Il Pentagono crea una road map per l'accesso a Internet "Zero Trust" entro il 2027

Il Dipartimento della Difesa ha finalmente definito il suo piano per proteggere le sue reti informatiche dopo anni di impegno.

L'Office of the Chief Information Officer ha pubblicato a novembre "The DoD Zero Trust Strategy", che ha stabilito le metriche e le scadenze per il dipartimento per raggiungere l'adozione completa della fiducia zero entro il 2027. Gli esperti di sicurezza informatica hanno affermato che il governo e il settore privato dovrebbero lavorare insieme per sfruttare le risorse entrare con successo nel nuovo regime.

"Le minacce informatiche fisiche alle infrastrutture critiche sono davvero una delle nostre maggiori sfide alla sicurezza nazionale che stiamo affrontando oggi e il panorama con cui abbiamo a che fare è diventato più complesso", Nitin Natarajan, vicedirettore della Cybersecurity and Infrastructure Security Agency, ha detto durante un evento MeriTalk in ottobre.

Gli aggressori informatici hanno più risorse di quante ne avessero in passato ed è meno costoso fare molti danni a un sistema non sicuro, ha affermato. Non sono solo gli hacker lupo solitario, ma anche gli stati nazione ei cyberterroristi a rappresentare una minaccia.

Ad esempio, l'attacco informatico SolarWinds del 2019, che ha superato le difese di migliaia di organizzazioni, incluso il governo federale, è stato collegato ad agenti sostenuti dalla Russia.

Il principio di base della nuova strategia è che trattare la sicurezza delle organizzazioni come un fossato attorno a un castello non tiene fuori i cattivi attori.

“I proprietari della missione e del sistema, così come gli operatori, abbracciano sempre più questa visione come un dato di fatto. Vedono anche il viaggio verso [zero trust] come un'opportunità per influenzare positivamente la missione affrontando le modernizzazioni tecnologiche, perfezionando i processi di sicurezza e migliorando le prestazioni operative ", afferma il documento.

La cultura zero trust richiede che ogni persona all'interno di una rete presuma che sia già compromessa e richiede a tutti gli utenti di dimostrare la propria identità in ogni momento.

La strategia elenca le tecnologie che possono aiutare a coltivare un ambiente zero trust come l'autenticazione continua a più fattori, la microsegmentazione, la crittografia avanzata, la sicurezza degli endpoint, l'analisi e il controllo robusto.

Sebbene queste varie tecnologie possano essere utilizzate per implementare questa premessa di base, significa essenzialmente che "agli utenti viene concesso l'accesso solo ai dati di cui hanno bisogno e quando necessario".

La strategia ruota attorno a quattro pilastri: accettazione della cultura zero trust, operatività delle pratiche zero trust, accelerazione della tecnologia zero trust e integrazione a livello di dipartimento. La strategia rileva che mentre i dipartimenti IT del Pentagono potrebbero aver bisogno di acquistare prodotti, non esiste una capacità in grado di risolvere tutti i loro problemi.

“Sebbene gli obiettivi prescrivano 'cosa' deve essere fatto per raggiungere l'obiettivo, non prescrivono 'come', poiché i componenti del Dipartimento della Difesa potrebbero aver bisogno di raggiungere gli obiettivi in ​​modi diversi”, si legge nella strategia.

Per il pilastro tecnologico, la strategia zero trust del Pentagono richiede che le capacità vengano espulse più rapidamente riducendo al contempo i silos. Anche le funzionalità che promuovono un'architettura più semplice e una gestione efficiente dei dati sono importanti, secondo il documento.

Sebbene sia possibile utilizzare molti metodi per autenticare gli utenti, il pilastro dell'integrazione richiede la creazione di un piano di acquisizione per le tecnologie che possono essere scalate a livello di reparto entro l'inizio dell'anno fiscale 2023.

Uno sviluppo tecnologico già in corso è il Thunderdome, un contratto da 6.8 milioni di dollari assegnato a Booz Allen Hamilton all'inizio di quest'anno. La tecnologia proteggerebbe l'accesso al Secure Internet Protocol Router Network, il trasmettitore di informazioni classificate del Pentagono, secondo un comunicato stampa della Defense Information Systems Agency.

Non sarà possibile aggiornare completamente ogni piattaforma legacy con tecnologie come l'autenticazione a più fattori, sottolinea la strategia. Tuttavia, nel frattempo i servizi possono implementare salvaguardie per questi sistemi meno moderni.

Il pilastro della sicurezza dei sistemi informativi richiederà anche l'automazione delle operazioni di intelligenza artificiale e la sicurezza delle comunicazioni a tutti i livelli.

L'automazione dei sistemi è una parte importante di zero trust, ha affermato Andy Stewart, stratega federale senior presso la società di comunicazioni digitali Cisco Systems ed ex direttore di Fleet Cyber ​​Command/US Tenth Fleet. Se i processi alla base della zero trust non funzionano bene, le persone possono avere difficoltà a utilizzare la tecnologia e adottare la mentalità zero trust.

"Zero trust riguarda l'aumento della sicurezza, ma significa anche: 'Come posso operare in modo più efficiente?'", ha affermato. "L'esperienza dell'utente dovrebbe ottenere un voto."

Mentre la strategia segna un punto di svolta per lo sforzo, il Pentagono ha iniziato la strada della fiducia zero anni fa. La sua strategia di modernizzazione digitale del 2019 menzionava che la fiducia zero era un concetto di iniziativa emergente che stava "esplorando".

Accettare misure di sicurezza informatica più rigorose attraverso la mentalità zero trust è qualcosa su cui il Corpo dei Marines ha lavorato attraverso l'educazione e la sensibilizzazione, ha affermato Renata Spinks, vicedirettore e vicedirettore delle informazioni, comando, controllo, comunicazioni e computer e agente di informazioni senior responsabile della sicurezza.

"Passiamo molto tempo a educare, perché se le persone sanno cosa stanno facendo e perché lo stanno facendo... è stata la mia esperienza che saliranno a bordo molto prima che resistere", ha detto

Il mandato zero trust del 2021 dell'amministrazione del presidente Joe Biden è stato "una manna dal cielo" perché ha giustificato il personale all'interno del Corpo dei Marines che potrebbe non aver compreso la necessità di alcune delle iniziative IT, ha affermato.

Un'implementazione zero trust di successo ridurrà le minacce ad alcuni dei tipi più critici di capacità su cui i combattenti faranno affidamento in futuro: cloud, intelligenza artificiale e comando, controllo, comunicazioni, computer e intelligence.

I militari hanno bisogno dell'aiuto degli appaltatori della difesa per proteggere i dati sensibili, ha osservato Spinks. L'industria può aiutare il personale IT dell'esercito a capire come lavorare con il tipo di dati che fornirà ea quanto l'esercito avrà bisogno di accedere.

"Zero trust non sarà zero trust con successo se non otteniamo aiuto nella gestione delle identità", ha affermato.

Il Corpo dei Marines ha recentemente assunto un responsabile dei dati di servizio che potrebbe utilizzare il contributo degli appaltatori su quanto accesso avrà bisogno l'esercito per capire i modi migliori per classificare e gestire i dati del servizio, ha osservato.

Avere accesso a dati protetti ovunque aiuterà i membri militari e il personale nella base industriale della difesa che lavorano al di fuori dell'orario lavorativo e in località remote, secondo la strategia del Pentagono.

La spinta per la zero trust è diversa da alcune iniziative di sicurezza informatica perché ha dei muscoli dietro, ha aggiunto Spinks. La leadership ha fornito politiche e procedure e sono disposti a essere ritenuti responsabili, ha affermato.

“La sicurezza informatica non è un'impresa economica. Ma penso che ciò che lo spinge veramente sia il feroce avversario e tutta l'attività non solo nel governo federale, ma anche a livello statale e locale ", ha affermato.

Saranno necessarie anche migliori pratiche di sicurezza informatica per proteggere le catene di approvvigionamento, ha osservato Natarajan. Renderli più resistenti, specialmente nelle tecnologie critiche come i semiconduttori, è stato un obiettivo al Pentagono negli ultimi anni.

"Sappiamo che questo viene utilizzato da attori informatici malintenzionati per sfruttare molti rischi di terze parti dopo aver inseguito la catena di fornitura di un'organizzazione", ha affermato.

Questo è un altro motivo per cui il governo non può lavorare da solo, ha aggiunto.

"Mentre guardiamo a questo, lo stiamo osservando non solo da una prospettiva settoriale, ma anche da funzioni critiche nazionali", ha affermato.

CISA ha pubblicato gli obiettivi di prestazione della sicurezza informatica per le aziende per misurare se stesse nel mese di ottobre. Sebbene gli obiettivi di prestazione non citino in modo specifico la fiducia zero, gli obiettivi sono pensati per essere utilizzati dalle aziende indipendentemente dalle loro dimensioni.

"Stiamo davvero considerando questi come quella base minima di protezione informatica che ridurrà il resto degli operatori di infrastrutture critiche", ha affermato. "Ma alla fine della giornata, così facendo stiamo anche influenzando la sicurezza nazionale e la salute e la sicurezza degli americani in tutta la nazione".

Il settore privato, a sua volta, ha bisogno dell'investimento del governo nell'istruzione e nelle risorse per costruire la propria forza lavoro informatica.

“Il cyberspazio non coinvolge solo l'hardware e il software, la tecnologia, i tuoi tablet, i tuoi iPhone, la tua tecnologia, ma coinvolge anche le persone. Le persone hanno sviluppato il cyberspazio. Le persone usano il cyberspazio. Siamo nel cyberspazio”, ha dichiarato Kemba Walden, vicedirettore principale dell'ufficio del direttore nazionale del cyber, durante l'evento MeriTalk.

Non ancora a piena capacità operativa, nel 2021 è stato istituito il National Cyber ​​Director's Office per assumere un ruolo guida sulle questioni informatiche a livello federale, compresa la prima strategia nazionale di sicurezza informatica.

Altrettanto importante quanto l'ampia strategia sarà il documento nazionale sulla forza lavoro e sull'istruzione che verrà rilasciato dopo la strategia di sicurezza informatica, ha affermato Walden.

"Abbiamo dato un'occhiata e abbiamo riconosciuto che circa 700,000 posti di lavoro negli Stati Uniti con la parola cyber sono rimasti vacanti", ha detto. Quel numero proviene dal rapporto 2022 della società di ricerche di mercato Lightcast basato sui dati del 2021.

"Come avvocato nazionale per la sicurezza informatica e nazionale, questo mi spaventa", ha detto. "Questo è un rischio per la sicurezza nazionale dal mio punto di vista."

Negli ultimi anni, organizzazioni come Joint Cyber ​​​​Defence Collaborative e il Cybersecurity Collaboration Center della National Security Association sono sorte per valutare le esigenze e raccogliere feedback dalle grandi imprese, ha affermato.

"Questi sono i tipi di sforzi collaborativi che ritengo necessari per far evolvere la collaborazione pubblico-privata e la condivisione delle informazioni in generale", ha affermato.

Alla fine, secondo il documento, i vantaggi della zero trust si ripercuotono sul combattente.

Ad esempio, lo sforzo congiunto di comando e controllo su tutto il dominio del Pentagono, che mira a collegare sensori e tiratori utilizzando l'intelligenza artificiale per prendere decisioni, si basa sulla sicurezza di tali dati. Se cade nelle mani sbagliate, i leader militari non possono ottenere il dominio dell'informazione, osserva la strategia.

“Dobbiamo assicurarci che quando gli attori malintenzionati tentano di violare le nostre difese zero trust; non possono più vagare liberamente attraverso le nostre reti e minacciare la nostra capacità di fornire il massimo supporto al combattente", ha affermato il Chief Information Officer John Sherman nella strategia.

Leggi la storia completa qui ...