A Pentagon ütemtervet készít a „zéró bizalom” internet-hozzáféréshez 2027-re

A védelmi minisztérium végül kidolgozta a kiberhálózatok védelmére vonatkozó tervét, miután évekig vállalta, hogy kötelezettséget vállal.

A Chief Information Officer Hivatala novemberben kiadta a „The DoD Zero Trust Strategy”-t, amely meghatározta a mérőszámokat és a határidőket, amelyek alapján a minisztérium 2027-ig elérheti a teljes zéró bizalmat. A kiberbiztonsági szakértők szerint a kormánynak és a magánszektornak együtt kell működnie az erőforrások kihasználása érdekében. hogy sikeresen lépjen be az új rezsimbe.

„A kritikus infrastruktúrát érő kiberfizikai fenyegetések valóban az egyik legnagyobb nemzetbiztonsági kihívásunk, amellyel ma szembe kell néznünk, és hogy az általunk kezelt környezet egyre összetettebbé vált” – Nitin Natarajan, a kiberbiztonsági és infrastruktúra-biztonsági igazgatóhelyettes. Ügynökség, mondta egy MeriTalk eseményen októberben.

A kibertámadók több erőforrással rendelkeznek, mint a múltban, és olcsóbb sok kárt okozni egy nem biztonságos rendszerben – mondta. Nem csak a magányos farkashackerek, hanem a nemzetállamok és a kiberterroristák is veszélyt jelenthetnek.

Például a 2019-es SolarWinds kibertámadást, amely több ezer szervezet, köztük a szövetségi kormány védelmén söpört végig, Oroszország által támogatott munkatársakkal áll összefüggésben.

Az új stratégia alapelve az, hogy ha a szervezetek biztonságát úgy kezeljük, mint egy várárkot, az nem tartja távol a rossz szereplőket.

„A küldetés- és rendszertulajdonosok, valamint az üzemeltetők egyre inkább tényként fogadják el ezt a nézetet. Azt is látják, hogy a [zéró bizalom] felé vezető út egy lehetőség arra, hogy a technológiai korszerűsítésekkel, a biztonsági folyamatok finomításával és a működési teljesítmény javításával pozitívan befolyásolják a küldetést” – áll a dokumentumban.

A nulla bizalmi kultúra megköveteli, hogy a hálózaton belül minden ember feltételezze, hogy a hálózat már feltört, és minden felhasználótól mindenkor igazolnia kell személyazonosságát.

A stratégia felsorolja azokat a technológiákat, amelyek segíthetnek a nulla bizalmi környezet kialakításában, mint például a folyamatos többtényezős hitelesítés, a mikroszegmentáció, a fejlett titkosítás, a végpontok biztonsága, az analitika és a robusztus auditálás.

Bár ezek a különféle technológiák felhasználhatók ennek az alapfeltevésnek a megvalósítására, ez lényegében azt jelenti, hogy „a felhasználók csak azokhoz az adatokhoz kapnak hozzáférést, amelyekre szükségük van, és amikor szükséges”.

A stratégia négy pillér körül forog: a zéró bizalom kultúrájának elfogadása, a nulla bizalom gyakorlatok operacionalizálása, a nulla bizalom technológia felgyorsítása és az egész osztályra kiterjedő integráció. A stratégia megjegyzi, hogy bár a Pentagon informatikai részlegeinek esetleg termékeket kell vásárolniuk, nincs olyan képesség, amely minden problémájukat megoldaná.

„Míg a célok előírják, hogy „mit” kell tenni a cél előmozdítása érdekében, nem írják elő a „hogyan”-t, mivel a DoD komponenseknek eltérő módon kell megvalósítaniuk a célokat” – olvasható a stratégiában.

A technológiai pillér tekintetében a Pentagon nulla bizalmi stratégiája a képességek gyorsabb kiszorítását és a silók csökkentését követeli meg. Az egyszerűbb architektúrát és a hatékony adatkezelést elősegítő képességek is fontosak a dokumentum szerint.

Noha számos módszer használható a felhasználók hitelesítésére, az integrációs pillér megköveteli, hogy beszerzési tervet készítsenek olyan technológiákhoz, amelyek a 2023-as pénzügyi év elejére az egész osztályra méretezhetők.

Az egyik már folyamatban lévő technológiai fejlesztés a Thunderdome, egy 6.8 millió dolláros szerződést Booz Allen Hamiltonnak ítéltek oda az év elején. A technológia védené a hozzáférést a Secure Internet Protocol Router Networkhöz, a Pentagon titkos információ-továbbítójához – áll a Védelmi Információs Rendszerek Ügynöksége sajtóközleményében.

Nem lesz lehetséges minden régi platformot teljesen utólag felszerelni olyan technológiával, mint a többtényezős hitelesítés – mutat rá a stratégia. A szolgáltatások azonban átmenetileg biztosítékokat is bevezethetnek ezekre a kevésbé korszerű rendszerekre.

Az információs rendszerek biztonságának pilléréhez szükség lesz a mesterséges intelligencia műveleteinek automatizálására és a kommunikáció biztosítására minden szinten.

A rendszerek automatizálása a nulla bizalom fontos része – mondta Andy Stewart, a Cisco Systems digitális kommunikációs vállalat vezető szövetségi stratégája, valamint a Fleet Cyber ​​Command/US Tizedik flotta korábbi igazgatója. Ha a nulla bizalom mögött meghúzódó folyamatok nem működnek jól, az emberek nehezen tudják használni a technológiát, és átveszik a nulla bizalom gondolkodásmódját.

„A nulla bizalom a biztonság növeléséről szól, de azt is jelenti: „Hogyan működjek hatékonyabban?” – mondta. "A felhasználói élményre szavazni kell."

Míg a stratégia fordulópontot jelent az erőfeszítésekben, a Pentagon évekkel ezelőtt elindult a nulla bizalom útján. A 2019-es digitális modernizációs stratégiája megemlítette, hogy a zéró bizalom egy olyan feltörekvő kezdeményezés, amelyet „feltárt”.

A tengerészgyalogság az oktatás és a figyelemfelkeltés révén a szigorúbb kiberbiztonsági intézkedések elfogadásán dolgozik az oktatás és a figyelemfelkeltés révén – mondta Renata Spinks, az információs, irányítási, irányítási, kommunikációs és számítógépes információs főnök-helyettes, valamint a vezető tisztségviselő. biztonsági őr.

„Sok időt töltünk az oktatással, mert ha az emberek tudják, mit csinálnak és miért csinálják… az a tapasztalatom, hogy sokkal hamarabb beszállnak, mint ellenállnak” – mondta.

A Joe Biden elnök kormányának 2021-es zéró bizalmi felhatalmazása „isten áldása” volt, mert igazolta a tengerészgyalogságon belüli személyzetet, akik esetleg nem értették meg egyes IT-kezdeményezések szükségességét.

A sikeres zéró bizalom implementáció csökkenti a fenyegetéseket azon képességek legkritikusabb típusai közül, amelyekre a harcosok a jövőben támaszkodni fognak: felhő, mesterséges intelligencia és irányítás, vezérlés, kommunikáció, számítógép és intelligencia.

A hadseregnek szüksége van a védelmi vállalkozók segítségére az érzékeny adatok védelmében – jegyezte meg Spinks. Az ipar segíthet a katonaság informatikai személyzetének megérteni, hogyan dolgozzanak az általuk szolgáltatott adatokkal, és mennyi hozzáférésre lesz szüksége a katonaságnak.

„A nulla bizalom nem lesz sikeres, ha nem kapunk segítséget az identitáskezelésben” – mondta.

A tengerészgyalogság a közelmúltban felvett egy szolgálati adattisztet, aki felhasználhatja a vállalkozóktól származó információkat arról, hogy mekkora hozzáférésre lesz szüksége a katonaságnak, hogy kitalálják a szolgálat adatainak osztályozásának és kezelésének legjobb módjait.

A Pentagon stratégiája szerint, ha bárhol hozzáférhetnek a biztonságos adatokhoz, az segíti a katonai ipari bázis azon tagjait és személyzetét, akik munkaidőn kívül és távoli helyeken dolgoznak.

A nulla bizalomra való törekvés eltér néhány kiberbiztonsági kezdeményezéstől, mert izom van mögötte – tette hozzá Spinks. A vezetés politikákat és eljárásokat biztosított, és hajlandók felelősségre vonni őket, mondta.

„A kiberbiztonság nem olcsó vállalkozás. De úgy gondolom, hogy valójában az ördögi ellenfél mozgatja, és nem csak a szövetségi kormányon, hanem még állami és helyi szinten is” – mondta.

Jobb kiberbiztonsági gyakorlatokra lesz szükség az ellátási láncok biztonságossá tételéhez is – jegyezte meg Natarajan. Az elmúlt években a Pentagon kiemelt figyelmet kapott az ellenállóbbá tételükre, különösen az olyan kritikus technológiákban, mint a félvezetők.

„Tudjuk, hogy ezt a rosszindulatú kiberszereplők valóban arra használják, hogy kihasználják a harmadik fél kockázatait, miután egy szervezet ellátási lánca után járnak” – mondta.

Ez egy másik ok, amiért a kormány nem tud egyedül dolgozni – tette hozzá.

„Amikor ezt nézzük, nem csak ágazati szemszögből nézzük, hanem a nemzeti kritikus funkciók felől is” – mondta.

A CISA októberben közzétette a kiberbiztonsági teljesítménycélokat a vállalatok számára, hogy megmérjék magukat. Bár a teljesítménycélok nem kifejezetten a nulla bizalomra hivatkoznak, a célok a vállalatok számára készültek, méretüktől függetlenül.

„Valójában ezeket tekintjük a kibervédelem minimális alapvonalának, amely csökkenti a kritikus infrastruktúra-üzemeltetők többi részét” – mondta. "De végső soron ezzel a nemzetbiztonságra és az amerikaiak egészségére és biztonságára is hatással leszünk az egész országban."

A magánszektornak viszont szüksége van a kormánynak az oktatásba való befektetésére és az erőforrásokra, hogy kiépítse kibermunkásságát.

„A kibertér nemcsak a hardvert és szoftvert, a technológiát, a táblagépeket, az iPhone-okat és a technológiát foglalja magában, hanem az embereket is. Az emberek kifejlesztették a kiberteret. Az emberek a kiberteret használják. A kibertérben vagyunk” – mondta Kemba Walden, a Nemzeti Kiberigazgatói Hivatal igazgatóhelyettese a MeriTalk eseményen.

Még nem teljes működőképességgel, 2021-ben megalakult a Nemzeti Kiberigazgatói Hivatal, hogy szövetségi szinten vezető szerepet vállaljon a kiberügyekben, beleértve az első nemzeti kiberbiztonsági stratégiát is.

Ugyanolyan fontos lesz, mint az átfogó stratégia, a nemzeti munkaerő- és oktatási dokumentum, amely a kiberbiztonsági stratégia után fog megjelenni, mondta Walden.

„Vettünk egy pillantást, és felismertük, hogy körülbelül 700,000 2022 olyan amerikai állás maradt betöltetlenül, amelyekben a kiber szó szerepel” – mondta. Ez a szám a Lightcast piackutató cég 2021-es adatokon alapuló XNUMX-es jelentéséből származik.

„Nemzeti kiber- és nemzetbiztonsági jogászként ez megrémít” – mondta. "Az én szemszögemből ez nemzetbiztonsági kockázatot jelent."

Az elmúlt években olyan szervezetek jöttek létre, mint a Joint Cyber ​​Defense Collaborative és a Nemzetbiztonsági Szövetség Kiberbiztonsági Együttműködési Központja, hogy felmérjék az igényeket és visszajelzéseket gyűjtsenek a nagyvállalatoktól – mondta.

„Az ilyen típusú együttműködési erőfeszítésekre szerintem szükség van a köz-magán együttműködés és az információmegosztás általános fejlődéséhez” – mondta.

A dokumentum szerint végső soron a nulla bizalom előnyei átcsapnak a harcosra.

Például a Pentagon közös, minden területre kiterjedő irányítási és irányítási erőfeszítése – amelynek célja az érzékelők és a lövészek összekapcsolása, miközben mesterséges intelligenciát használ a döntések meghozatalához – az adatok biztonságán alapul. Ha rossz kezekbe kerül, a katonai vezetők nem tudják elérni az információs dominanciát – jegyzi meg a stratégia.

„Meg kell bizonyosodnunk arról, hogy amikor rosszindulatú szereplők megkísérlik áttörni a nulla bizalom elleni védelmet; többé nem barangolhatnak szabadon a hálózatainkon, és veszélyeztetik azt a képességünket, hogy maximális támogatást nyújtsunk a harcosnak” – mondta John Sherman információs igazgató a stratégiában.

Olvassa el a teljes történetet itt ...