Пентагон создает дорожную карту для доступа в Интернет с нулевым доверием к 2027 году

Министерство обороны наконец изложило свой план защиты своих киберсетей после многолетних обещаний взять на себя обязательства.

В ноябре Управление директора по информационным технологиям опубликовало «Стратегию нулевого доверия Министерства обороны США», в которой изложены показатели и сроки, необходимые для достижения департаментом полного перехода к нулевому доверию к 2027 году. Эксперты по кибербезопасности заявили, что правительство и частный сектор должны работать вместе, чтобы максимально использовать ресурсы. успешно войти в новый режим.

«Киберфизические угрозы критической инфраструктуре действительно являются одной из самых больших проблем национальной безопасности, с которыми мы сталкиваемся сегодня, и ландшафт, с которым мы имеем дело, стал более сложным», — Нитин Натараджан, заместитель директора по кибербезопасности и безопасности инфраструктуры. Агентство, заявил во время мероприятия MeriTalk в октябре.

По его словам, у кибератак больше ресурсов, чем в прошлом, и нанести большой ущерб незащищенной системе дешевле. Угрозу могут представлять не только хакеры-одиночки, но и национальные государства и кибертеррористы.

Например, кибератака SolarWinds в 2019 году, которая обошла защиту тысяч организаций, включая федеральное правительство, была связана с поддерживаемыми Россией оперативниками.

Основной принцип новой стратегии заключается в том, что отношение к безопасности организаций как к рву вокруг замка не препятствует проникновению злоумышленников.

«Владельцы миссий и систем, а также операторы все больше принимают эту точку зрения как факт. Они также рассматривают путь к [нулевому доверию] как возможность положительно повлиять на миссию за счет модернизации технологий, усовершенствования процессов безопасности и повышения операционной эффективности», — говорится в документе.

Культура нулевого доверия требует, чтобы каждый человек в сети предполагал, что она уже скомпрометирована, и требует, чтобы все пользователи постоянно подтверждали свою личность.

В стратегии перечислены технологии, которые могут помочь в создании среды с нулевым доверием, такие как непрерывная многофакторная аутентификация, микросегментация, расширенное шифрование, безопасность конечных точек, аналитика и надежный аудит.

Хотя эти различные технологии могут использоваться для реализации этой основной предпосылки, по сути это означает, что «пользователям предоставляется доступ только к тем данным, которые им нужны, и когда это необходимо».

Стратегия вращается вокруг четырех столпов: принятие культуры нулевого доверия, внедрение практики нулевого доверия, ускорение технологии нулевого доверия и интеграция в масштабах всего отдела. В стратегии отмечается, что, хотя ИТ-отделам Пентагона может потребоваться закупка продуктов, не существует единой возможности, которая могла бы решить все их проблемы.

«Хотя цели предписывают, что должно быть сделано для достижения цели, они не предписывают, как, поскольку компонентам Министерства обороны может потребоваться выполнять задачи разными способами», — говорится в стратегии.

Что касается технологического компонента, стратегия нулевого доверия Пентагона требует более быстрого развертывания возможностей при одновременном сокращении разрозненности. Согласно документу, также важны возможности, способствующие упрощению архитектуры и эффективному управлению данными.

Хотя для аутентификации пользователей можно использовать множество методов, основа интеграции требует создания плана приобретения технологий, которые можно будет масштабировать в масштабах всего отдела к началу 2023 финансового года.

Одной из технологических разработок, которая уже находится в стадии разработки, является Thunderdome, контракт на 6.8 миллиона долларов, заключенный с Booz Allen Hamilton в начале этого года. Согласно пресс-релизу Агентства оборонных информационных систем, эта технология защитит доступ к защищенной сети маршрутизаторов Интернет-протокола, передатчику секретной информации Пентагона.

Стратегия указывает на то, что невозможно будет полностью модернизировать каждую устаревшую платформу такими технологиями, как многофакторная аутентификация. Тем не менее, службы могут временно реализовать меры безопасности для этих менее современных систем.

Столп защиты информационных систем также потребует автоматизации операций искусственного интеллекта и защиты связи на всех уровнях.

Автоматизация систем является важной частью нулевого доверия, сказал Энди Стюарт, старший федеральный стратег компании цифровых коммуникаций Cisco Systems и бывший директор Fleet Cyber ​​Command/Десятого флота США. Если процессы, лежащие в основе нулевого доверия, не работают должным образом, людям будет сложно использовать технологию и принять образ мышления с нулевым доверием.

«Нулевое доверие связано с повышением безопасности, но это также означает: «Как мне работать более эффективно?», — сказал он. «Пользовательский опыт должен получить голосование».

Хотя эта стратегия знаменует собой поворотный момент в усилиях, Пентагон несколько лет назад встал на путь нулевого доверия. В Стратегии цифровой модернизации на 2019 год упоминается, что концепция нулевого доверия является новой инициативой, которую компания «исследует».

Принятие более строгих мер кибербезопасности с помощью концепции нулевого доверия — это то, над чем Корпус морской пехоты работает посредством обучения и повышения осведомленности, сказала Рената Спинкс, помощник директора и заместитель директора по информационным технологиям по информации, командованию, управлению, связи и компьютерам и исполняющая обязанности старшего сотрудника по информационным технологиям. Сотрудник службы безопасности.

«Мы тратим много времени на обучение, потому что, если люди знают, что они делают и почему они это делают… по моему опыту, они согласятся гораздо раньше, чем будут сопротивляться», — сказала она.

По ее словам, мандат нулевого доверия от администрации президента Джо Байдена на 2021 год был «находкой», потому что он дал оправдание персоналу морской пехоты, который, возможно, не понимал необходимости некоторых ИТ-инициатив.

Успешная реализация нулевого доверия уменьшит угрозы для некоторых из наиболее важных типов возможностей, на которые в будущем будут полагаться военные бойцы: облако, искусственный интеллект и командование, контроль, связь, компьютер и разведка.

Спинкс отметил, что военным нужна помощь оборонных подрядчиков для защиты конфиденциальных данных. Промышленность может помочь военному ИТ-персоналу понять, как работать с типом данных, которые они будут предоставлять, и к какому объему данных военным потребуется доступ.

«Нулевое доверие не будет успешным, если мы не получим помощь в управлении идентификацией», — сказала она.

Она отметила, что Корпус морской пехоты недавно нанял офицера службы данных, который мог бы использовать информацию от подрядчиков о том, какой доступ потребуется военным, чтобы выяснить наилучшие способы классификации и управления данными службы.

Согласно стратегии Пентагона, наличие доступа к защищенным данным в любом месте поможет военнослужащим и персоналу оборонно-промышленной базы, которые работают в нерабочее время и в удаленных местах.

Стремление к нулевому доверию отличается от некоторых инициатив в области кибербезопасности, потому что за этим стоит сила, добавил Спинкс. По ее словам, руководство разработало политику и процедуры и готово нести ответственность.

«Кибербезопасность — недешевое предприятие. Но я думаю, что на самом деле это движет злобным противником и всей деятельностью не только федерального правительства, но даже на уровне штата и на местном уровне», — сказала она.

Натараджан отметил, что для защиты цепочек поставок также потребуются более эффективные методы кибербезопасности. В последние годы Пентагон уделял особое внимание повышению их отказоустойчивости, особенно в критически важных технологиях, таких как полупроводники.

«Мы знаем, что это используется злоумышленниками в киберпространстве для того, чтобы воспользоваться большим риском третьих лиц после того, как они попытаются преследовать цепочку поставок организации», — сказал он.

Это еще одна причина, по которой правительство не может работать в одиночку, добавил он.

«Когда мы смотрим на это, мы смотрим на это не только с точки зрения сектора, но и смотрим на это с точки зрения важнейших национальных функций», — сказал он.

В октябре CISA опубликовала целевые показатели эффективности кибербезопасности для компаний. Хотя в целях производительности конкретно не упоминается нулевое доверие, цели предназначены для использования компаниями независимо от их размера.

«Мы действительно рассматриваем их как минимальный базовый уровень киберзащиты, который сократит количество остальных операторов критической инфраструктуры», — сказал он. «Но, в конце концов, делая это, мы также влияем на национальную безопасность, а также на здоровье и безопасность американцев по всей стране».

Частный сектор, в свою очередь, нуждается в государственных инвестициях в образование и в ресурсах для создания рабочей силы в сфере кибербезопасности.

«Киберпространство включает в себя не только аппаратное и программное обеспечение, технологии, ваши планшеты, ваши iPhone, ваши технологии, но и людей. Люди освоили киберпространство. Люди используют киберпространство. Мы находимся в киберпространстве», — заявил во время мероприятия MeriTalk Кемба Уолден, первый заместитель директора национального офиса кибер-директора.

В 2021 году был создан офис национального директора по кибербезопасности, который еще не вышел на полную мощность, чтобы взять на себя ведущую роль в решении киберпроблем на федеральном уровне, включая первую национальную стратегию кибербезопасности.

По словам Уолдена, столь же важным, как и общая стратегия, будет документ о национальной рабочей силе и образовании, который будет выпущен после стратегии кибербезопасности.

«Мы посмотрели и обнаружили, что около 700,000 2022 рабочих мест в США со словом «кибер» остаются незанятыми», — сказала она. Это число взято из отчета исследовательской компании Lightcast за 2021 год, основанного на данных за XNUMX год.

«Меня как национального юриста по вопросам кибербезопасности и национальной безопасности это пугает», — сказала она. «С моей точки зрения, это угроза национальной безопасности».

По ее словам, в последние годы возникли такие организации, как Joint Cyber ​​Defense Collaborative и Центр сотрудничества в области кибербезопасности Национальной ассоциации безопасности, которые оценивают потребности и собирают отзывы крупных предприятий.

«Это те виды совместных усилий, которые, по моему мнению, необходимы для развития государственно-частного сотрудничества и обмена информацией в целом», — сказала она.

В конечном счете, согласно документу, преимущества нулевого доверия переходят к военным.

Например, совместные усилия Пентагона по управлению и контролю во всех областях, которые направлены на то, чтобы связать датчики и стрелков при использовании искусственного интеллекта для принятия решений, зависят от безопасности этих данных. В стратегии отмечается, что если она попадет не в те руки, военачальники не смогут добиться информационного господства.

«Мы должны убедиться, что когда злоумышленники попытаются взломать нашу защиту с нулевым доверием; они больше не могут свободно перемещаться по нашим сетям и угрожать нашей способности оказывать максимальную поддержку истребителям», — сказал в стратегии директор по информационным технологиям Джон Шерман.

Прочитайте полную историю здесь…