Forrester (Nasdaq: FORR) er et af de mest indflydelsesrige forsknings- og rådgivningsfirmaer i verden. Vi hjælper ledere på tværs af teknologi, marketing, kundeoplevelse, produkt- og salgsfunktioner med at bruge kundebesættelse til at accelerere vækst.
Fuld biografi Udgivet i Forrester den 1. februar 2022 | Emne: Sikkerhed
Sikke en tid at være i live! Lige i hælene på Forresters udgivelse af vores definition af moderne Zero Trust (ZT), udgav US Office of Management and Budget (OMB) et notat med titlen Moving the US Government Toward Zero Trust Cybersecurity Principles.
Sammentræf? Ja. En stor ting? Også, ja.
Hvis de udføres som påbudt, vil ikke kun offentlige myndigheder opfylde sikkerhedsmodenhedsniveauerne for store organisationer i den private sektor (de er lige begyndt at ansætte på det niveau, husk), de vil også overgå dem. Denne store transformative indsats sætter en ny barre for alle sektorer og er en grund til at fejre. Det nedbryder også barrierer for Zero Trust-adoption ved at give sikkerhedsledere på tværs af brancher et sæt prioriteter i overensstemmelse med hver af de fem Zero Trust-søjler, som de kan søge executive buy-in – gjort endnu nemmere af en højprofileret regering mandat — og indbygge i deres budgetter og tidslinjer.
Fyr denne strategi
Fortalere for Zero Trust burde hoppe af glæde over den føderale regerings forståelse af moderne Zero Trust og hvordan den er operationaliseret. Forrester udpegede syv operationelle domæner af Zero Trust: fem til sikkerhedskontrol og to til interaktion på tværs af domænerne, da vi oprettede Zero Trust eXtended (ZTX). Cybersikkerheds- og Infrastruktursikkerhedsagenturet (CISA) og OMB anerkender disse syv og tilføjer en mere: styring.
Så i det sidste årti, hvor der tidligere var megen forvirring omkring, hvordan man definerer eller operationaliserer Zero Trust, er der i dag en udstrømning af tilpassede definitioner, takket være Det Hvide Hus' bekendtgørelse, der blev udgivet i begyndelsen af 2021. Det er vigtigt, at CISA's synspunkt tager udgangspunkt i Forresters oprindelige udformning af Zero Trust, da vi først definerede det for over 12 år siden. Vores våben peger i samme retning.
For det andet har OMB-strategidokumentet dybde og bredde. I alle disse domæner foretager OMB ikke bare det rigtige opkald, det foretager det dristige opkald og fordobler Zero Trust. Der er masser af eksempler!
Forrester
Der er en håndfuld halve foranstaltninger, hvilket er færre, end vi havde forventet for statslig it, der hovedsageligt består af øer med varierende teknologisk modenhed. Dette inkluderer krypteret e-mail og et vist spillerum til, hvordan folk gør ZT i netværket (hvilket er forståeligt, fordi netværket stadig er den sværeste del).
Why This Matters
Mange organisationer mangler en overbevisende cybersikkerhedsstrategi; i det mindste nu er amerikanske føderale agenturer ikke blandt dem. Og selvom bedre cybersikkerhed er et værdigt mål, så glem ikke, at sabler rasler i både et mellemkongerige og resterne af en supermagt, som ingen af dem har betænkeligheder ved cyberkrigsførelse.
For mange initiativer er djævelen i detaljerne. Det er ikke sandt for OMB Zero Trust-strategien; som vi nævnte ovenfor, er det rigtig godt. Her vil djævelen være i henrettelsen. I hvor høj grad vil hvert bureau, entreprenører og alle deres underleverandører operationalisere Zero Trust?
De korte
Blandt de tidslinjer, der er inkluderet i OMB-strategien, er adskillige kortsigtede opgaver, såsom at give CISA og General Services Administration alle ikke-.gov-værtsnavne (kun 60 dage) og at byde velkommen til eksterne sårbarhedsrapporter for internet-tilgængelige systemer. Inden for et år bør tvungen adgangskoderotation sparkes i rendestenen, hvor den hører hjemme.
Det er afgørende, at agenturer inden for 60 dage skal forelægge OMB og CISA en implementeringsplan for FY22-FY24 for OMB-samsvar og et budgetoverslag for FY23-FY24.
Da budgetoverslag stemmer overens med køreplanerne, vil mange CISO have brug for hjælp til at revidere disse hurtigt. De seneste forbedringer af ansættelse af cybersikkerhed kan hjælpe med at trække patrioter fra den private sektor for nogle bureauer, men andre bliver nødt til at trække på tredjeparter til strategirådgivning. Efter at have arbejdet med mange Forrester-kunder (føderale, statslige og kommunale myndigheder), ved vi, at agenturer:
Har forskellige niveauer af teknologisk og cybersikkerhedsmodenhed.
Vil gennemgå Zero Trust-modenhedsvurderinger og gap-analyser baseret på den nyligt offentliggjorte CISA Zero Trust-modenhedsmodel.
Sådan kommer du til det langsigtede
OMB Zero Trust-strategien kræver mange væsentlige (og udfordrende) sikkerhedsforbedringer for hvert føderalt agentur på lang sigt. To temaer inden for OMB-strategien giver hjælp til regeringens CISO: sky og samarbejde.
Med hensyn til samarbejde, parafraserer afsnit to, “[hold] inden for og på tværs af agenturer bør samarbejde om i fællesskab at udvikle pilotinitiativer og regeringsdækkende vejledning om kategorisering af data baseret på beskyttelsesbehov, i sidste ende opbygge et fundament for at automatisere regler for sikkerhedsadgang.” Og det er ikke kun hold. Memorandummet har vismandsord til direktionerne: “Agentures chief financial officers, chief acquisition officers, senior agenter for privacy, og andre i bureauledelse bør arbejde i partnerskab med deres it- og sikkerhedsledelse for at implementere og opretholde Zero Trust-kapaciteter. Det er Det er vigtigt, at bureauets ledelse og hele C-suiten er afstemt og forpligtet til at revidere et bureaus sikkerhedsarkitektur og operationer.”
OMB-strategien nævner også “sky” iøjnefaldende 44 gange på sine 29 sider. “Agenture bør gøre brug af de rige sikkerhedsfunktioner, der findes i cloud-infrastruktur,” hedder det i åbningen af notatet. Mange af mandaterne er ganske vist nemmere at opnå med cloud-baserede arkitekturer (tænk: virksomhedsomfattende styring af hvad som helst). OMB-strategien har vejledning omkring cloud for alle fem af de vigtigste Zero Trust-søjler: identitet, enheder, netværk, arbejdsbelastninger og data.
Marker denne dag
Vi har bestilt yderligere rationer af ibuprofen til de nuværende og tidligere Forrester-analytikere, der er tilpasset Zero Trust, da flere har forstuvet sig selv med virtuelle high fives og fysiske klap på deres egen ryg for at fejre dette memorandum. Overdrivelse til side, lad os observere og fejre det monumentale fremskridt, som den amerikanske føderale regering har opnået hen imod Zero Trust: i 2020, NIST Zero Trust-arkitekturen (SP 800-207); i 2021, Biden Executive Order on Zero Trust og CISA Zero Trust-modenhedsmodellen; og nu, i 2022, det mest specifikke og ambitiøse dokument til dato, OMB Zero Trust-strategien.
Dette indlæg er skrevet af seniorforskningsanalytiker David Holmes, og det dukkede oprindeligt op her.
Sikkerhed
Usikret AWS-server afsløret 3TB i lufthavnsmedarbejdernes optegnelser Sådan finder og fjerner du spyware fra din telefon Microsoft: Sådan stoppede vi det største DDoS-angreb nogensinde Den bedste antivirussoftware og apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Regering – USA | Sikkerheds-tv | Datastyring | CXO | Datacentre