能源 CISO：机构无法单独实施 Zero Trust

快速阅读: 《Cyber Scoop 独家新闻》消息，联邦机构在建立零信任架构时面临技术障碍，需要外部利益相关者的帮助。能源部首席信息安全官保罗·塞尔比呼吁科技制造商和专家与联邦机构合作，解决遗留系统的问题。国家标准与技术研究院的切丽尔·帕斯科表示，许多技术供应商声称其产品可互操作，但实际上并非如此。此外，联邦机构在文化和组织上对零信任命令存在抵制，这需要更好的沟通而非简单呼吁。

联邦机构需要来自政府以外的利益相关者的帮助，以解决在建立零信任架构在网络中时遇到的一些技术障碍。能源部首席信息安全官保罗·塞尔比周三表示。在华盛顿特区的网络峰会期间，保罗·塞尔比敦促科技制造商和专家与联邦机构合作，共同研发技术和协议。这些技术和协议旨在解决遗留系统——包括操作技术——的局限性。这些遗留系统在能源行业仍然普遍存在。“毫无疑问，遗留环境和政府的技术债务是巨大的问题。我们需要供应商社区帮助我们克服这一问题。”塞尔比说。自2021年以来，联邦机构被要求将其信息技术实施零信任原则。由于零信任更多的是一个概念而不是一套规定的具体技术或解决方案，每个机构根据自身需求和遗留IT环境，实现零信任的过程各不相同。塞尔比所在的部门负责国家能源政策，管理核基础设施，并与数千家私营公司和独立公用事业公司紧密合作。因此，他描述其IT环境为“复杂”，随着新冠疫情期间远程工作的增加，这种复杂性成倍增长。国家标准与技术研究院国家网络安全卓越中心主任切丽尔·帕斯科表示，向政府销售产品的公司需要做更多的工作，使他们的技术能够与其他产品互操作。自2021年以来，帕斯科表示，NIST已与超过100家不同的技术供应商合作，为联邦机构制定零信任实施方案指南，最终将名单缩小到24家。“我们注意到，在项目开始时，所有24个成员都说他们可以相互集成。但事实并非如此。我们还发现有些我们认为可以在示例构建中利用的安全能力实际上是缺失的。”帕斯科说。塞尔比还强调了联邦机构对零信任命令和其他网络安全倡议存在的持续“文化和组织抵制”。他认为这归因于从业者未能有效与政府以外的利益相关者沟通，而不仅仅是“更大声地喊叫”。仅靠恐惧本身无法改变网络安全领域的现状。

(以上内容均由Ai生成)