Forrester (Nasdaq: FORR) är ett av de mest inflytelserika forsknings- och rådgivningsföretagen i världen. Vi hjälper ledare inom teknik, marknadsföring, kundupplevelse, produkt- och försäljningsfunktioner att använda kundbesatthet för att påskynda tillväxten.
Fullständig beskrivning publicerad i Forrester den 1 februari 2022 | Ämne: Säkerhet
Vilken tid att vara vid liv! Hot i hälarna på Forresters release av vår definition av modern Zero Trust (ZT), släppte US Office of Management and Budget (OMB) ett memo med titeln Moving the US Government Toward Zero Trust Cybersecurity Principles.
Tillfällighet? Ja. En stor sak? Också, ja.
Om de utförs enligt mandat kommer inte bara statliga myndigheter att uppfylla säkerhetsmognadsnivåerna för stora organisationer i den privata sektorn (de började precis anställa på den nivån, kom ihåg), de kommer också att överträffa dem. Denna stora förändringssatsning sätter en ny ribba för alla sektorer och är en anledning till att fira. Det bryter också ner barriärerna för antagande av Zero Trust genom att ge säkerhetsledare inom olika branscher en uppsättning prioriteringar i linje med var och en av de fem Zero Trust-pelarna, som de kan söka verkställande buy-in – allt enklare av en högprofilerad regering mandat — och bygga in i deras budgetar och tidslinjer.
Fira den här strategin
Zero Trust-förespråkare borde hoppa av glädje över den federala regeringens förståelse av modern Zero Trust och hur den är operationaliserad. Forrester utsåg sju operativa domäner för Zero Trust: fem för säkerhetskontroller och två för interaktion över domänerna när vi skapade Zero Trust eXtended (ZTX). Cybersecurity and Infrastructure Security Agency (CISA) och OMB erkänner dessa sju och lägger till en till: styrning.
Så under det senaste decenniet, där det tidigare fanns mycket förvirring kring hur man definierar eller operationaliserar Zero Trust, finns det idag en utströmning av anpassade definitioner, tack vare Vita husets verkställande order som släpptes i början av 2021. Viktigt är att CISA:s syn tar ledtrådar från Forresters ursprungliga utformning av Zero Trust när vi först definierade det för över 12 år sedan. Våra vapen pekar åt samma håll.
För det andra har OMB-strategidokumentet djup och bredd. Inom alla dessa domäner ringer OMB inte bara rätt samtal, det gör det djärva samtalet och fördubblar Zero Trust. Det finns gott om exempel!
Forrester
Det finns en handfull halva åtgärder, vilket är färre än vi förväntade oss för statlig IT som till stor del består av öar med varierande teknisk mognad. Detta inkluderar krypterad e-post och ett visst utrymme för hur människor gör ZT i nätverket (vilket är förståeligt, eftersom nätverket fortfarande är den svåraste delen).
Varför detta är viktigt
Många organisationer saknar en övertygande cybersäkerhetsstrategi; åtminstone nu amerikanska federala myndigheter inte är bland dem. Och även om bättre cybersäkerhet är ett värdigt mål, glöm inte att sablar skramlar i både ett mellanrike och resterna av en supermakt, som ingen av dem har betänkligheter om cyberkrigföring.
För många initiativ ligger djävulen i detaljerna. Det är inte sant för OMB Zero Trust-strategin; som vi nämnde ovan är det riktigt bra. Här kommer djävulen att vara i avrättningen. I vilken utsträckning kommer varje byrå, entreprenörer och alla deras underleverantörer att operationalisera Zero Trust?
Den korta
Bland tidslinjerna som ingår i OMB-strategin finns flera kortsiktiga uppgifter, som att tillhandahålla CISA och General Services Administration alla icke-.gov-värdnamn (bara 60 dagar) och välkomnandet av externa sårbarhetsrapporter för internet-tillgängliga system. Inom ett år bör påtvingad lösenordsrotation sparkas in i rännstenen där den hör hemma.
Det är avgörande att byråer inom 60 dagar måste lämna in en genomförandeplan för FY22–FY24 till OMB och CISA för överensstämmelse med OMB och en budgetuppskattning för FY23–FY24.
Eftersom budgetuppskattningar stämmer överens med färdplaner kommer många CISO att behöva hjälp med att revidera dessa snabbt. De senaste förbättringarna av cybersäkerhetsanställningen kan hjälpa till att dra patrioter från den privata sektorn för vissa byråer, men andra kommer att behöva utnyttja tredje part för strategirådgivning. Efter att ha arbetat med många Forrester-kunder (federala, statliga och kommunala myndigheter) vet vi att byråer:
Har olika nivåer av teknisk mognad och cybersäkerhet.
Kommer att genomgå Zero Trust-mognadsbedömningar och gapanalyser baserade på den nyligen publicerade CISA Zero Trust-mognadsmodellen.
Långsiktighet
OMB Zero Trust-strategin kräver många betydande (och utmanande) säkerhetsförbättringar för varje federal byrå på lång sikt. Två teman inom OMB-strategin ger hjälp för det statliga CISO: moln och samarbete.
När det gäller samarbete, parafraserar avsnitt två, “bör [team] inom och mellan byråer samarbeta för att gemensamt utveckla pilotinitiativ och regeringsomfattande vägledning för att kategorisera data baserat på skyddsbehov, och i slutändan bygga en grund för att automatisera regler för säkerhetsåtkomst.” Och det är inte bara team. Memorandumet har kloka ord för cheferna: “Byråns ekonomichefer, chief acquisition officers, seniora byråtjänstemän för integritet och andra i byråledarskap bör arbeta i partnerskap med sin IT- och säkerhetsledning för att distribuera och upprätthålla Zero Trust-kapacitet. Det är Det är viktigt att byråns ledarskap och hela C-sviten är anpassade och engagerade i att se över en byrås säkerhetsarkitektur och verksamhet.”
OMB-strategin nämner också “moln” iögonfallande 44 gånger på sina 29 sidor. “Byråer bör använda sig av de rika säkerhetsfunktioner som finns i molninfrastrukturen”, står det i promemorians öppning. Många av uppdragen är förvisso lättare att utföra med molnbaserade arkitekturer (tänk: företagsövergripande hantering av vad som helst). OMB-strategin har vägledning kring moln för alla fem av de viktigaste Zero Trust-pelarna: identitet, enheter, nätverk, arbetsbelastningar och data.
Markera denna dag
Vi har beställt ytterligare ransoner av ibuprofen till nuvarande och tidigare Forrester-analytiker som är anslutna till Zero Trust, eftersom flera har stukat sig själva med virtuella high fives och fysiska klappar på ryggarna för att fira detta memorandum. Åsidosatt överdrift, låt oss observera och fira de monumentala framsteg som den amerikanska federala regeringen har uppnått mot Zero Trust: 2020, NIST Zero Trust-arkitekturen (SP 800-207); 2021, Biden Executive Order on Zero Trust och CISA Zero Trust mognadsmodellen; och nu, 2022, det mest specifika och ambitiösa dokumentet hittills, OMB Zero Trust-strategin.
Det här inlägget skrevs av senior forskningsanalytiker David Holmes och det visades ursprungligen här.
Säkerhet
Osäkrad AWS-server exponerad 3TB i flygplatsanställdas register Så här hittar och tar du bort spionprogram från din telefon Microsoft: Så här stoppade vi den största DDoS-attacken någonsin Det bästa antivirusprogrammet och appar: Håll din dator, telefon, surfplatta säker Hur teknik är ett vapen i moderna övergrepp i hemmet Regering – USA | Säkerhets-TV | Datahantering | CXO | Datacenter