BLOG

Sollte die TIC 3.0-Anleitung Ihren Sicherheitsansatz ändern?

Bill Church Miniaturbild
Bill Kirche
Veröffentlicht am 31. August 2020

Cyberangriffe auf Bundesbehörden stellen eine anhaltende, sich ständig weiterentwickelnde Bedrohung dar, die eine immer ausgefeiltere Reaktion erfordert. Die zunehmende Nutzung von Cloud- und Mobilumgebungen sowie ein beispielloser Anstieg der Zahl von Telearbeitern haben die Behörden anfälliger für die Bedrohung durch Hacker, Betrüger und böswillige staatliche Akteure gemacht, die es auf die ausgedehnte Online-Präsenz der Bundesregierung abgesehen haben. Mit der Veröffentlichung einer aktualisierten Version der Richtlinie für vertrauenswürdige Internetverbindungen (TIC 3.0) sind die Behörden besser in der Lage, diesen neuen Risikoherausforderungen zu begegnen.

Eines der Hauptziele von TIC 3.0 besteht darin, den Modernisierungsprozess der Agenturen zu erleichtern. Dazu gehört auch eine breitere Einführung der Cloud und die Unterbringung von Remote-Mitarbeitern, die mehrere Geräte verwenden. Wenn Ihre Agentur diese Bereiche intensiv vorantreibt, wäre jetzt ein guter Zeitpunkt, über eine Aktualisierung Ihres Sicherheitsansatzes anhand der TIC 3.0-Richtlinien nachzudenken.

TIC 3.0-Upgrades

Die 2007 eingeführte TIC-Initiative war ein wichtiger Schritt in der Cybersicherheit des Bundes und schuf einen Rahmen aus Sicherheitskontrollen, Analysen, Governance und SDLC-Praktiken für Application . TIC 3.0 stellt die neuesten Richtlinien für die Bereitstellung sicherer, flexibler und skalierbarer Architekturen dar und berücksichtigt dabei Aspekte, die über die Infrastrukturtechnologie hinausgehen.

Die drei Behörden, die die Initiative beaufsichtigen – das Office of Management and Budget (OMB), das Department of Homeland Security (DHS), die Cybersecurity and Infrastructure Security Agency (CISA) und die General Services Administration (GSA) – haben als Ziel für TIC 3.0 angegeben, dass es für die Daten, Netzwerke und Grenzen der Bundesregierung wichtig sei, gleichzeitig Einblick in den Datenverkehr der Behörden, einschließlich der Cloud-Kommunikation, zu gewähren. Zu den wichtigsten Upgrades gehören flexiblere Anleitungen und tatsächliche Anwendungsfälle, um den Bedarf an alternativen Ansätzen zur herkömmlichen Netzwerksicherheit abzudecken.

Derzeit gibt es vier Anwendungsfälle – herkömmliche TIC, Cloud, Zweigstelle und Remote-Benutzer – die es den Agenturen ermöglichen, neue Informationstechnologielösungen bereitzustellen, die an die sich verändernde Arbeitsumgebung von heute angepasst sind. Frühere TIC-Versionen berücksichtigten die Telearbeit nicht wirksam, obwohl sie am Arbeitsplatz immer gängiger wird. Durch die COVID-19-Pandemie hat sich die Zahl der Remote-Arbeiter enorm erhöht. Dadurch ist der Bedarf an einer Strategie, die einen sicheren und zuverlässigen Zugriff in nicht-traditionellen Arbeitsumgebungen ermöglicht, noch dringlicher geworden. Durch die ordnungsgemäße Umsetzung der TIC 3.0-Richtlinien können Behörden einen sicheren Netzwerk- und Perimeterverkehr innerhalb der Vertrauenszonen der Bundesunternehmen fördern und auf den gesamten Behördenverkehr ausweiten.

Bewerten Sie Ihre Architektur

Das TIC 3.0 Use Case Handbook empfiehlt Agenturen, ihre Architektur zu bewerten, um zu bestimmen, welche Anwendungsfälle anwendbar sind, und erläutert, wie sie ihre Architekturen sichern und die TIC-Anforderungen erfüllen können. Ich bin davon überzeugt, dass dies ein großartiges Tool für Agenturen ist, insbesondere für solche, denen die für bestimmte Anwendungsfälle erforderlichen Architekturkomponenten fehlen.

Von den Agenturen wird erwartet, dass sie die Netzwerkgrenzen gemäß OMB-Memorandum M-19-26 sichern. Allerdings ist jede Agentur anders. Aus diesem Grund ist es wichtig, dass Sie bei der Festlegung Ihres Sicherheitsansatzes Ihre Mission im Auge behalten und die von TIC 3.0 vorgeschlagenen Strategien mit Ihren eigenen Missionszielen in Einklang bringen.

Das richtige Cybersicherheits-Framework für Agenturen ist wichtig

Das TIC 3.0-Framework basiert in erster Linie auf dem Cybersecurity Framework des National Institute of Standards and Technology (NIST), das aus fünf äußerst wichtigen Kernfunktionen besteht:

Identifizieren: Verschaffen Sie sich einen umfassenden Überblick über Ihre Systeme, Mitarbeiter, Anlagen, Daten und Fähigkeiten, damit Sie Risiken bewerten und managen können.

Schützen: Entwickeln und implementieren Sie geeignete Sicherheitsvorkehrungen, um die Auswirkungen eines potenziellen Cybersicherheitsereignisses zu begrenzen oder einzudämmen.

Erkennen: Verwenden Sie Lösungen zur kontinuierlichen Überwachung, damit Sie das Auftreten eines Cybersicherheitsereignisses schnell erkennen können.

Antworten: Entwickeln Sie einen Reaktionsplan, der es Ihnen ermöglicht, Maßnahmen zu ergreifen und die Auswirkungen eines erkannten Cybersicherheitsereignisses einzudämmen.

Genesen: Entwickeln und implementieren Sie einen wirksamen Plan zur Wiederherstellung der Systeme und/oder Ressourcen, die vom Cybersicherheitsvorfall betroffen waren. Integrieren Sie die gewonnenen Erkenntnisse in eine überarbeitete Strategie.

Der vielleicht wichtigste Bestandteil dieses Frameworks besteht darin, dass jede dieser Funktionen einem Universal Security- oder Policy Enforcement Point Control innerhalb des TIC 3.0-Frameworks zugeordnet ist. Obwohl es von entscheidender Bedeutung ist, die Identität als einzigen Kontrollpunkt für den Zugriff zu verwenden, war es augenöffnend zu erfahren (wie wir es aus einem Bericht von F5 Labs erfahren haben), dass 33 % der Sicherheitsverletzungen zunächst auf Identitäten abzielten. Daher ist der Schutz des Identitätsperimeter von entscheidender Bedeutung.

Zugriffsproxys sind ein wirksames Werkzeug zur Durchsetzung eines einzigen Kontrollpunkts und bieten eine konsistente Methode zur Implementierung der für Applications erforderlichen Zugriffskontrollen und Authentifizierungsanforderungen. Dadurch muss nicht mehr darauf vertraut werden, dass jeder Anwendungsentwickler ein Authentifizierungsexperte ist, was ein unwahrscheinliches Szenario ist.

Wenn Sie Ihre aktualisierten Sicherheitsstandards implementieren, empfehle ich Ihnen, die richtigen Adaptive Anwendung Anwendungslösungen einzusetzen, um die entsprechenden Aspekte der TIC-Richtlinien zu erfüllen. Sie sollten einem Kontinuum vom Code bis zum Kunden folgen, das die folgenden sechs Kernelemente berührt, die viele der Leitprinzipien des TIC 3.0-Frameworks integrieren und erfüllen, insbesondere in Bezug auf die relevanten Anwendungsfälle für Ihre Agentur:

  • Anwendungszentrierte Sicht (im Gegensatz zur Infrastruktur-orientierten Sicht)
  • Plattformunabhängigkeit als Multi-Cloud-Angebot
  • Open Source im Kern
  • Integrierte Sicherheit
  • integrierte Analyse/KI-fähig
  • API first für moderne Application

Es ist Zeit, den Sicherheitsansatz Ihrer Agentur genau zu überprüfen

TIC 3.0 ist eine hervorragende Gelegenheit, Ihren Sicherheitsansatz zu überprüfen. Angesichts der sich ständig weiterentwickelnden Bedrohungen wissen die Sicherheitsexperten der Behörden, dass es wichtig ist, wachsam zu bleiben. Auch wenn sich die Technologie ändert, bleibt das ultimative Ziel dasselbe: der Schutz Ihrer Agentur.

F5 kann helfen : Nahezu alle Produkte und Funktionen von F5 erfüllen einige Aspekte der TIC-Richtlinien. Dies versetzt uns in eine starke Position, viele der in TIC 3.0 beschriebenen Empfehlungen und Kontrollen zu erfüllen. Alle Behörden und Zweigstellen des Verteidigungsministeriums auf Kabinettsebene verlassen sich auf F5, um Apps bereitzustellen, auf die Bürger, Mitarbeiter und Soldaten jederzeit, auf jedem Gerät und von jedem Ort aus sicher zugreifen können. Bei F5 geben wir unseren Kunden die Freiheit, jede App überall sicher und zuverlässig bereitzustellen. Weitere Informationen finden Sie auf unserer Seite F5 für US-Bundeslösungen .


Bill Kirche
Technologiechef – F5 US Federal Solutions