Pentagon laver køreplan for 'Zero Trust' internetadgang i 2027

Forsvarsministeriet har endelig lagt sin plan for beskyttelse af sine cybernetværk efter mange års løfte om at gøre det til en forpligtelse.

Kontoret for Chief Information Officer udgav "The DoD Zero Trust Strategy" i november - som fastlagde målinger og deadlines for afdelingen for at opnå fuld nul tillid vedtagelse i 2027. Cybersikkerhedseksperter sagde, at regeringen og den private sektor burde arbejde sammen for at udnytte ressourcerne at komme ind i det nye regime.

"Fysiske cybertrusler mod kritisk infrastruktur er virkelig en af ​​vores største nationale sikkerhedsudfordringer, som vi står over for i dag, og at det landskab, vi har at gøre med, er blevet mere komplekst," Nitin Natarajan, vicedirektør ved Cybersikkerhed og Infrastruktursikkerhed Agency, sagde under en MeriTalk-begivenhed i oktober.

Cyberangribere har flere ressourcer, end de har tidligere, og det er billigere at gøre meget skade på et usikkert system, sagde han. Det er ikke kun ensomme ulve-hackere, men nationalstater og cyberterrorister, der kan udgøre en trussel.

For eksempel er SolarWinds cyberangreb i 2019, der fejede forbi forsvaret af tusindvis af organisationer, inklusive den føderale regering, blevet forbundet med Rusland-støttede operatører.

Den nye strategis grundlæggende princip er, at behandling af organisationers sikkerhed som en voldgrav omkring et slot ikke holder dårlige aktører ude.

"Missions- og systemejere såvel som operatører omfavner i stigende grad denne opfattelse som kendsgerning. De ser også rejsen til [nul tillid] som en mulighed for at påvirke missionen positivt ved at tage fat på teknologimoderniseringer, forfine sikkerhedsprocesser og forbedre den operationelle ydeevne,” står der i dokumentet.

Nul tillidskultur kræver, at alle personer i et netværk antager, at det allerede er kompromitteret og kræver, at alle brugere til enhver tid beviser deres identitet.

Strategien lister teknologier, der kan hjælpe med at dyrke et nul-tillidsmiljø, såsom kontinuerlig multifaktorautentificering, mikrosegmentering, avanceret kryptering, slutpunktssikkerhed, analyse og robust revision.

Selvom disse forskellige teknologier kan bruges til at implementere denne grundlæggende forudsætning, betyder det i det væsentlige, at "brugere kun får adgang til de data, de har brug for, og når det er nødvendigt."

Strategien drejer sig om fire søjler: accept af nul-tillid-kulturen, operationalisering af nul-tillidspraksis, acceleration af nul-tillid-teknologi og afdelingsdækkende integration. Strategien bemærker, at selvom it-afdelinger på tværs af Pentagon muligvis skal købe produkter, er der ingen kapacitet, der kan løse alle deres problemer.

"Mens målene foreskriver 'hvad' der skal gøres for at fremme målet, foreskriver de ikke 'hvordan', da DoD Components muligvis skal udføre mål på forskellige måder," lød strategien.

For teknologisøjlen kræver Pentagons nul-tillid-strategi, at kapaciteter skubbes hurtigere ud, samtidig med at siloer reduceres. Egenskaber, der fremmer enklere arkitektur og effektiv datastyring, er ifølge dokumentet også vigtige.

Mens mange metoder kan bruges til at autentificere brugere, kræver integrationssøjlen oprettelse af en anskaffelsesplan for teknologier, der kan skaleres i hele afdelingen i det tidlige regnskabsår 2023.

En teknologiudvikling, der allerede er i gang, er Thunderdome, en kontrakt på $6.8 millioner tildelt Booz Allen Hamilton tidligere på året. Teknologien ville beskytte adgangen til Secure Internet Protocol Router Network, Pentagons klassificerede informationssender, ifølge en pressemeddelelse fra Defense Information Systems Agency.

Det vil ikke være muligt helt at eftermontere enhver legacy platform med teknologi såsom multi-faktor autentificering, påpeger strategien. Tjenesterne kan dog implementere sikkerhedsforanstaltninger for disse mindre moderne systemer i mellemtiden.

Søjlen for sikring af informationssystemer vil også kræve automatisering af kunstig intelligens-operationer og sikring af kommunikation på alle niveauer.

Automatisering af systemer er en vigtig del af nul tillid, sagde Andy Stewart, senior forbundsstrateg hos den digitale kommunikationsvirksomhed Cisco Systems og en tidligere direktør hos Fleet Cyber ​​Command/US Tenth Fleet. Hvis processerne bag nul tillid ikke fungerer godt, kan folk kæmpe for at bruge teknologien og adoptere nultillidstankegangen.

"Nul tillid handler om at højne sikkerheden, men det betyder også, 'Hvordan fungerer jeg mere effektivt?'" sagde han. "Brugeroplevelsen bør få en stemme."

Mens strategien markerer et vendepunkt for indsatsen, startede Pentagon ned ad vejen med nul tillid for år siden. Dens 2019 Digital Modernization Strategy nævnte, at nultillid var et spirende initiativkoncept, det var ved at "udforske".

At acceptere mere stringente cybersikkerhedsforanstaltninger gennem nul-tillidstankegangen er noget, marinekorpset har arbejdet på gennem uddannelse og bevidstgørelse, sagde Renata Spinks, assisterende direktør og stedfortrædende informationschef for information, kommando, kontrol, kommunikation og computere og fungerende seniorinformation. sikkerhedsofficer.

"Vi bruger meget tid på at uddanne, for hvis folk ved, hvad de laver, og hvorfor de gør det ... har det været min erfaring, at de vil komme ombord meget hurtigere end at gøre modstand," sagde hun

2021-nultillidsmandatet fra præsident Joe Bidens administration var "en gave", fordi det gav ret til personale inden for marinekorpset, som måske ikke har forstået nødvendigheden af ​​nogle af IT-initiativerne, sagde hun.

En vellykket implementering af nul tillid vil reducere trusler mod nogle af de mest kritiske typer af kapaciteter, som krigskæmpere vil stole på i fremtiden: sky, kunstig intelligens og kommando, kontrol, kommunikation, computer og intelligens.

Militæret har brug for hjælp fra forsvarsentreprenører til at beskytte følsomme data, bemærkede Spinks. Industrien kan hjælpe militærets it-personale med at forstå, hvordan man arbejder med den type data, de vil levere, og hvor meget militæret har brug for adgang.

"Nul tillid vil ikke være nul tillid med succes, hvis vi ikke får hjælp til at administrere identiteter," sagde hun.

Marine Corps hyrede for nylig en servicedataofficer, som kunne bruge input fra entreprenører om, hvor meget adgang militæret skal bruge for at finde ud af de bedste måder at klassificere og administrere tjenestens data på, bemærkede hun.

At have adgang til sikre data hvor som helst vil hjælpe militærmedlemmer og personel i den forsvarsindustrielle base, som arbejder uden for åbningstid og fjerntliggende steder, ifølge Pentagons strategi.

Presset for nul tillid er anderledes end nogle cybersikkerhedsinitiativer, fordi det har muskler bag sig, tilføjede Spinks. Ledelse har leveret politikker og procedurer og er villige til at blive holdt ansvarlige, sagde hun.

"Cybersikkerhed er ikke en billig satsning. Men jeg tror, ​​at det, der virkelig driver det, er den ondskabsfulde modstander og al aktivitet på tværs af ikke kun den føderale regering, men selv på stats- og lokalt niveau,” sagde hun.

Bedre cybersikkerhedspraksis vil også være nødvendig for at sikre forsyningskæder, bemærkede Natarajan. At gøre dem mere modstandsdygtige, især inden for kritiske teknologier såsom halvledere, har været et fokus i Pentagon i de seneste år.

"Vi ved, at dette bliver brugt af ondsindede cyberaktører til at udnytte en masse tredjepartsrisici efter at have gået efter en organisations forsyningskæde," sagde han.

Det er endnu en grund til, at regeringen ikke kan arbejde alene, tilføjede han.

"Når vi ser på dette, ser vi på dette ikke kun fra et sektorperspektiv, men ser også på dette fra nationale kritiske funktioner," sagde han.

CISA udgav præstationsmål for cybersikkerhed, som virksomheder kan måle sig selv i i oktober. Selvom præstationsmålene ikke specifikt nævner nul tillid, er målene beregnet til, at virksomheder kan bruge dem uanset deres størrelse.

"Vi ser virkelig på, at disse er den mindste basislinje for cyberbeskyttelse, der vil reducere resten af ​​kritiske infrastrukturoperatører," sagde han. "Men i sidste ende, ved at gøre det påvirker vi også den nationale sikkerhed og sundhed og sikkerhed for amerikanere i hele nationen."

Den private sektor har til gengæld brug for regeringens investering i uddannelse og ressourcer for at opbygge sin cyberarbejdsstyrke.

"Cyberspace involverer ikke kun hardwaren og softwaren, teknologien, dine tablets, dine iPhones, din teknologi, men det involverer mennesker. Folk udviklede cyberspace. Folk bruger cyberspace. Vi er i cyberspace,” sagde Kemba Walden, vicedirektør for National Cyber ​​Director's Office, under MeriTalk-arrangementet.

Det nationale cyberdirektørkontor, der endnu ikke har fuld driftskapacitet, blev etableret i 2021 for at tage føringen om cyberspørgsmål på føderalt niveau, herunder den første nationale cybersikkerhedsstrategi.

Lige så vigtig som den brede strategi vil være det nationale arbejdsstyrke- og uddannelsesdokument, der vil blive frigivet efter cybersikkerhedsstrategien, sagde Walden.

"Vi tog et kig og erkendte, at omkring 700,000 amerikanske jobs med ordet cyber i det forbliver ubesatte," sagde hun. Det tal kommer fra markedsundersøgelsesfirmaet Lightcasts 2022-rapport baseret på 2021-data.

"Som national cyber- og national sikkerhedsadvokat skræmmer det mig," sagde hun. "Det er en national sikkerhedsrisiko set fra mit perspektiv."

I de seneste år er organisationer som Joint Cyber ​​Defense Collaborative og National Security Association's Cybersecurity Collaboration Center dukket op for at måle behovene og indsamle feedback fra store virksomheder, sagde hun.

"Det er den slags samarbejdsbestræbelser, som jeg mener er nødvendige for at udvikle offentlig-privat samarbejde og informationsdeling generelt," sagde hun.

I sidste ende drypper fordelene ved nul tillid ned til krigskæmperen, ifølge dokumentet.

For eksempel er Pentagons fælles kommando- og kontrolindsats på alle domæner - som har til formål at forbinde sensorer og skydere, mens de bruger kunstig intelligens til at træffe beslutninger - på, at disse data er sikre. Hvis det falder i de forkerte hænder, kan militære ledere ikke opnå informationsdominans, konstaterer strategien.

"Vi er nødt til at sikre os, at når ondsindede aktører forsøger at bryde vores nultillidsforsvar; de kan ikke længere strejfe frit gennem vores netværk og true vores evne til at levere maksimal støtte til krigskæmperen,” sagde Chief Information Officer John Sherman i strategien.

Læs hele historien her ...