近日,美国发布《空军零信任战略》该战略旨在加强国防军的网络安全态势,以战争的速度为作战人员提供可靠、安全的数据访问,同时阻止对手实现信息优势的努力。指挥官和个人可以选择连接的方式和地点。它减少了DAF架构的数量,提高了安全性并促进了互操作性。让作战人员获得下一代、全球连接的联合全域指挥与控制(CJADC2)能力。这一战略迫使恶意网络行为者将每一次连接都视为一次全面攻击。
导言
几十年来,美国国防部(DoD)一直假定网络空间环境是可信和允许的。然而,在当前和未来的全球安全环境中,这种假设已不再有效。继续采用这种方法会给我们的敌人创造大量机会,使其能够畅通无阻地访问网络数据,并使国防部在与迅速发展的竞争对手和对手以及复杂的网络威胁进行竞争、威慑和取胜方面处于不利地位。美国利益的现代对手经常利用当前基于外围的网络防御的弱点,随着时间的推移,其战争优势越来越小。
在空军部(DAF)越来越依赖安全访问共享、可信信息的时代,恶意行为者将继续利用这一弱点。在当今技术受限的环境中,以周边为中心的模式也会给不达标的用户体验带来难以克服的低效,无数威胁会限制信息共享和移动访问。相反,空天军专业人员应能利用现代云、移动、人工智能(AI)和其他新兴技术,大幅提高日常工作效率和作战优势。为了加快这些必要的变革,国防和安全部队必须坚持不懈地推行以安全、简便和易用性为动力的固有不信任战略。美国军方和商业界正共同将"零信任"(Zero Trust)作为满足这一需求的变革性网络安全架构。零信任"努力还将包括向动态风险管理演进,将其作为利用这一战略所追求的先进技术能力的重要组成部分。这种演变包括对风险成熟度模型进行标准化,以衡量风险管理的有效性,并将基于系统的风险管理转变为基于任务线程的风险管理,以补充自动和自主的预防、保护和修复能力"。
2022年2 月,空军部长(SECAF)确定了一项行动要务,即"确定网络安全差距的程度并消除最严重的差距",以便"过渡到战时态势,对抗同级竞争对手"。这一要务是 SECAF 对国防部2019 年数字化现代化战略、2021年5 月12日关于提高国家网络安全的行政命令(EO)、管理和预算办公室(OMB)M-22-09零信任指令、2022年国家安全备忘录-8和2022 年国防授权法案的回应。此外,该战略还与 DAF首席信息官公共战略LOE 2网络安全相联系,以创建并不断加强安全、有弹性的数字环境,保护我们的数据和关键资产免受对手的攻击。这些指令中的每一项都力图彻底改变我们的网络安全态势,将当今以网络为重点、防御深度不足的"城堡和护城河"战略转变为以数据为战略资产的零信任架构。
零信任不是一种现成的能力。零信任是一种数据和应用程序访问策略,它假定所有连接都来自不可信任的来源。只有在明确请求、建立并不断重新验证对用户身份、设备和每个连接上下文的足够信任后,才允许访问。零信任"的指导原则要求我们"假定破坏"、"绝不信任"、"始终验证"和"实施最低权限访问"。
1.1 目的
零信任文化奠定了坚如磐石的数字基础,将空军和航天部队的所有成员连接在一支可信赖的数字部队中。DAF必须将零信任文化制度化,以实施必要的作战变革,重新夺回我们的战争优势,并不断发展以满足当今的作战需要。本战略描述了建立DAF零信任能力的概念,提供一种未来网络安全态势,简化飞行员和监护人的访问,并使竞争对手和对手付出更高的代价,以加快采用下一代战争技术。这一愿景需要一个可扩展、有弹性、可审计、全球可访问和可防御的框架,其核心是保护我们最关键、最重要的任务数据、应用程序、资产和服务(DAAS),以预防、检测、响应和恢复多种运行环境中的恶意网络活动。
1.2 范围
本战略与国防部零信任战略的范围一致,包括所述的一系列活动。与国防部要素直接相关的章节标题将加注释。本战略适用于国防部非机密、机密、附带绝密、国家安全系统(NSS)的所有DAF 部分的数据安全,以及SECAF授权下的美国拥有的可发布网络、系统和操作技术(OT),包括特殊访问计划(SAP)元素,除非政策中明确排除。信息系统包括由国防军或代表国防军拥有和运行的系统,其中包括在国防军数据中心托管的系统、任务系统/OT系统、独立系统、在经批准的国防承包商地点和国防军信息网络(AFIN) 上由承包商运行的系统、云托管系统,以及在没有AFIN连接的封闭运行或开发网络上托管的系统。它包括访问系统的所有实体。
随着DAF零信任架构的发展,对独立分类网络的需求也将随之发展。在研究和开发之外,零信任原则并不能根据个别环境进行独特配置,也与数据分类无关。因此,DAF设想了一个完全成熟的零信任环境,解决方案可以将多个网络结构(如NIPR、SIPR、JWICS和SAP)整合为一个。在这种结构中,只有数据和应用构成了我们今天所知的不同网络结构。每个用户、设备和上下文属性集都可被授权访问每个授权连接,而不是特定的网络结构。
此外,该战略还要求DAF 网络系统与任务伙伴系统(包括国防部其他部门、情报界(IC)、美国政府机构、任务伙伴和盟国)之间实现政府整体互操作性。然而,这也需要强大的合作伙伴关系和灵活性,因为每个特定组织都会沿着自己的零信任成熟度取得进展。DAF将通过各自指派的授权官员,专门协调所有工作,将零信任整合到任何DAF-IC、联合和任务合作伙伴环境共享网络结构中。
2.从网络为中心转向数据为中心
2.1 现状
几十年来,美国的国家安全利益一直假定有一个值得信赖和宽松的网络空间运行环境。然而,美国现在面临着持续不断、日益复杂的恶意网络攻击,这些攻击威胁着公私营部门、国家安全,并最终威胁着美国人民的生活方式。
DAF过度关注外围的防御性网络空间措施和能力,旨在将坏人拒之门外。这种关注将内部网络的防御能力和可视性置于次要地位,从而创造了一种基于位置而非经过验证的断言来默许信任的内部环境。此外,在这种模式下,任务系统所有者实施"放手"式的合规安全,依靠网络安全服务提供商来满足他们的需求。然而,竞争对手、对手和内部威胁已迅速发展其网络能力,使他们能够进一步利用这种方法在访问控制和设备管理方面的弱点。这些恶意行为者在网络空间也享有畅通无阻的行动自由。随着时间的推移,这导致作战环境的争夺越来越激烈,美国的军事优势也越来越小。
将CJADC2 承诺的"军用物联网(IoT) "连接到这一环境中,会产生一个连接度更高且可在全球范围内访问的攻击面。在这种环境下,网络威胁很容易将利用单一网络漏洞对整个系统造成的影响扩大到隐蔽的全领域作战效果。在DAF及其合作伙伴必须越来越依赖安全访问可信共享数据的时代,尤其是在被拒绝、降级、间歇和有限(DDIL)的环境中,恶意网络行为体将继续瞄准并利用这一缺陷,使DAF 在竞争、威慑和取胜方面处于不利地位。
突如其来的COVID-19大流行也迫使人员进入长时间的远程工作环境,使现有的远程访问技术迅速不堪重负。这一史无前例的事件,以及安全、高效、低成本和全球访问数据中心的承诺,推动了云技术、虚拟专用网络(VPN)和虚拟桌面基础设施的爆炸式应用。这些技术共同将安全访问扩展到了外围越来越多的受保护应用程序和数据。然而,虽然这解决了企业资源访问的迫切需要,但同时也带来了相关性较低的边界和更大的攻击面。
2.2 最终状态
国防军必须采取不断发展的战略,以应对当前环境的挑战,重新夺回作战优势。这种过渡方式让指挥官和个人可以选择连接的方式和地点,从而提高日常业务和作战行动的效率。通过将数据视为新的边界,网络领域可以随时随地在最严酷的DDIL 条件下访问受保护的资源。这种作战环境也为安全地将无数DAF 作战网络环境整合为一体创造了有利条件,使人员、流程、合作伙伴和盟友之间的联系更加便捷。
在每个端点实现应用级可视性、控制、分析和治理,可降低来自任何单一设备的整体风险,同时隐形和微分段可同时缩小攻击面,削弱对手的横向移动和权限升级。安全堆栈设计推动了功能社区与开发、安全和运营(DevSecOps)环境之间的紧密集成,确保从一开始就"嵌入"安全性。在这种网络无关的模式下,防御性网络空间的操作员、管理员、数据管理员和任务所有者都对其数据和资源负有持续的端点信任和身份授权、验证和监控责任。这些安全服务以自动化、高度可见、可审计的方式提供,并在建立每个连接之前进行验证,确保以正确的理由对正确的实体进行正确的访问。
在 "零信任"环境下,恶意行为者必须找到并成功利用想要访问的每一个资源中的漏洞,而不是简单地利用以前的成功漏洞来获取更多利益,从而提高识别、阻止和成功应对这些攻击的机会。
最后,这种过渡安全地释放了作战人员对下一代、全球连接的CJADC2能力的访问权限,这些能力正在改变未来战争的面貌,并在所有任务领域产生强大的作战效果和杀伤力。最终,这种未来网络安全态势简化了飞行员和监护人的访问,使DAF能够快速过渡到持久的战时态势,为在未来作战环境中与同级竞争对手竞争、威慑和取胜做好准备。
3.战略目标和目的
受行业领先模式的启发,并与国防部零信任战略相结合,这一愿景通过七大支柱实现成熟。每个支柱都将强有力的治理、持续的可视性和分析以及强大的自动化和协调作为重要的推动因素,并贯穿其成熟度。动态风险管理目标将被描述为影响所有支柱的跨领域目标。动态风险管理目标将被描述为影响所有支柱的交叉目标,每个支柱都以自己的速度成熟,同时也相互关联:
目标1:应用程序和工作量:应用层面的可见性和控制
目标2:数据:数据是新的边界
目标3:用户:正确的访问、实体以及理由
目标4:设备:降低任何单一设备造成的风险
目标5:网络和环境:随时随地访问受保护的资源
目标6:自动化和协调:基于安全策略的自动安全响应
目标7:可见性和分析:改进检测和反应时间
在基本成熟度上,DAF侧重于安全和访问通过直接云访问、软件定义边界、动态访问控制策略和数据中心分割。在中等成熟度阶段,DAF转向自动化管理-通过CAC 和非CAC多因素身份验证、云原生管理、控制和访问、基本数据保护,以及更细粒度的属性、策略和基于风险适应的访问控制。达到高级成熟度后,重点将转移到非IP系统/控制系统和网络运行集成分布式弹性数字资产和以指挥为中心的网络运行节奏。
3.1 目标1:应用程序和工作负载:应用层面的可见性和控制
为了提高任务效率,DAF必须优先向作战人员提供应用程序和资源,同时使其免受恶意行为者的攻击。在"零信任"模式下,将身份、设备和基于上下文的属性的认证和授权结合起来,有助于为渐进的资源访问决策提供信心。在这种模式下,采用最小特权原则可进一步减少应用程序的泄露,同时为作战人员、任务合作伙伴和盟友提供直接访问权限。这些功能共同削弱了横向移动和权限升级,减轻了任何成功的恶意网络活动的影响。
3.1.1 目标1.1:持续发现应用程序
为了控制对应用程序的访问和可见性,防止后门,DAF必须发现和映射AFIN上当前的所有应用程序活动,这是一项基础性和持续性任务,以便识别遗留功能和工具,并优先考虑现代化工作。最重要的是,这需要作为重要合作伙伴的网络运行单位和任务负责人之间进行强有力的管理。虽然最初的工作可能是手动的,但DAF必须发展成为一种实时、自动化、领域较少的可视性和分析能力,以供普遍使用。映射到国防部ZT 能力3.1。
3.1.2 目标1.2:机载应用程序和任务所有者实现零信任
作为未来的关键目标,管理每个应用程序和任务合作伙伴关系需要明确的政策、程序和工具。DAF必须为DAF网络操作员、数据管理员和任务所有者定义不断变化的角色、责任和期望,以便迁移到这一新模式。它必须解决新的和传统的应用程序问题,确定哪些应用程序将加入或不会加入,并确定其优先次序。许多应用程序需要重新设计技术和业务流程,以采用更好的安全做法。任何加入流程都必须确定任务负责人当前和未来的访问属性要求(如用户、设备和上下文),这一点至关重要。
3.1.3 目标1.3:严格控制应用程序的可见性和访问权限
为了减轻任何成功攻击的影响并实现应用程序级控制,DAF必须实施集中式应用程序权限和控制。过渡到基于属性的访问控制将防止应用程序被查询,并只向经过授权和认证的作战人员、任务合作伙伴和盟友提供访问权限。根据关键性,在数据、应用程序、资产和服务(DAAS)周围创建微边界。实施网络分段。对静态和传输中的数据进行加密。此外,阻止非授权用户和设备使用相应的应用程序。任务负责人将维护这些规则集,并持续进行机器学习(ML)和人工智能驱动的行为分析,以监控应用程序的整个生命周期。映射到国防部ZT能力1.2。
3.2 目标2:数据:数据是新的边界
未来的信息主导地位取决于作为战略资产的数据的质量、可见性、可访问性、可理解性、关联性、可信性、互操作性和安全性(VAULT-IS)。为了改变DAF 保护和捍卫资源的方式,根据国防部数据战略的DAF 实施计划,DAF必须将数据定义为新的边界,并采用动态数据标记、标签和加密技术,赋予数据管理人员和消费者权力,并确保随时随地进行访问,从而扩大保护面。这两项措施结合在一起,有可能减少DAF 作战环境的数量。
3.2.1 目标2.1:持续数据发现
为了控制优先业务和任务数据的访问和可见性,防止任何后门,DAF必须首先发现 AFIN上的所有数据,包括新创建的数据,这是一项基础性和持续性任务。最重要的是,这项工作需要网络空间运行单位、任务所有者和数据管理员作为重要合作伙伴进行强有力的管理。虽然最初的工作可能是手动或半自动的,但DAF 必须将其发展为实时、自动的可视性和分析能力,供国防部或DAF 使用,并通过数据生命周期进行管理。映射到国防部ZT 能力 映射到国防部ZT 能力 4.2和 4.4。
3.2.2 目标2.2:在创建数据时实施和管理持续标记
管理所有数据和任务伙伴关系需要明确的政策、程序和工具。根据DAF 数据I 计划,DAF必须为DAF 首席数据和AI 办公室(CDAO)、16个AF组织和操作员以及任务所有者和信息与数据管理人员确定不断演变的角色、责任和期望。它必须解决哪些数据是关键数据的问题,并定义初始、手动或半自动数据标记和审计流程,以便从今天开始,同时努力实现人工智能和人工智能驱动的流程。政策必须包括治理结构,定义如何标记数据、如何共享、谁负责管理某些类型的数据、最低数据标记和标签标准以及人工审计要求。最重要的是,任务所有者和数据管理员必须确定访问属性要求(如用户、设备和上下文)。所有新创建的数据都必须遵守这些流程,但DAF 还必须处理所有现有数据。映射到国防部ZT 能力4.3。
3.2.3 目标2.3:严格控制数据可见性和访问
为了减轻成功攻击的影响并实现数据级控制,DAF必须根据发现和标记的数据访问属性要求,实施强大的角色、标签和基于属性的访问控制。实施最小特权可保护数据隐私,并仅向授权和经过验证的请求提供访问权限。一旦实现完全自动化,这些访问规则就能在创建数据时应用于SDP并强制执行。任务所有者和数据管理员将在整个数据生命周期内维护这些规则集。映射到国防部ZT 能力4.7。
3.2.4 目标2.4:实施数据丢失预防分析
将数据视为战略资产需要在其整个生命周期内对其进行强有力的保护和协调。DAF必须重新定义和实施数据丢失预防技术,在传输和静止状态下进行强力加密。在整个数据生命周期中,这些功能必须从首次数据暴露开始进行整合,以促进对关键任务数据及其相关持续数据监控任务的管理。映射到国防部ZT 能力4.6。
3.3 目标3:用户:正确的访问、实体以及理由
统一、可靠和联合的身份模式是DAF零信任的基础。联盟身份至关重要,因为它简化了用户访问多个服务系统的流程,提高了 目标3:用户:统一、可靠和联合的身份模式是 DAF零信任的基础。联盟身份至关重要,因为它简化了用户访问多个服务系统的程序,提高了用户的访问效率。
3.3.1 目标3.1:执行企业访问和政策管理服务
为了以更快的访问请求响应速度节省飞行员和监护人的时间,DAF必须通过集中的动态角色和基于属性的访问来平衡安全性和可用性。DAF将实施集中式访问管理,以实现账户供应、取消供应和特权访问管理的自动化和审计,从而降低任务风险。DAF还将利用数据标记、标签、政策执行/决策点(PEP/PDP)和SDP实施访问管理,为授权身份提供随时随地、按需访问资源的低风险服务。PEP/PDP将执行或实施所有访问策略决策。与国防部ZT 能力1.2 和1.7 相对应。
3.3.2 目标3.2:启用通用多因素身份验证
为了提供更好的用户体验,DAF必须消除用户名和密码的弱点,并允许使用多个国防部批准的验证器(如硬件令牌和移动验证器),这些验证器支持各种用户、设备、合作伙伴、安全性以及各种任务环境和场景(如机载、陆地等)的访问级别。DAF还将提供一个面向公众的自助式企业ICAM身份界面,军人、退休人员、家属和合作伙伴可在该界面上将其他身份验证器映射到其身份上。映射到国防部ZT 能力1.3。
3.3.3 目标3.3:持续认证和授权标准化
了解谁或什么在访问DAF资源需要强有力的管理,提供计划监督以及技术政策的制定和执行。采用并自动执行ICAM政策和标准可提供统一的安全态势,最大限度地降低风险,并通过在整个企业范围内根据风险做出访问决策来节省人力。通过人工智能和ML 分析对ICAM 事件进行持续监控和审计,彻底改变了DAF的网络安全方法,从而实现敏捷、弹性的防御态势,在必要时随时取消访问。映射到国防部ZT 能力1.8。
3.4 目标4:端点设备:降低任何单一设备造成的风险
未来的端点设备必须成熟到能够自主保护、检测和应对网络威胁。首先要确保对端点设备的访问权限最小,并进行适当的身份和访问管理,持续发现端点,评估安全适用性,确定是否可以连接,持续不断地监控报告结果,确保数据在静态和传输过程中都经过加密,以及适当使用防火墙、入侵检测系统和其他措施来保护端点设备所连接的网络。
由此,策略决策点可获得信心,做出基于角色和属性的访问决策。DAF必须采用集中式、平台无关的端点健康管理服务,使作战人员能够通过最能满足其需求的设备执行任务。
3.4.1 目标4.1:持续发现硬件和软件
为了执行端点合规性和防止后门,DAF必须首先发现在AFIN 上运行的连接硬件、软件和NPE,利用基于证书的强大设备身份,这是一项基础性和持续性任务。最重要的是,这项工作需要网络空间运行单位与任务和系统所有者作为重要合作伙伴进行强有力的管理。虽然最初的工作可能是手动的,但DAF必须将其发展成为一种实时、自动的能力,供普遍使用。与国防部ZT 能力2.1、2.2和2.6 相对应。
3.4.2 目标4.2:执行端点资产合规性
为了降低外泄风险,DAF应用程序和数据管理人员必须为受管理和不受管理的设备建立并执行明确的补丁和策略标准。应努力将端点安全和管理从单一的"遵从连接"决策发展为自动修复受管和非受管设备的持续监控程序。解决方案还必须提供可信属性,任务所有者和数据管理员可利用这些属性做出分级访问决策。先进成熟的解决方案必须通过混合云解决方案执行基线或拒绝访问,从而实现高效访问,而不受地点或DDIL 条件的限制。映射到国防部ZT 能力2.2、2.3。
3.4.3 目标4.3:创建少域环境
目前,DAF采用单一供应商的域控制器(DC),需要连接到AFNET 域上的每个设备。DAF在180 多个DAF 站点支持两个或更多DC,使对手有超过360种攻击途径可接触到整个部门。为了减轻任何成功攻击的影响,DAF必须尽可能消除域概念固有的内部信任。为此,必须从AFIN DC中移除所有端点,笔记本电脑、移动设备、服务器等。在这种模式下,资源访问变得真正与网络无关,访问决策只依赖身份、客户端健康状况和上下文属性。与国防部ZT 能力2.1、2.3、2.5和2.6 相对应。
3.4.4 目标4.4:持续威胁检测和响应
为了进一步降低对手的成本,DAF还必须将端点保护和安全操作中心(SOC) 概念发展为基于云的自动化端点/扩展检测和响应(EDR/XDR),以便在整个AFIN 中进行汇总和上下文驱动的分析。与人工智能和ML 驱动的安全协调、自动化和响应(SOAR)功能相结合,操作员可以将实时数据可见性和多源情报融合在一起,以更快、更有效地应对威胁。映射到国防部ZT 能力2.6 和2.7。
3.5 目标5:网络与环境:随时随地访问受保护的资源
零信任"假定网络是不可信任的、潜在的敌对网络,从而将安全监控和保护的重点转移到数据、用户和终端上。采用软件定义边界(SDP)可通过加密、验证和授权渠道,在全球范围内实现远程、安全、简化和直接的资源访问。这种与网络无关的模式将多种商业、全球空间和地面传输主干网的最佳功能作为可行的任务网络选项加以释放。这些功能共同为作战人员和合作伙伴提供了无处不在的网络可用性,实现了随时随地的自由操作,并解除了传统网关和VPN 瓶颈的束缚。
3.5.1 目标5.1:成熟的网络发现和监控,实现零信任
在AFIN 网络边界从网络回撤到数据中心级之前,DAF必须主动管理每个资源连接的最佳传输路径。为了找到并管理任何最佳路径,DAF必须以发现其众多物理和逻辑传输路径为目标,这是一项基础性和持续性任务。
3.5.2 目标5.2:尽可能靠近受保护资源部署 SDP
为了简化全球范围内对资源的安全和直接访问,DAF必须将基础边界从网络向下发展到数据中心级别,并最终向下发展到单个数据和微服务级别。这可以通过构成SDP 的PEP/PDP来实现,无论是在云中还是在企业内部。利用相互传输层安全(mTLS)和通用服务访问,SDP可使用所有个人身份、设备和上下文属性,自动做出细粒度访问决策、建立和监控安全连接。无论连接来自哪里,SDP都会根据任务所有者、应用程序和数据管理人员的数据和应用程序要求来验证属性。将SDP放在尽可能靠近受保护资源的位置,可缩小攻击面并简化交易路径,从而消除对VPN的需求,提高作战人员的访问能力,并使对手付出更高的代价。映射到国防部ZT 能力5.2。
3.5.3 目标5.3:将企业服务迁移到混合云
为了提供随时随地的访问和安全性,DAF必须将企业服务迁移到混合云模式。全球托管云和内部部署服务相结合,可随时随地提供弹性和灵活的功能,而自动同步、内部部署和战术部署服务可在最恶劣的DDIL条件下确保可用性。这种环境可确保用户身份属性、设备健康状况和访问管理不中断。
3.5.4 目标5.4:将分段技术成熟到最低水平
分段是指将统一的系统分成较小的、隔离的段,以便对每个段实施更细化的可见性和访问控制。为了提供最有力的控制,DAF必须从基于网络的分段发展到基于数据中心、主机和微服务级的分段。首要任务是扩大整个AFIN的分段,然后向下应用分段,尽可能靠近受保护的资源。除了增加安全性外,这种低层次的分段还能从DevSecOps代码重用、容器级、协调和自动化服务管理中获得更多好处。早在23 财年,微分段就将成为DAF 首次推出的ZT 能力。映射到国防部ZT 能力5.1。
3.6 目标6:自动化和协调:基于安全策略的自动安全响应
3.6.1 目标6.1:政策清查和开发
要建立强大且负责任的自动化,必须对当前的任务自动化、响应和工具集进行清查、讨论和编纂。DAF需要一个有凝聚力的应用编程接口(API)驱动机制,以记录和查询(如协调)整个企业和零信任组件之间的政策,从而实现有效的自动化。企业资产的可审计变更控制需要治理。零信任生态系统内的政策必须不断完善和成熟,以确保对受保护资源的有效执行。映射到国防部ZT 能力6.1。
3.6.2 目标6.2:丰富工作流程
通过不断列举和分析人工流程,DAF必须减少并最终消除这些低效和缓慢的流程,不断实施所需的自动化,以便以速度和规模运行。DAF必须根据系统安全工程原则,采用自动化方法来处理关键功能的重复性、可预测性任务,如数据浓缩、安全控制和事件响应工作流。映射到国防部ZT 能力6.2
3.6.3 目标 6.3:自动化防御网络演习
DAF需要强大的防御性网络安全操作来部署、运行和维护受保护资源的安全监控、保护和响应。由于DAF采用零信任架构,来自架构各点的安全相关数据量将很快使网络防御人员不堪重负。因此,要想以速度和规模进行防御,DAF必须通过部署自动化安全工具,最大限度地实现安全流程自动化和实施基于策略的行动,这将缩短对检测到的威胁的响应时间,并极大地增强企业的网络安全态势。
各组织和系统所有者必须确保制定了明确而有力的调查和补救计划。此外,为了简化网络安全事件的检测和响应,DAF打算通过全企业范围的合同来减少SOAR解决方案的数量。这样,专业人员就可以在一个联合地点进行协调和自动响应,以应对潜在威胁。同时,任何尚未确定的附加SIEM 都必须符合SOAR战略。最后,所有检测和响应功能都应与防御性网络操作(DCO)功能互操作,以支持事件响应。自动化安全响应需要在零信任企业的所有环境中定义流程和执行一致的安全策略,以提供主动的指挥和控制。安全技术和策略可与工作流丰富化相结合,通过摄取警报数据、触发自动响应和修复的流程,协调改进安全操作、威胁和漏洞管理以及安全事件响应。映射到国防部ZT 能力6.5。
3.6.4 目标6.4:人工智能和机器学习
DAF将采用人工智能/机器学习来加强关键功能的执行,如事件响应(即安全运营中心(SOC) 和事件响应(IR)、安全协调、自动化和响应(SOAR))、异常检测、身份基线和数据标记,特别是用于风险和访问确定以及环境分析。
3.7 目标7:可见性和分析:改进检测和反应时间
识别/检测威胁并作出反应需要适当的分析。ZT路线图上的一项关键行动是将应用程序事件集成到安全信息和事件管理(SIEM) 以及安全协调、自动化和响应(SOAR) 中,以实现财务改进和审计准备(FIAR) / 审计补救。
3.7.1 目标7.1:日志收集和分析
日志分析是识别系统和软件异常的一项重要工作。日志的收集、处理和分析对于防御性网络操作的监控、检测和保护功能至关重要。日志分析必须整合多种数据类型,以统一数据收集并检查事件、活动和行为。映射到国防部ZT 能力7.1。
3.7.2 目标7.2:威胁警报
要对违反安全规定的行为采取行动,必须设置警报,通知某个小组或软件采取行动。ZT路线图上的一项关键行动是与网络安全服务提供商(CSSP) 共同开发应用事件责任分担模式,并为CSSP 和安全运营中心(SOC)建立可用的日志、流程和数据。高级分析支持对异常用户、设备、非人实体(NPE)行为和高级威胁的检测。整合有关身份、动机、特征以及战术、技术和程序(TTP)的威胁情报信息和信息流可丰富网络分析,从而增强威胁检测能力。与国防部ZT 能力7.5 相对应。
3.7.3 目标7.3:身份和实体行为基线
与零信任架构交互的用户和实体可提供重要的上下文详细信息,以便更好地了解整个企业的性能、行为和活动。对单个用户和实体的行为进行基线分析、剖析和关联,可大大提高对异常行为的检测能力,并能根据不断变化的威胁条件对安全策略和实时访问决策进行动态更改。通过对网络遥测以外的情况进行调查,可获得对存在的可观察威胁的可见性,并能更智能地确定防御方向。映射到国防部ZT 能力7.4。
4 战略执行
零信任战略的执行最初是由国防部首席信息官(CIO)决定的,即在25 财政年度之前淘汰联合区域安全堆栈(JRSS),要求DAF在该日期之前提供足够成熟的零信任基础设施替代和过渡设备。实施路线图定期更新,可在下面的链接中参考(图2)。路线图规定了制定非机密和机密实施计划的关键路径,最初将侧重于印度-太平洋战区。随着28财年进展的成熟,进一步的努力应扩展到所有其他战区的其他网络结构、战术系统和断开环境。
作为一项战略考虑因素,必须强调的是,向零信任成熟度迈出的每一步都会缩小国防军的整体网络空间攻击面,迫使恶意行为者花费更多的资源来实现更少的行动目标。重中之重是让任务系统和应用程序进入云端和零信任。
4.1 实施
DAF将遵循积极的零信任路线图,路线图基于国防部首席信息官的零信任架构,从23 财政年度开始基线成熟,到28 财政年度末达到中级成熟。DAF将根据30 年规划选择在28财年开始高级成熟度。然而,成熟度路径上的某些依赖因素需要特别关注。
首先,DAF必须使用对JRSS 过渡至关重要的下一代网关(NGG),开始部署微分段功能。端点安全也将从采用微软Defender 套件和C2C 功能开始,这些功能是企业IT即服务(EITaaS)第一波的一部分。其次,要超越基本水平,就需要有可运行的企业ICAM解决方案,并部署企业端点管理、安全和监控解决方案。在整个AFIN 中部署SDP(如云原生接入点),优先处理云和企业内部最关键的非机密和机密任务与数据。此外,为了开始折叠网络,DAF需要一个基本的数据标记、标签和保护解决方案,并获得保密当局(如美国国家安全局)的批准。任务应用程序和系统所有者必须努力配合ZT 的实施,以确保其能力在ZT 过渡期间保持不变。最后,DAF计划在25 财政年度框架内将现有基础设施的维护和供应商责任过渡到EITaaS,但这一过渡仍必须取决于EITaaS供应商是否有能力承担所有数据中心的责任。防御性网络运行(DCO)仍将由DAF 负责。
零信任战略实施计划(I-Plan)至少必须包括:整个DAF参与的绩效和有效性措施;如何满足所有《国家安全备忘录》/NSM-8的要求;解决理论、组织、培训、物资、领导和教育、人员和设施(DOTMLPF)框架的适用组件。由于存在关键依赖关系,它还必须说明与DAF CIO 战略、ZT路线图、DAF ICAM 战略、数据I-计划、EITaaS、DAF Data Fabric、NSA工作、国防信息服务局的Thunderdome、SAP零信任I-Plan Equities 以及国防部CIO 的零信任工作之间的关系。任何DAF的实施都必须与跨机构、合作伙伴和盟友的这些计划同步并保持一致。它还必须包括任务和活动,说明传统技术将如何日落、集成或过渡到基于零信任的政策和技术。
4.2 角色与职责
随着优先事项的变化,SAF/CN将提供政策、指导和战略风险缓解。SAF/CN还将与SF/S8 和AF/A8(负责计划和项目的副参谋长)在整个规划、计划编制、预算编制和执行(PPBE) 过程中合作,以争取资源。
作为空军网络空间行动的领导指挥部,空中作战司令部(ACC)是制定DAF 零信任战略I计划、执行该战略、降低行动风险以及领导所有遗留问题日落工作的总体领导机构。ACC是面向客户的组织,负责领导"零信任"战略沟通行动,并协调DAF 的所有"零信任"工作。作为SAP IT 和SAP 零信任I-Plan 的牵头司令部和需求所有者,ACC将特别注意与空军物资司令部(AFMC) 协调。
作为太空部队网络空间行动的牵头司令部,太空系统司令部(SSC)与太空行动司令部(SpOC)协调网络空间行动的牵头司令部,并受命开发太空部队需求、架构和资产,并将其整合到所有DAF 生命周期规划、采购、执行和维护工作中。
"SSC作为太空部队负责太空任务系统的主要采购战地司令部,与负责网络空间行动的SpOC以及太空发展局、太空快速能力办公室等战地司令部协调,负责开发零信任(Zero Trust,ZT)需求、架构和资产,并将其纳入所有DAF 生命周期的规划、采购、执行和维护工作中。
指定网络能力中心(CCC)开发、协调和消除所有DAF、MAJCOM、C-MAJCOM、FIELDCOM和战地机构的零信任要求和相应架构的冲突,并与国防部的参考架构保持一致。空军采购部(SAF/AQ)将制定和执行采购战略,同时降低交付风险,协调整个EIT 和OT 组合的架构、设计和实施。
第16空军被任命按照该战略运行、保护和捍卫AFIN。随着该战略的成熟,零信任过渡小组(ZTTT)的职责将过渡到由ACC负责的传统领导指挥职责。
4.3 风险
实施这种激进的新模式会带来各种运作、交付和战略风险,从一开始就应充分了解这 些风险。重要的是要通过一切可用的手段来宣传这些变化,以克服这些风险。这一战略带来的最大操作风险可能会在接入点造成单点故障,这可能会在过渡时期对防御性网络空间操作人员的有效性提出挑战,留下潜在的操作盲点。操作人员应加强对这些点的检查,以最大限度地降低这一风险。此外,由于4000 个非AFIN 承包商网络处理DAF 受控非机密信息(CUI),DAF必须探索数据管理政策并提出要求,以确保这些网络符合该战略的意图,从而降低这一风险。
从交付的角度来看,自动数据标记和标签战略、管理和解决方案的开发滞后于其他零信任工作,但对长期成熟至关重要。重要的是,要通过一切可用手段来传达这些变化,以克服这一风险。这些领域的延误有可能阻碍DAF向先进的零信任成熟度过渡,并导致网络环境崩溃。此外,非IP系统和物联网设备的端点安全仍处于起步阶段。尽管这是路线图上最远的步骤之一,但其中一些端点是需要零信任保护的最关键设备,而且随着更多关键的军事物联网设备被连接起来,潜在的运营影响风险也越来越大。从更广泛的意义上讲,行业在许多架构支持组件方面都缺乏标准,而这些标准将允许DAF在无需大量成本的情况下互换选择和更换该领域的产品供应商。这就有可能长期锁定单一供应商,使其对我们未来的网络安全态势产生巨大影响。最后,提供最安全的细分技术(细到微服务级别)需要对我们的数据中心进行全面改造,在28财年更新之前不太可能实现。在战略执行的早期阶段对这些特定要素进行规划、协调和开发,将在它们成为路线图的焦点时降低风险。
这一战略面临的最大风险是机构对变革的抵制。这种大规模的文化转变要求所有DAF社区以令人不安的方式进行调整,并参与其集体网络安全任务。应用程序、数据和任务所有者必须积极参与数据标记、属性定义和访问决策要求。这些都是零信任的基本要素,将决定成败。如果不能进行这种文化变革,那么DAF就有可能无法实施这一战略,从而加速空军参谋长和太空作战部部长所要求的作战变革。如果不实施这一战略,将面临把CJADC2军事物联网系统连接在一起的更大风险,增加对手可能造成的潜在影响,从数据外泄和系统退化到关键任务失败和潜在生命损失。要降低这种风险,需要整个国防军的高级领导者成为战略成功的合作伙伴。
最终,该战略必须提供一个可扩展、有弹性、可审计和可防御的框架,以保护最关键、最重要的DAAS任务为中心,在多种运行环境中预防、检测、响应和恢复恶意网络活动。如果该战略得到成功实施,就能降低对未来战斗毫无准备的风险。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
