Buchstabensuppe gefällig? ZTNA, SWGs, MFA u. v. m.: Erkenntnisse vom Fed Day CyberThreats 2021

Letzte Woche haben wir einige der bekanntesten Führungs- und Fachkräfte aus ganz Amerika für Gespräche rund um die Themen Cybersicherheit und digitale Transformation zusammengebracht. Diskutiert wurden Themen wie die Entwicklung hin zum Zero Trust Network Access (ZTNA), Datensicherheit durch effektive Verwaltung von Identitäten und Zugriff über ein Secure Web Gateway (SWG) sowie die Auswirkungen der Cybersicherheitsverordnung für Behörden – wobei es an der Zeit ist, eine MFA-Lösung (Multi‑Faktor-Authentifizierung) zu implementieren. 

Auch wenn die auf dem Treffen erörterte Buchstabensuppe aus Lösungen und Frameworks (vielleicht) appetitlich und (definitiv) faszinierend, wenn auch manchmal verwirrend war, liegt der interessanteste Aspekt meiner Meinung nach in der Kombination aus allen Sessions und der Geschichte, die sich daraus ergibt. 

Insgesamt stellt der Gipfel die spannende Geschichte einer sich verändernden Landschaft dar, in der die Bedrohungsakteure alle sich bietenden Schwachstellen auf immer intelligentere Weise ausnutzen, wobei Behörden Pläne umsetzen, um dies an jedem Punkt zu verhindern. Was einst eher Gelegenheitskriminalität war, ist inzwischen zu kalkulierten und geplanten Angriffen auf kritische Infrastrukturen geworden. Matthew Swenson (Unit Chief der Cyber Crimes Unit am Cyber Crimes Center der HSI-Einheit im US-Heimatschutzministerium) trifft mit seinen Äußerungen genau ins Schwarze. Er erläuterte, dass es bei kriminellen Aktivitäten im Internet einen Aufwärtstrend gibt, insbesondere, da sich die allgemeine Bevölkerung im täglichen Leben so stark auf das Internet verlässt. Akamai hat ebenfalls eine zunehmend gefährliche Bedrohungslandschaft mit einer höheren Anzahl von Angriffen verzeichnet. Laut Patrick Sullivan, CTO of Security Strategy, „ist die Geschwindigkeit der Angriffe, für die wir Daten erfassen, im letzten Jahr deutlich angestiegen. Von Webanwendungen bis hin zu APIs unternehmen Cyberkriminelle fortlaufend Anstrengungen, um ausnutzbare Schwachstellen in solchen Anwendungen zu finden.“  

Das trifft für die gesamte Branche zu. Als Reaktion auf diese Bedrohungen gab die US-Regierung unter Präsident Biden eine Verordnung zum Thema Cybersicherheit heraus (Mai 2021), direkt nach den DarkSide-Ransomware‑Angriffen auf Microsoft Exchange-Schwachstellen im März 2021 und dem SolarWinds-Angriff im Dezember 2020. 

In der Verordnung wurden im Hinblick auf die Zukunft der Cybersicherheit und des Netzwerkzugriffs insbesondere MFA und Zero Trust genannt. Dies entsprach genau dem, was der EVP und CTO bei Akamai, Bobby Blumofe, in seiner Session „The Zero Trust Imperative: Securing Information in the Cloud“ behandelte. Blumofe erläuterte in dieser Session, was mit dem Framework beabsichtigt ist – und dass es lange nicht so unheimlich ist, wie es sich anhört. Er drückte dies sehr treffend so aus: „Im Prinzip ist Zero Trust nichts weiter als eine äußerst strenge Zugriffskontrolle, um dafür zu sorgen, dass nur Nutzern mit starker Authentifizierung und Autorisierung Zugriff gewährt wird, und selbst dann nur auf die wirklich von ihnen benötigten Anwendungen. Trotz des Namens ist Zero Trust nicht unheimlich. Das Konzept dafür ist einfach und kann als eine starke Variante des Prinzips der geringstmöglichen Berechtigungen angesehen werden.“ 

Dieses Modell der geringsten Rechte ist die sicherste Möglichkeit, das Internet zu nutzen, und mit MFA können Sie dies erreichen. 

In diesem Branchenkontext erläuterte Steve Winterfeld, Advisory CISO bei Akamai, den Stellenwert des Identitätsmanagements bei Behörden, um die Datensicherheit für Bürgerinnen und Bürgern gewährleisten. Er legte dar, welche Rolle ein SWG bei der Einrichtung des sicheren Unternehmenszugriffs spielt und welche Vorteile dies im Gegensatz zum herkömmlichen VPN bietet. Der erste Schritt zur Datensicherheit für Bürgerinnen und Bürgern sowie Behörden besteht darin, einen bekannten und sicheren Zugriffspunkt bereitzustellen. 

Am Ende war es eine äußerst nützliche Veranstaltung. Das Publikum konnte sehen, mit welchen Problemen andere in der Branche zu kämpfen haben und was sie dagegen tun, wobei Branchentrends, zukünftige Entwicklungen und die Vorbereitung darauf klar dargelegt wurden. 

Wenn Sie sich über weitere behandelte Themen informieren möchten, können Sie sich die Aufzeichnung jetzt ansehen. 

Wir wissen, dass bei einer zweistündigen Veranstaltung nicht alles abgedeckt werden kann. Welche Themen haben wir nicht angerissen? Worüber würden Sie gern mehr erfahren? Setzen Sie sich mit uns in Verbindung oder kontaktieren Sie mich direkt auf Twitter unter @bemusedbridget. Ich würde mich freuen, von Ihnen zu hören.