Het Pentagon maakt een routekaart voor 'Zero Trust'-internettoegang tegen 2027

Het ministerie van Defensie heeft eindelijk zijn plan opgesteld om zijn cybernetwerken te beschermen na jaren van toezegging om het toe te zeggen.

Het Office of the Chief Information Officer heeft in november "The DoD Zero Trust Strategy" uitgebracht, waarin statistieken en deadlines zijn vastgelegd voor de afdeling om tegen 2027 volledige zero trust-acceptatie te bereiken. Cyberbeveiligingsexperts zeiden dat de overheid en de particuliere sector moeten samenwerken om middelen te benutten om met succes het nieuwe regime in te gaan.

"Cyberfysieke bedreigingen voor kritieke infrastructuur zijn echt een van onze grootste nationale veiligheidsuitdagingen waarmee we vandaag worden geconfronteerd, en dat het landschap waarmee we te maken hebben complexer is geworden", zegt Nitin Natarajan, adjunct-directeur bij de Cybersecurity and Infrastructure Security Agency, zei tijdens een MeriTalk-evenement in oktober.

Cyberaanvallers hebben meer middelen dan in het verleden en het is goedkoper om veel schade aan te richten aan een onveilig systeem, zei hij. Het zijn niet alleen lone wolf hackers, maar ook natiestaten en cyberterroristen die een bedreiging kunnen vormen.

De cyberaanval SolarWinds van 2019, die voorbij de verdediging van duizenden organisaties ging, waaronder de federale overheid, is bijvoorbeeld in verband gebracht met door Rusland gesteunde agenten.

Het basisprincipe van de nieuwe strategie is dat het behandelen van de beveiliging van organisaties als een slotgracht rond een kasteel slechte actoren niet buiten de deur houdt.

“Missie- en systeemeigenaren, maar ook operators, omarmen deze visie steeds meer als een feit. Ze zien de reis naar [zero trust] ook als een kans om de missie positief te beïnvloeden door technologische moderniseringen aan te pakken, beveiligingsprocessen te verfijnen en de operationele prestaties te verbeteren”, aldus het document.

De zero trust-cultuur vereist dat elke persoon binnen een netwerk ervan uitgaat dat het al is gecompromitteerd en vereist dat alle gebruikers te allen tijde hun identiteit bewijzen.

De strategie somt technologieën op die kunnen helpen bij het cultiveren van een zero trust-omgeving, zoals continue multi-factor authenticatie, microsegmentatie, geavanceerde codering, eindpuntbeveiliging, analyse en robuuste auditing.

Hoewel deze verschillende technologieën kunnen worden gebruikt om dit uitgangspunt te implementeren, betekent dit in wezen dat "gebruikers alleen toegang krijgen tot de gegevens die ze nodig hebben en wanneer dat nodig is."

De strategie draait om vier pijlers: het accepteren van de cultuur van zero trust, het operationaliseren van zero trust-praktijken, het versnellen van zero trust-technologie en afdelingsbrede integratie. De strategie merkt op dat hoewel IT-afdelingen in het hele Pentagon mogelijk producten moeten kopen, er niemand is die al hun problemen kan oplossen.

"Hoewel de doelstellingen voorschrijven 'wat' moet worden gedaan ter bevordering van het doel, schrijven ze niet voor 'hoe', aangezien DoD Components mogelijk op verschillende manieren doelstellingen moet bereiken", aldus de strategie.

Wat de technologiepijler betreft, vereist de zero trust-strategie van het Pentagon dat capaciteiten sneller naar buiten worden geduwd en silo's worden verminderd. Mogelijkheden die een eenvoudigere architectuur en efficiënt gegevensbeheer bevorderen, zijn volgens het document ook belangrijk.

Hoewel er veel methoden kunnen worden gebruikt om gebruikers te authenticeren, vraagt ​​de integratiepijler om het opstellen van een acquisitieplan voor technologieën die tegen het begin van het fiscale jaar 2023 afdelingsbreed kunnen worden opgeschaald.

Een technologische ontwikkeling die al aan de gang is, is de Thunderdome, een contract van $ 6.8 miljoen dat eerder dit jaar aan Booz Allen Hamilton werd toegekend. De technologie zou de toegang tot het Secure Internet Protocol Router Network, de vertrouwelijke informatiezender van het Pentagon, beschermen volgens een persbericht van het Defense Information Systems Agency.

Het zal niet mogelijk zijn om elk legacy-platform volledig achteraf uit te rusten met technologie zoals multi-factor authenticatie, benadrukt de strategie. Wel kunnen de diensten tussentijds waarborgen voor deze minder moderne systemen doorvoeren.

De pijler voor het beveiligen van informatiesystemen vereist ook het automatiseren van operaties op basis van kunstmatige intelligentie en het beveiligen van communicatie op alle niveaus.

Het automatiseren van systemen is een belangrijk onderdeel van zero trust, zegt Andy Stewart, senior federaal strateeg bij digitaal communicatiebedrijf Cisco Systems en voormalig directeur bij Fleet Cyber ​​Command/US Tenth Fleet. Als de processen achter zero trust niet goed werken, kunnen mensen moeite hebben om de technologie te gebruiken en de zero trust-mentaliteit aan te nemen.

"Zero trust gaat over het verhogen van de beveiliging, maar het betekent ook: 'Hoe werk ik efficiënter?'", zei hij. “De gebruikerservaring moet een stem krijgen.”

Hoewel de strategie een keerpunt markeert voor de inspanning, begon het Pentagon jaren geleden de weg van nul vertrouwen in te slaan. In de Digital Modernization Strategy van 2019 werd vermeld dat zero trust een opkomend initiatiefconcept was dat het 'verkende'.

Het accepteren van strengere cyberbeveiligingsmaatregelen door de mentaliteit van nul vertrouwen is iets waar het Korps Mariniers aan heeft gewerkt door middel van onderwijs en bewustmaking, zei Renata Spinks, assistent-directeur en plaatsvervangend hoofdinformatiefunctionaris van informatie, commando, controle, communicatie en computers en waarnemend senior informatie beveiligingsbeambte.

"We besteden veel tijd aan educatie, want als mensen weten wat ze doen en waarom ze het doen... is het mijn ervaring dat ze veel eerder aan boord zullen komen dan zich te verzetten," zei ze.

Het zero trust-mandaat uit 2021 van de regering van president Joe Biden was “een godsgeschenk” omdat het een rechtvaardiging vormde voor personeel binnen het Korps Mariniers dat de noodzaak van sommige IT-initiatieven misschien niet begreep, zei ze.

Een succesvolle zero trust-implementatie zal de bedreigingen verminderen voor enkele van de meest kritieke soorten capaciteiten waar oorlogsvechters in de toekomst op zullen vertrouwen: cloud, kunstmatige intelligentie en commando, controle, communicatie, computer en intelligentie.

Het leger heeft de hulp nodig van defensie-aannemers om gevoelige gegevens te beschermen, merkte Spinks op. De industrie kan het IT-personeel van het leger helpen begrijpen hoe te werken met het type gegevens dat ze zullen verstrekken en tot hoeveel toegang het leger nodig heeft.

"Zero trust zal geen zero trust succesvol zijn als we geen hulp krijgen bij het beheren van identiteiten", zei ze.

Het Korps Mariniers heeft onlangs een dienstgegevensofficier in dienst genomen die input van aannemers kan gebruiken over hoeveel toegang het leger nodig heeft om de beste manieren te vinden om de gegevens van de dienst te classificeren en te beheren, merkte ze op.

Overal toegang hebben tot beveiligde gegevens zal militaire leden en personeel in de defensie-industriële basis helpen die buiten kantooruren en op afgelegen locaties werken, volgens de strategie van het Pentagon.

De drang naar nul vertrouwen verschilt van sommige cyberbeveiligingsinitiatieven omdat er spierkracht achter zit, voegde Spinks eraan toe. Leiderschap heeft beleid en procedures opgesteld en is bereid verantwoording af te leggen, zei ze.

“Cybersecurity is geen goedkope onderneming. Maar ik denk dat wat het echt drijft, de wrede tegenstander is en alle activiteiten, niet alleen bij de federale overheid, maar zelfs op staats- en lokaal niveau, 'zei ze.

Er zullen ook betere cyberbeveiligingspraktijken nodig zijn om toeleveringsketens te beveiligen, merkte Natarajan op. Ze veerkrachtiger maken, vooral in kritieke technologieën zoals halfgeleiders, was de afgelopen jaren een aandachtspunt van het Pentagon.

"We weten dat dit wordt gebruikt door kwaadwillende cyberactoren om echt veel risico's van derden uit te buiten nadat ze achter de toeleveringsketen van een organisatie aan zijn gegaan", zei hij.

Dat is nog een reden waarom de overheid niet alleen kan werken, voegde hij eraan toe.

"Terwijl we hiernaar kijken, bekijken we dit niet alleen vanuit een sectorperspectief, maar ook vanuit nationale kritieke functies," zei hij.

CISA heeft in oktober prestatiedoelen voor cyberbeveiliging vrijgegeven waarmee bedrijven zichzelf kunnen meten. Hoewel de prestatiedoelen niet specifiek zero trust noemen, zijn de doelen bedoeld voor bedrijven, ongeacht hun grootte.

"We beschouwen dit echt als de minimale basislijn van cyberbeveiliging die de rest van kritieke infrastructuurbeheerders zal verminderen", zei hij. "Maar uiteindelijk hebben we daarmee ook invloed op de nationale veiligheid en de gezondheid en veiligheid van Amerikanen in het hele land."

De particuliere sector heeft op zijn beurt de overheidsinvesteringen in onderwijs en middelen nodig om zijn cyberpersoneelsbestand op te bouwen.

“Cyberspace omvat niet alleen de hardware en software, de technologie, uw tablets, uw iPhones, uw technologie, maar er zijn ook mensen bij betrokken. Mensen ontwikkelden cyberspace. Mensen gebruiken cyberspace. We zijn in cyberspace”, zei Kemba Walden, adjunct-directeur van het National Cyber ​​Director's Office, tijdens het MeriTalk-evenement.

Het National Cyber ​​Director's Office, dat nog niet volledig operationeel is, werd in 2021 opgericht om het voortouw te nemen in cyberkwesties op federaal niveau, waaronder de eerste nationale cyberbeveiligingsstrategie.

Net zo belangrijk als de brede strategie zal het nationale personeels- en onderwijsdocument zijn dat zal worden vrijgegeven na de cyberbeveiligingsstrategie, zei Walden.

"We hebben gekeken en ontdekten dat ongeveer 700,000 banen in de VS met het woord cyber erin onvervuld blijven", zei ze. Dat aantal komt uit het 2022-rapport van marktonderzoeksbureau Lightcast op basis van gegevens uit 2021.

"Als nationale cyber- en nationale veiligheidsadvocaat beangstigt me dat," zei ze. "Dat is vanuit mijn perspectief een nationaal veiligheidsrisico."

In de afgelopen jaren zijn organisaties zoals Joint Cyber ​​Defense Collaborative en het Cybersecurity Collaboration Center van de National Security Association ontstaan ​​om de behoeften te peilen en feedback van grote ondernemingen te verzamelen, zei ze.

"Dat zijn de soorten samenwerkingsinspanningen waarvan ik denk dat ze nodig zijn om de publiek-private samenwerking en het delen van informatie in het algemeen te ontwikkelen", zei ze.

Uiteindelijk sijpelen de voordelen van zero trust door naar de warfighter, aldus het document.

De gezamenlijke commando- en controle-inspanning van het Pentagon, die tot doel heeft sensoren en schutters te koppelen en kunstmatige intelligentie te gebruiken om beslissingen te nemen, is bijvoorbeeld afhankelijk van de veiligheid van die gegevens. Als het in de verkeerde handen valt, kunnen militaire leiders geen informatiedominantie bereiken, merkt de strategie op.

“We moeten ervoor zorgen dat wanneer kwaadwillende actoren proberen onze zero trust-verdediging te doorbreken; ze kunnen niet langer vrij door onze netwerken zwerven en vormen een bedreiging voor ons vermogen om maximale ondersteuning te bieden aan de oorlogsjager”, zei Chief Information Officer John Sherman in de strategie.

Lees hier het hele verhaal ...