Pentagon tworzy mapę drogową dostępu do Internetu „Zero Trust” do 2027 r

Departament Obrony w końcu przedstawił swój plan ochrony swoich sieci cybernetycznych po latach obietnic, że będzie to zobowiązanie.

Biuro Chief Information Officer opublikowało w listopadzie „Strategię zerowego zaufania DoD” — w której określono wskaźniki i terminy, w których departament ma osiągnąć przyjęcie pełnego zerowego poziomu zaufania do 2027 r. Eksperci ds. cyberbezpieczeństwa stwierdzili, że rząd i sektor prywatny powinny współpracować, aby wykorzystać zasoby pomyślnie wejść w nowy reżim.

„Cyberfizyczne zagrożenia dla infrastruktury krytycznej są naprawdę jednym z naszych największych wyzwań w zakresie bezpieczeństwa narodowego, przed którymi stoimy, a krajobraz, z którym mamy do czynienia, stał się bardziej złożony” — Nitin Natarajan, zastępca dyrektora ds. Agencja, powiedziała podczas imprezy MeriTalk w październiku.

Powiedział, że cyberprzestępcy mają więcej zasobów niż w przeszłości, a wyrządzenie wielu szkód niezabezpieczonemu systemowi jest tańsze. Zagrożeniem mogą być nie tylko samotni hakerzy, ale także państwa narodowe i cyberterroryści.

Na przykład cyberatak SolarWinds z 2019 r., który ominął obronę tysięcy organizacji, w tym rządu federalnego, został powiązany z agentami wspieranymi przez Rosję.

Podstawowym założeniem nowej strategii jest to, że traktowanie bezpieczeństwa organizacji jak fosy wokół zamku nie powstrzymuje złych aktorów.

„Właściciele misji i systemów, a także operatorzy coraz częściej przyjmują ten pogląd jako fakt. Postrzegają również drogę do [zerowego zaufania] jako okazję do pozytywnego wpłynięcia na misję poprzez zajęcie się modernizacją technologii, udoskonaleniem procesów bezpieczeństwa i poprawą wydajności operacyjnej” – czytamy w dokumencie.

Kultura zerowego zaufania wymaga, aby każda osoba w sieci zakładała, że ​​została ona już naruszona, i wymaga od wszystkich użytkowników ciągłego potwierdzania swojej tożsamości.

Strategia wymienia technologie, które mogą pomóc w kultywowaniu środowiska zerowego zaufania, takie jak ciągłe uwierzytelnianie wieloskładnikowe, mikrosegmentacja, zaawansowane szyfrowanie, bezpieczeństwo punktów końcowych, analizy i solidne audyty.

Chociaż te różne technologie można wykorzystać do realizacji tego podstawowego założenia, zasadniczo oznacza to, że „użytkownicy mają dostęp tylko do danych, których potrzebują i kiedy są potrzebni”.

Strategia opiera się na czterech filarach: zaakceptowaniu kultury zerowego zaufania, operacjonalizacji praktyk zerowego zaufania, przyspieszeniu technologii zerowego zaufania i integracji w całym dziale. W strategii zauważono, że chociaż działy IT w Pentagonie mogą być zmuszone do zakupu produktów, nie ma jednej zdolności, która mogłaby rozwiązać wszystkie ich problemy.

„Chociaż cele określają„ co ”należy zrobić, aby osiągnąć cel, nie określają one„ jak ”, ponieważ komponenty DoD mogą wymagać realizacji celów na różne sposoby” — czytamy w strategii.

W przypadku filaru technologicznego strategia zerowego zaufania Pentagonu wymaga szybszego wypychania zdolności przy jednoczesnej redukcji silosów. Zgodnie z dokumentem ważne są również możliwości promujące prostszą architekturę i wydajne zarządzanie danymi.

Chociaż do uwierzytelniania użytkowników można użyć wielu metod, filar integracji wymaga stworzenia planu nabycia technologii, które można skalować w całym dziale do początku roku podatkowego 2023.

Jednym z realizowanych już projektów technologicznych jest Thunderdome, kontrakt o wartości 6.8 miliona dolarów przyznany firmie Booz Allen Hamilton na początku tego roku. Zgodnie z komunikatem prasowym agencji Defense Information Systems Agency, technologia ta chroniłaby dostęp do Secure Internet Protocol Router Network, przekaźnika informacji niejawnych Pentagonu.

Strategia wskazuje, że nie będzie możliwe całkowite doposażenie każdej starszej platformy w technologię taką jak uwierzytelnianie wieloskładnikowe. Jednak usługi mogą tymczasowo wdrożyć zabezpieczenia dla tych mniej nowoczesnych systemów.

Filar zabezpieczania systemów informatycznych będzie wymagał również automatyzacji operacji sztucznej inteligencji i zabezpieczenia komunikacji na wszystkich poziomach.

Automatyzacja systemów jest ważną częścią zerowego zaufania, powiedział Andy Stewart, starszy strateg federalny w firmie zajmującej się komunikacją cyfrową Cisco Systems i były dyrektor Fleet Cyber ​​Command/US Tenth Fleet. Jeśli procesy stojące za zerowym zaufaniem nie działają dobrze, ludzie mogą mieć trudności z korzystaniem z technologii i przyjąć postawę zerowego zaufania.

„Zerowe zaufanie polega na podniesieniu bezpieczeństwa, ale oznacza również:„ Jak mogę działać wydajniej? ”- powiedział. „Doświadczenie użytkownika powinno otrzymać głos”.

Podczas gdy strategia stanowi punkt zwrotny dla wysiłków, Pentagon wiele lat temu rozpoczął drogę zerowego zaufania. W swojej strategii modernizacji cyfrowej z 2019 r. wspomniano, że zero zaufania było nową koncepcją inicjatywy, którą „eksplorowała”.

Akceptacja bardziej rygorystycznych środków bezpieczeństwa cybernetycznego poprzez nastawienie zerowego zaufania jest czymś, nad czym piechota morska pracuje poprzez edukację i podnoszenie świadomości, powiedziała Renata Spinks, zastępca dyrektora i zastępca głównego oficera ds. ochroniarz.

„Spędzamy dużo czasu na edukowaniu, ponieważ jeśli ludzie wiedzą, co robią i dlaczego to robią… z mojego doświadczenia wynika, że ​​​​zaangażują się o wiele szybciej niż będą się opierać” – powiedziała.

Powiedziała, że ​​nakaz zerowego zaufania wydany przez administrację prezydenta Joe Bidena w 2021 r.

Pomyślne wdrożenie zerowego zaufania zmniejszy zagrożenia dla niektórych z najbardziej krytycznych rodzajów zdolności, na których żołnierze będą polegać w przyszłości: chmura, sztuczna inteligencja i dowodzenie, kontrola, komunikacja, komputer i wywiad.

Wojsko potrzebuje pomocy wykonawców obronnych, aby chronić wrażliwe dane, zauważył Spinks. Przemysł może pomóc wojskowemu personelowi informatycznemu zrozumieć, jak pracować z typem danych, które będą dostarczać, i do jakiego stopnia wojsko będzie potrzebować dostępu.

„Zerowe zaufanie nie będzie zerowym zaufaniem, jeśli nie otrzymamy pomocy w zarządzaniu tożsamościami” — powiedziała.

Zauważyła, że ​​Korpus Piechoty Morskiej niedawno zatrudnił oficera ds. danych serwisowych, który mógłby wykorzystać informacje od kontrahentów na temat tego, ile dostępu będzie potrzebne wojsku, aby znaleźć najlepsze sposoby klasyfikowania danych usługi i zarządzania nimi.

Dostęp do bezpiecznych danych w dowolnym miejscu pomoże członkom wojska i personelowi bazy przemysłu obronnego, którzy pracują poza godzinami pracy i w odległych lokalizacjach, zgodnie ze strategią Pentagonu.

Nacisk na zerowe zaufanie różni się od niektórych inicjatyw związanych z cyberbezpieczeństwem, ponieważ ma za sobą siłę, dodał Spinks. Liderzy zapewnili zasady i procedury i są gotowi ponieść odpowiedzialność, powiedziała.

„Cyberbezpieczeństwo nie jest tanim przedsięwzięciem. Ale myślę, że tym, co naprawdę ją napędza, jest zaciekły przeciwnik i cała aktywność nie tylko rządu federalnego, ale nawet na poziomie stanowym i lokalnym” – powiedziała.

Lepsze praktyki bezpieczeństwa cybernetycznego będą również potrzebne do zabezpieczenia łańcuchów dostaw, zauważył Natarajan. Uczynienie ich bardziej odpornymi, zwłaszcza w krytycznych technologiach, takich jak półprzewodniki, było przedmiotem zainteresowania Pentagonu w ostatnich latach.

„Wiemy, że jest to wykorzystywane przez złośliwych cyberprzestępców do wykorzystywania dużego ryzyka osób trzecich po przejęciu łańcucha dostaw organizacji” — powiedział.

Dodał, że to kolejny powód, dla którego rząd nie może działać sam.

„Patrząc na to, patrzymy na to nie tylko z perspektywy sektora, ale także patrzymy na to z krajowych funkcji krytycznych” – powiedział.

CISA opublikowała w październiku cele wydajności cyberbezpieczeństwa dla firm, które mogą się zmierzyć. Chociaż cele dotyczące wydajności nie odnoszą się konkretnie do zerowego zaufania, cele są przeznaczone dla firm, z których mogą korzystać niezależnie od ich wielkości.

„Naprawdę patrzymy na to jako na minimalną podstawę cyberbezpieczeństwa, która zmniejszy liczbę pozostałych operatorów infrastruktury krytycznej” — powiedział. „Ale ostatecznie, robiąc to, wpływamy również na bezpieczeństwo narodowe oraz zdrowie i bezpieczeństwo Amerykanów w całym kraju”.

Sektor prywatny z kolei potrzebuje inwestycji rządu w edukację i zasoby, aby zbudować swoją cybernetyczną siłę roboczą.

„Cyberprzestrzeń obejmuje nie tylko sprzęt i oprogramowanie, technologię, twoje tablety, twoje iPhone'y, twoją technologię, ale obejmuje ludzi. Ludzie rozwinęli cyberprzestrzeń. Ludzie korzystają z cyberprzestrzeni. Jesteśmy w cyberprzestrzeni” – powiedział podczas wydarzenia MeriTalk Kemba Walden, główny zastępca dyrektora Biura National Cyber ​​Director's Office.

Biuro Krajowego Dyrektora ds. Cybernetyki, które nie osiągnęło jeszcze pełnej zdolności operacyjnej, zostało utworzone w 2021 r., aby przejąć przewodnictwo w kwestiach cybernetycznych na szczeblu federalnym, w tym w pierwszej krajowej strategii bezpieczeństwa cybernetycznego.

Równie ważny jak ogólna strategia będzie krajowy dokument dotyczący siły roboczej i edukacji, który zostanie opublikowany po strategii cyberbezpieczeństwa, powiedział Walden.

„Przyjrzeliśmy się i stwierdziliśmy, że około 700,000 2022 miejsc pracy w USA ze słowem cyber pozostaje nieobsadzonych” – powiedziała. Liczba ta pochodzi z raportu firmy badawczej Lightcast z 2021 r., opartego na danych z XNUMX r.

„Jako krajowy prawnik zajmujący się cybernetyką i bezpieczeństwem narodowym przeraża mnie to” – powiedziała. „Z mojej perspektywy jest to zagrożenie dla bezpieczeństwa narodowego”.

Powiedziała, że ​​w ostatnich latach powstały takie organizacje, jak Joint Cyber ​​Defense Collaborative i National Security Association’s Cybersecurity Collaboration Center, aby ocenić potrzeby i zebrać informacje zwrotne od dużych przedsiębiorstw.

„Są to rodzaje wspólnych wysiłków, które moim zdaniem są niezbędne do ogólnego rozwoju współpracy publiczno-prywatnej i wymiany informacji” – powiedziała.

Ostatecznie, zgodnie z dokumentem, korzyści płynące z zerowego zaufania spływają na wojownika.

Na przykład wspólny wysiłek Pentagonu w zakresie dowodzenia i kontroli we wszystkich domenach — którego celem jest połączenie czujników i strzelców przy jednoczesnym wykorzystaniu sztucznej inteligencji do podejmowania decyzji — opiera się na bezpieczeństwie tych danych. Strategia zauważa, że ​​jeśli wpadnie w niepowołane ręce, przywódcy wojskowi nie będą w stanie osiągnąć dominacji informacyjnej.

„Musimy mieć pewność, że gdy złośliwi aktorzy próbują naruszyć naszą obronę zerowego zaufania; nie mogą już swobodnie wędrować po naszych sieciach i zagrażać naszej zdolności do zapewnienia maksymalnego wsparcia wojownikowi” – ​​powiedział w strategii dyrektor ds. informacji John Sherman.

Przeczytaj całą historię tutaj…