Unter März 2023stellte die Regierung Biden eine umfassende nationale Cybersicherheitsstrategie vor. Darin wird eine kühne Vision für die Cybersicherheit dargelegt, wobei die Notwendigkeit betont wird, kritische Infrastrukturen zu verteidigen, Cyber-Bedrohungen zu entschärfen, die Marktsicherheit voranzutreiben, in eine widerstandsfähige Zukunft zu investieren und internationale Partnerschaften zu schmieden.
Auf der Grundlage dieses Rahmens wird das Memorandum des Weißen Hauses vom Juli 2024 Memorandum des Office of Management and Budget (OMB) und des Office of the National Cyber Director (ONCD) vom Juli 2024 spezifische Investitionsprioritäten im Bereich der Cybersicherheit für die Zukunft und bietet einen Fahrplan für umsetzbare, messbare Ergebnisse.
In der jüngsten Mitteilung werden mehrere in der ursprünglichen Strategie hervorgehobene Schlüsselbereiche weiterentwickelt:
- Übergang zu Zero-Trust-Architekturen: Er beschreibt die Notwendigkeit eines schnellen Übergangs zu Zero-Trust-Architekturenwas eine strenge, kontinuierliche Überprüfung jedes Nutzers und Geräts erfordert.
- Verstärkung der öffentlich-privaten Zusammenarbeit: Es wird dazu aufgerufen, die Bemühungen um den Austausch von Informationen, die Stärkung der Widerstandsfähigkeit und die Förderung gemeinsamer Maßnahmen gegen sich entwickelnde Bedrohungen zu verstärken.
- Verstärkung des Personals im Bereich der Cybersicherheit: Der Schwerpunkt liegt auf der Ausweitung der Rekrutierung, der Bindung von Mitarbeitern und der Behebung des Qualifikationsdefizits, das die Verteidigungsfähigkeit beeinträchtigt.
- Vorbereitung auf die Herausforderungen der Quanteninformatik: Sie unterstreicht die Notwendigkeit, sich auf eine Post-Quanten-Zukunft vorzubereiten - einschließlich der Umstellung auf quantenresistente Kryptographie - und das Engagement des Bundes für Krypto-Flexibilität für eine sichere Zukunft.
Es ist wichtig, dass Sie jeden dieser Schlüsselbereiche verstehen - die wir im Folgenden zusammenfassen und auch in einem kommenden Webinar behandeln werden. [Sichern Sie sich Ihren Platz und registrieren Sie sich hier um den Bedrohungen von heute einen Schritt voraus zu sein und sich auf die Herausforderungen von morgen vorzubereiten).
Verbessern Sie Ihre Verteidigungsstrategie
Bundesbehörden sehen sich mit zunehmenden Herausforderungen im Bereich der Cybersicherheit konfrontiert, so dass die Einführung fortschrittlicher Lösungen zur Gewährleistung der Sicherheit unerlässlich ist. Gehen wir also auf die einzelnen Bereiche des Memos zur Cybersicherheit und die wichtigsten Schlussfolgerungen ein.
Zero-Trust-Verfahren zur Verwaltung von Identität und Zugriff
Eines der wichtigsten Mandate der ONCD zum Schutz kritischer Infrastrukturen sieht vor, dass Regierungsbehörden innerhalb von 120 Tagen aktualisierte Zero-Trust-Pläne vorlegen müssen. A Null-Vertrauen Ansatz verlagert sich von der traditionellen perimeterbasierten Sicherheit zu einem Modell, das sich auf die Minimierung des Vertrauens und die Maximierung der Überprüfung konzentriert.
Diese Überprüfung ist entscheidend für die Identität von Geräten, die in den meisten IT-Umgebungen die Zahl der Benutzer übersteigt. Jedes Gerät benötigt eine eigene Identität und eigene Anmeldeinformationen, um sich zu authentifizieren und sicher zu kommunizieren, und diese müssen verwaltet, aktualisiert und bei Bedarf widerrufen werden. So entsteht ein komplexes Geflecht von Identitäten, das bei falscher Verwaltung zu Lücken und Schwachstellen führen kann, z. B. wenn eine kompromittierte Geräteidentität unbefugten Zugriff auf sensible Bereiche eines Netzwerks ermöglicht oder Betriebsstörungen verursacht.
Außerdem müssen alle Daten, die über die Netze übertragen werden, mit TLS (Transport Layer Security)-Zertifikate verschlüsselt werden. Diese Anforderung ist entscheidend für den Schutz von Informationen, die zwischen Systemen und Geräten übertragen werden. Die Verwaltung dieser TLS Zertifikate in großem Umfang erfordert eine sorgfältige Überwachung, und eine unsachgemäße Identitäts- oder Zertifikatsverwaltung kann schwerwiegende Folgen haben. Die Risiken im Zusammenhang mit Zertifikatsverwaltung wurden deutlich, als die führende Zertifizierungsstelle Entrust fälschlicherweise Tausende von Zertifikaten mit erweiterter Validierung TLS im Jahr 2024. Ein effektives Identitäts- und Zertifikatsmanagement ist entscheidend, um zu verhindern, dass Angreifer Schwachstellen ausnutzen, um in Netzwerke einzudringen, Daten zu exfiltrieren oder den Betrieb zu stören.
Wichtigste Erkenntnisse:
- Regierungsbehörden sind verpflichtet, Zero-Trust-Pläne zu aktualisieren, die sich auf die strenge Überprüfung von Maschinenidentitäten für alles, was das Netzwerk berührt, konzentrieren.
- Die ordnungsgemäße Verwaltung von TLS Zertifikaten ist entscheidend für die Vermeidung von Netzwerkverletzungen und Betriebsstörungen.
- Die kontinuierliche Erkennung und Überwachung von Zertifikaten ist entscheidend für die Gewährleistung des Vertrauens.
Überwindung der Qualifikationslücke im Bereich der Cybersicherheit
Eine gut verwaltete Umgebung ist leichter zu verteidigen, aber dies erfordert einen zweifachen Ansatz: die Erhöhung des Qualifikationsniveaus unserer Cybersicherheitsmitarbeiter und die Reduzierung der Komplexität der Umgebungen, in denen sie arbeiten. Um dies zu erreichen, unterstreicht das ONCD-Memo die Notwendigkeit geeigneter Werkzeuge, insbesondere im Bereich Infrastruktur für öffentliche Schlüssel (PKI)-Verwaltung.
Behördliche Technologielösungen werden oft auf der Basis einzelner Anwendungen verwaltet, was zur Komplexität des Betriebs beiträgt. Die Ad-hoc-Verwaltung treibt nicht nur die Kosten in die Höhe, sondern macht auch die Einstellung von Fachpersonal schwieriger, teurer und häufig überflüssig. Wenn für jede Anwendung eine eigene PKI-Verwaltung erforderlich ist, geraten die Behörden in einen Kreislauf der Ineffizienz: Die Mitarbeiter müssen mit unterschiedlichen Systemen jonglieren, anstatt sich auf die Verbesserung der Sicherheit in allen Bereichen zu konzentrieren.
Die Zentralisierung der PKI-Verwaltung hilft, diese Herausforderung zu meistern. Unternehmen können die Komplexität verringern und gleichzeitig die Sicherheit erhöhen, indem sie die Zertifikatsverwaltung im gesamten Unternehmen rationalisieren. Die Zentralisierung schafft auch die Voraussetzungen für Automatisierungund ermöglicht eine nahtlose Integration von Verschlüsselung und Authentifizierung über verschiedene Plattformen hinweg. Mit den richtigen Tools wird die Sicherheit für alle Mitarbeiter zugänglicher, nicht nur für spezialisierte Experten.
Die Verwendung der richtigen Tools kann bei der Schulung und Einarbeitung neuer Talente erhebliche Vorteile bringen. Da immer mehr Cybertechniker ins Berufsleben eintreten, sind sie am besten für den Erfolg gerüstet, wenn sie mit den Tools arbeiten, für die sie geschult wurden, wie z. B. EJBCAActive Directory und andere Branchenstandards. Die Ausstattung neuer Mitarbeiter mit vertrauten Systemen kann die Lernkurve für neue Mitarbeiter verkürzen, die betriebliche Effizienz verbessern und die allgemeine Cybersicherheit und Widerstandsfähigkeit fördern.
Wichtigste Erkenntnisse:
- Durch die Zentralisierung der PKI-Verwaltung kann die Komplexität verringert und die Sicherheit verbessert werden, was die Verteidigung von Umgebungen erleichtert.
- Die Ausstattung neuer Mitarbeiter mit vertrauten Tools erhöht die betriebliche Effizienz und stärkt die Cybersicherheit.
Zusammenarbeit zwischen öffentlichem und privatem Sektor führt zu sicheren Lösungen
Auf der anderen Seite müssen diese Tools die spezifischen, strengen Anforderungen von Regierungsbehörden erfüllen. Bundesministerien und -behörden sind verpflichtet, Lösungen einzuführen, die die Sicherheit erhöhen und strenge gesetzliche und betriebliche Standards erfüllen. Dies ist besonders wichtig, wenn kommerziell verfügbare Tools oder open-source software in Betracht gezogen werden.
Open-source Lösungen können Flexibilität und Innovation ohne Abstriche bei der Sicherheit, wenn sie ordnungsgemäß gewartet und gesichert werden. Das Memo des Weißen Hauses greift dies auf und ermutigt die Behörden, zu den Komponenten von open-source software beizutragen und diese zu pflegen. Wenn jedoch open-source Komponenten im Einsatz sind, müssen die Behörden Codeänderungen überwachen, Schwachstellen erkennen und beheben und die Integrität dieser Komponenten aufrechterhalten. Eine konsequente Überwachung und Sicherheit kann ohne die richtigen Werkzeuge eine Herausforderung sein.
Keyfactor Lösungen sind so konzipiert, dass sie den hohen Standards die von Regierungen weltweit gefordert werden. In der Tat unterstützen wir bereits mehrere Regierungsbehörden bei der Verwaltung von Identitätsprogrammen mit sicheren, konformen und zentralisierten PKI-Managementlösungen. Unsere Tools ermöglichen nicht nur die sichere Verwaltung digitaler Identitäten, sondern bieten auch vollständige Transparenz, strenge Compliance-Funktionen und automatisierte Sicherheitskontrollen, die die Einhaltung folgender Normen unterstützen FIPS 140-2 und anderen NIST Kontrollfamilien unterstützen. Die Automatisierung des Lebenszyklus von Zertifikaten und das sichere Verschlüsselungsmanagement mit Keyfactor können Behörden dabei helfen, ihre PKI-Umgebungen unter Kontrolle zu halten und Compliance-Anforderungen zu erfüllen.
Wichtigste Erkenntnisse:
- Behörden müssen sichere, konforme Lösungen einführen, die den strengen gesetzlichen Normen entsprechen.
- Keyfactor Lösungen bieten eine zentralisierte PKI-Verwaltung, automatische Sicherheitskontrollen und die Einhaltung von FIPS 140-2 und anderen NIST-Standards.
Vorbereitung auf eine Post-Quantum-Zukunft
Angesichts der bevorstehenden Quantencomputer-Revolution muss die Bundesregierung dem Übergang zur Post-Quantum-Kryptographie (PQC) KONZENTRIEREN. Quantencomputer haben das Potenzial, die Verschlüsselungsmethoden zu brechen, die unsere sensibelsten Daten schützen, und der Übergang zur Anpassung wird weder einfach noch leicht sein. Erschwerend kommt hinzu, dass es bereits Anzeichen dafür gibt, dass Angreifer bereits jetzt verschlüsselte Daten zur Speicherung erwerben damit sie sie später entschlüsseln können entschlüsseln können, sobald die entsprechende Technologie verfügbar ist. Dies ist allgemein als "Erfassen und dann entschlüsseln" bekannt, hat aber den Effekt, dass die Notwendigkeit, Maßnahmen zu ergreifen, ins Hier und Jetzt verlagert wird und nicht etwas, das aufgeschoben werden kann, während der Fortschritt der Technologie überwacht wird.
Neben der Identifizierung der Daten, die am stärksten durch das "Erfassen und Entschlüsseln" gefährdet sind, besteht eine wichtige und schwierige Aufgabe bei der Umstellung darin, ein umfassendes Inventar aller digitalen Zertifikate im gesamten Netzwerk einer Behörde zu erstellen, um einen klaren Überblick über die Vorgehensweise zu erhalten und die Fortschritte überwachen zu können. Jedes dieser Zertifikate, die zur Verschlüsselung und Authentifizierung der Kommunikation verwendet werden, muss auf Änderungen, Schwachstellen und Ablaufdaten überwacht werden.
Ohne Transparenz riskieren die Behörden, sich bei der Änderung von Verschlüsselungsstandards ernsthaften Sicherheitslücken auszusetzen. Wir haben unsere Lehren aus dem schmerzhaften Übergang von SHA-1 zu SHA-2-Die Umstellung war zwar überschaubar, aber arbeitsintensiv und langsam. Angesichts der Bedrohung durch das Quantencomputing, das schnellere Reaktionen erfordert, wird Geschwindigkeit jedoch von entscheidender Bedeutung sein.
Ein umfassendes Verständnis und die Kontrolle über die Zertifikatsverwaltung sind für den Schutz sensibler Daten unerlässlich, wenn sich Behörden auf die Quantenzukunft vorbereiten. A PKI-Plattform die diesen komplexen Prozess über alle Zertifizierungsstellen hinweg verwalten kann, macht die Umstellung auf PQC so problemlos wie möglich und schützt die Behörden vor den kryptografischen Herausforderungen, die das Quantencomputing verspricht.
Wichtigste Erkenntnisse:
- Der Übergang zu PQC erfordert eine umfassende Bestandsaufnahme und Verwaltung der digitalen Zertifikate.
- Eine PKI-Plattform, die diesen Prozess ermöglicht, wird die Umstellung auf PQC erleichtern und den Schutz vor Bedrohungen durch Quantencomputer gewährleisten.
Blick in die Zukunft: Engagieren Sie sich Keyfactor um die Zukunft zu sichern
Für Bundesbehörden steht viel auf dem Spiel - und es werden immer mehr. Ihre Cybersicherheit muss sich weiterentwickeln, um all diesen bevorstehenden Bedrohungen zu begegnen. '
Eine wirksame Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor ist unerlässlich, und die frühzeitige Einführung der richtigen Instrumente wird darüber entscheiden, wie gut sich die Regierung an diese Herausforderungen anpassen kann.
Mit branchenführenden Lösungen für die zentrale PKI-Verwaltung, die Automatisierung des Lebenszyklus von Zertifikaten und die Überwachung der Einhaltung von Vorschriften ermöglicht Keyfactor Behörden, ihre Sicherheitsabläufe zu vereinfachen, die Fähigkeiten ihrer Mitarbeiter zu verbessern und sich auf die Quantenzukunft vorzubereiten. Unsere sicheren, konformen Plattformen bieten Transparenz, Kontrolle und Automatisierung für Verschlüsselung und Identitätsmanagement - heute und in der Post-Quantum-Ära.
Möchten Sie Ihre Cyberabwehr verbessern? Nehmen Sie an unserem Webinar am 9. Oktober 2024 teil . Erfahren Sie, wie Sie Ihre Umgebung schützen und die neuesten Bundesstandards, einschließlich der neuen Cybersicherheitsrichtlinien des Weißen Hauses, einhalten können. Reservieren Sie sich jetzt Ihren Platz - so sind Sie besser gerüstet, um die heutigen Herausforderungen im Bereich der Cybersicherheit zu meistern und sich auf die Bedrohungen von morgen vorzubereiten.