizieren und einen Zeitplan für deren Umsetzung enthalten.”

    Felipe Duarte, Senior Researcher bei Appgate, argumentierte, dass Zero Trust von entscheidender Bedeutung ist, um Angreifer daran zu hindern, sich seitlich durch Netzwerke zu bewegen, sobald ein erster Einbruch stattgefunden hat.

    “Nur wenn man die Netzwerke segmentiert und davon ausgeht, dass alle Verbindungen kompromittiert werden können, kann man einen Eindringling in seinem Netzwerk entdecken”, fügte er hinzu.

    “Zero Trust muss in der Kerninfrastruktur implementiert werden. Sie müssen für jedes Gerät, das versucht, eine Verbindung zu Ihrem Netzwerk herzustellen, ein Profil erstellen, eine mehrstufige Authentifizierung verwenden, um sicherzustellen, dass die Anmeldeinformationen nicht kompromittiert werden, Netzwerke segmentieren und isolierte Perimeter schaffen und, was am wichtigsten ist, nur den Zugriff auf das gewähren, was ein Benutzer oder ein System benötigt.”

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com