当地时间11月22日,美国国防部正式公布了其零信任战略和路线图,强调了该部门计划如何保护敏感信息免遭窥探。这些文件详细介绍了实现零信任这一网络安全新范例所需的100多项活动、能力和支柱。官员们表示,该战略符合更大范围的安全规划,其中包括最近发布的国防战略。

五角大楼在其发布公告中指出,当前和未来的网络威胁和攻击推动了对超越传统边界防御方法的零信任方法的需求。DOD打算在2027财年之前实施战略和相关路线图中概述的独特的零信任能力和活动。

该战略设想了一个由全面实施的全部门零信任网络安全框架保护的国防部信息企业,该框架将减少攻击面,在伙伴关系环境中实现风险管理和有效数据共享,并快速遏制和补救对手活动。

该战略概述了四个高层次的综合战略目标,这些目标定义了该部门为实现其ZT愿景将采取的行动:

  1. 采用零信任文化——所有国防部人员都了解、理解、接受过培训并致力于零信任的心态和文化,并支持ZT的整合。

  2. 国防部信息系统的安全和防御——网络安全实践在新旧系统中纳入并实施零信任。

  3. 技术加速——技术部署的速度等于或超过行业进步。

  4. 零信任支持——部门级和组件级流程、政策和资金与零信任原则和方法同步。

面对不断变化的对手威胁和新技术,实施零信任将是一个持续的过程。随着技术的变化和我们国家的对手的发展,未来几年将纳入更多的零信任增强功能。

零信任投资组合管理办公室主任兰迪·雷斯尼克 (Randy Resnick) 11月对记者说:“如果我们将其与我们的家庭安全进行比较,我们可以说我们传统上锁上了门窗,只有那些有钥匙的人才能进入。” “在零信任的情况下,我们已经确定了房屋内的贵重物品,并且我们还在房屋内为这些物品中的每一件都设置了警卫和锁。”

与旧的网络安全模型不同,零信任假设网络始终处于危险之中或已经受到损害。因此,需要持续验证用户、设备和访问权限。五角大楼首席信息官约翰谢尔曼将其比作不信任“任何人或任何事物”。

随着美国准备与中国或俄罗斯——有网络侵略历史的世界大国——进行潜在的战斗,这种向分割和内在不信任的转变出现了。西方当局表示,俄罗斯在最近的入侵中对乌克兰发动了网络攻击,而中国则利用数字领域获得了巨大利益。

根据政府问责局的评估,国防部自2015年以来经历了12,000多起网络事件,自2017年以来每年的总数稳步下降。联邦政府在10月初表示,黑客渗透了一个国防工业基地组织,保持对其网络的“持久、长期”访问,并携带敏感数据潜逃。受害者——很可能是一名国防承包商——但没有透露姓名。

零信任战略指出:“网络威胁和攻击正在以越来越快的速度发展,需要协调一致的防御性响应,这种响应具有适应性、灵活性和敏捷性。” “基于传统身份验证和授权模型的传统边界或‘城堡和护城河’安全方法无法有效地阻止当前(和未来)的网络攻击媒介。”

国防官员此前规定了实施零信任的五年期限。该战略维持了2027财年的时间表,网络安全领导者将其描述为具有挑战性但很重要。

该图表包含在五角大楼的零信任战略中。它介绍了网络安全新方法的组成。(照片提供/美国国防部)

“实施我们的零信任目标,包括对部门的每个角落进行教育,是一项雄心勃勃的事业,”代理首席副首席信息官David McKeown说。“我们从一开始就认识到这一点,这推动了我们的步伐并为我们的战略提供了信息。”

根据国防新闻的分析,国防信息系统局(DISA)于7月下旬延长了与Booz Allen Hamilton的一项名为Thunderdome的零信任协议,Booz Allen Hamilton是按收入计算全球第22大国防承包商。

DISA当时引用了俄罗斯攻击乌克兰的经验教训,以及进一步加强安全互联网协议路由器网络 (SIPRNet) 的必要性,SIPRNet 一种传递机密信息的手段。

DOD零信任战略中的100多项活动及级别

五角大楼的主要IT机构DISA在1月份授予Booz Allen价值680万美元的合同,以开发Thunderdome原型。随后的延期将试点延长至一整年,现在预计将于2023年初完成。

据C4ISRNET报道,国防部在2021年决定取消联合区域安全堆栈,转而采用零信任Thunderdome方法。

本月初(11月7日),五角大楼首席信息官约翰谢尔曼表示,积极防御和内在不信任的支点出现在中东数十年的战事之后,美国军队在那里面对的是装备较弱的部队,网络和通信的风险较小。现在,美国面对的是中国和俄罗斯,这两个精通网络的世界大国在数字领域具有侵略性。五年落实零信任战略是一项沉重的负担,但在当前超级复杂的威胁环境下,这是惟一的选择。DOD必须以不同的方式进行防守。不能只在外围防守。这是一部分,不是全部。

参考资源

1、https://www.defense.gov/News/Releases/Release/Article/3225919/department-of-defense-releases-zero-trust-strategy-and-roadmap/

2、https://www.c4isrnet.com/cyber/2022/11/22/pentagon-publishes-zero-trust-cyber-strategy-eyes-2027-implementation/

3、https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。