Das Pentagon erstellt eine Roadmap für einen „Zero Trust“-Internetzugang bis 2027

Das Verteidigungsministerium hat endlich seinen Plan zum Schutz seiner Cyber-Netzwerke dargelegt, nachdem es jahrelang versprochen hatte, es zu einer Verpflichtung zu machen.

Das Büro des Chief Information Officer veröffentlichte im November „The DoD Zero Trust Strategy“ – die Metriken und Fristen für die Abteilung festlegte, um bis 2027 die vollständige Einführung von Zero Trust zu erreichen. Cybersicherheitsexperten sagten, die Regierung und der Privatsektor sollten zusammenarbeiten, um Ressourcen zu nutzen um erfolgreich in das neue Regime einzutreten.

„Physische Cyberbedrohungen für kritische Infrastrukturen sind wirklich eine unserer größten nationalen Sicherheitsherausforderungen, mit denen wir heute konfrontiert sind, und die Landschaft, mit der wir es zu tun haben, ist komplexer geworden“, sagt Nitin Natarajan, stellvertretender Direktor der Abteilung für Cybersicherheit und Infrastruktursicherheit Agency, sagte während einer MeriTalk-Veranstaltung im Oktober.

Cyber-Angreifer haben mehr Ressourcen als in der Vergangenheit, und es ist weniger kostspielig, einem unsicheren System viel Schaden zuzufügen, sagte er. Es sind nicht nur Einzelkämpfer, sondern auch Nationalstaaten und Cyberterroristen, die eine Bedrohung darstellen können.

So wurde beispielsweise der Cyberangriff von SolarWinds im Jahr 2019, der die Abwehrkräfte von Tausenden von Organisationen, einschließlich der Bundesregierung, überwunden hat, mit von Russland unterstützten Agenten in Verbindung gebracht.

Der Grundgedanke der neuen Strategie ist, dass die Behandlung der Sicherheit von Organisationen wie ein Wassergraben um eine Burg schlechte Akteure nicht fernhält.

„Missions- und Systembesitzer sowie Betreiber sehen diese Ansicht zunehmend als Tatsache an. Sie sehen den Weg zu [Zero Trust] auch als Gelegenheit, die Mission positiv zu beeinflussen, indem sie technologische Modernisierungen angehen, Sicherheitsprozesse verfeinern und die Betriebsleistung verbessern“, heißt es in dem Dokument.

Die Zero-Trust-Kultur erfordert, dass jede Person innerhalb eines Netzwerks davon ausgeht, dass es bereits kompromittiert ist, und verlangt, dass alle Benutzer jederzeit ihre Identität nachweisen.

Die Strategie listet Technologien auf, die helfen können, eine Zero-Trust-Umgebung zu schaffen, wie kontinuierliche Multi-Faktor-Authentifizierung, Mikrosegmentierung, fortschrittliche Verschlüsselung, Endpunktsicherheit, Analysen und robuste Audits.

Während diese verschiedenen Technologien verwendet werden können, um diese grundlegende Prämisse zu implementieren, bedeutet dies im Wesentlichen, dass „Benutzern nur Zugriff auf die Daten gewährt wird, die sie benötigen und wenn sie benötigt werden“.

Die Strategie dreht sich um vier Säulen: Akzeptieren der Zero-Trust-Kultur, Operationalisierung von Zero-Trust-Praktiken, Beschleunigung der Zero-Trust-Technologie und abteilungsweite Integration. Die Strategie stellt fest, dass IT-Abteilungen im gesamten Pentagon zwar möglicherweise Produkte kaufen müssen, es jedoch keine einzige Fähigkeit gibt, die alle ihre Probleme lösen kann.

„Während die Ziele vorschreiben, was zur Förderung des Ziels getan werden soll, schreiben sie nicht vor, wie, da DoD-Komponenten Ziele möglicherweise auf unterschiedliche Weise erreichen müssen“, heißt es in der Strategie.

Für die technologische Säule fordert die Zero-Trust-Strategie des Pentagon, dass Fähigkeiten schneller bereitgestellt und gleichzeitig Silos reduziert werden. Dem Dokument zufolge sind auch Funktionen wichtig, die eine einfachere Architektur und ein effizientes Datenmanagement fördern.

Während viele Methoden zur Authentifizierung von Benutzern verwendet werden können, fordert die Integrationssäule die Erstellung eines Anschaffungsplans für Technologien, die bis zum Beginn des Geschäftsjahres 2023 abteilungsweit skaliert werden können.

Eine bereits im Gange befindliche Technologieentwicklung ist der Thunderdome, ein Vertrag über 6.8 Millionen US-Dollar, der Anfang dieses Jahres an Booz Allen Hamilton vergeben wurde. Laut einer Pressemitteilung der Defense Information Systems Agency würde die Technologie den Zugang zum Secure Internet Protocol Router Network schützen, dem geheimen Informationssender des Pentagon.

Es werde nicht möglich sein, jede Legacy-Plattform vollständig mit Technologien wie Multi-Faktor-Authentifizierung nachzurüsten, betont die Strategie. Die Dienste können jedoch zwischenzeitlich Schutzmaßnahmen für diese weniger modernen Systeme implementieren.

Der Pfeiler der Sicherung von Informationssystemen erfordert auch die Automatisierung von Operationen mit künstlicher Intelligenz und die Sicherung der Kommunikation auf allen Ebenen.

Die Automatisierung von Systemen ist ein wichtiger Bestandteil von Zero Trust, sagte Andy Stewart, leitender Bundesstratege beim Digitalkommunikationsunternehmen Cisco Systems und ehemaliger Direktor bei Fleet Cyber ​​Command/US Tenth Fleet. Wenn die Prozesse hinter Zero Trust nicht gut funktionieren, können Menschen Schwierigkeiten haben, die Technologie zu nutzen und die Zero-Trust-Mentalität anzunehmen.

„Bei Zero Trust geht es um die Erhöhung der Sicherheit, aber es bedeutet auch: ‚Wie kann ich effizienter arbeiten?'“, sagte er. „Die Benutzererfahrung sollte eine Stimme bekommen.“

Während die Strategie einen Wendepunkt für die Bemühungen markiert, hat das Pentagon vor Jahren den Weg des Null-Vertrauens eingeschlagen. In seiner digitalen Modernisierungsstrategie von 2019 wurde erwähnt, dass Zero Trust ein aufkommendes Initiativenkonzept sei, das es „erkundet“.

Strengere Cybersicherheitsmaßnahmen durch die Zero-Trust-Denkweise zu akzeptieren, ist etwas, woran das Marine Corps durch Aufklärung und Sensibilisierung gearbeitet hat, sagte Renata Spinks, stellvertretende Direktorin und stellvertretende Chief Information Officer für Information, Kommando, Kontrolle, Kommunikation und Computer und amtierende Senior Information Sicherheitsbeauftragter.

„Wir verbringen viel Zeit mit Aufklärung, denn wenn die Leute wissen, was sie tun und warum sie es tun … habe ich die Erfahrung gemacht, dass sie viel eher an Bord kommen, als sich zu widersetzen“, sagte sie

Das Zero-Trust-Mandat 2021 der Regierung von Präsident Joe Biden sei „ein Glücksfall“, weil es Personal innerhalb des Marine Corps rechtfertige, das die Notwendigkeit einiger IT-Initiativen möglicherweise nicht verstanden habe, sagte sie.

Eine erfolgreiche Zero-Trust-Implementierung wird Bedrohungen für einige der kritischsten Arten von Fähigkeiten reduzieren, auf die sich Kriegskämpfer in Zukunft verlassen werden: Cloud, künstliche Intelligenz und Führung, Kontrolle, Kommunikation, Computer und Intelligenz.

Das Militär braucht die Hilfe von Verteidigungsunternehmen, um sensible Daten zu schützen, stellte Spinks fest. Die Industrie kann dem IT-Personal des Militärs dabei helfen, zu verstehen, wie es mit der Art von Daten, die es bereitstellt, umgeht und inwieweit das Militär Zugriff benötigt.

„Zero Trust wird kein erfolgreiches Zero Trust sein, wenn wir keine Hilfe bei der Verwaltung von Identitäten bekommen“, sagte sie.

Das Marine Corps habe kürzlich einen Dienstdatenoffizier eingestellt, der die Angaben von Auftragnehmern dazu nutzen könnte, wie viel Zugriff das Militär benötigen werde, um herauszufinden, wie die Daten des Dienstes am besten klassifiziert und verwaltet werden können, bemerkte sie.

Laut der Strategie des Pentagon wird der Zugriff auf sichere Daten von überall aus Militärangehörigen und Personal in der Rüstungsindustrie helfen, die außerhalb der Geschäftszeiten und an abgelegenen Orten arbeiten.

Der Drang nach Zero Trust unterscheide sich von einigen Cybersicherheitsinitiativen, weil dahinter Muskeln steckten, fügte Spinks hinzu. Die Führung habe Richtlinien und Verfahren bereitgestellt und sei bereit, zur Rechenschaft gezogen zu werden, sagte sie.

„Cybersicherheit ist kein billiges Unterfangen. Aber ich denke, was es wirklich antreibt, ist der bösartige Gegner und all die Aktivitäten, nicht nur auf Bundesebene, sondern sogar auf Landes- und lokaler Ebene“, sagte sie.

Bessere Cybersicherheitspraktiken werden auch benötigt, um Lieferketten zu sichern, stellte Natarajan fest. Sie widerstandsfähiger zu machen, insbesondere in kritischen Technologien wie Halbleitern, war in den letzten Jahren ein Schwerpunkt des Pentagon.

„Wir wissen, dass dies von böswilligen Cyber-Akteuren genutzt wird, um viele Risiken Dritter auszunutzen, nachdem sie die Lieferkette eines Unternehmens angegriffen haben“, sagte er.

Das sei ein weiterer Grund, warum die Regierung nicht allein arbeiten könne, fügte er hinzu.

„Wenn wir das betrachten, betrachten wir es nicht nur aus der Perspektive eines Sektors, sondern auch aus der Sicht nationaler kritischer Funktionen“, sagte er.

CISA hat im Oktober Leistungsziele für die Cybersicherheit veröffentlicht, an denen sich Unternehmen messen können. Obwohl die Leistungsziele Zero Trust nicht ausdrücklich nennen, sind die Ziele für Unternehmen unabhängig von ihrer Größe gedacht.

„Wir betrachten diese wirklich als die Mindestgrundlage für den Cyberschutz, die den Rest der Betreiber kritischer Infrastrukturen reduzieren wird“, sagte er. „Aber am Ende des Tages wirken wir uns dadurch auch auf die nationale Sicherheit und die Gesundheit und Sicherheit der Amerikaner im ganzen Land aus.“

Der Privatsektor wiederum benötigt die Investitionen der Regierung in Bildung und Ressourcen, um seine Cyber-Arbeitskräfte aufzubauen.

„Cyberspace umfasst nicht nur die Hardware und Software, die Technologie, Ihre Tablets, Ihre iPhones, Ihre Technologie, sondern auch Menschen. Die Menschen haben den Cyberspace entwickelt. Menschen nutzen den Cyberspace. Wir befinden uns im Cyberspace“, sagte Kemba Walden, stellvertretende Hauptdirektorin des National Cyber ​​Director's Office, während der MeriTalk-Veranstaltung.

Das National Cyber ​​Director’s Office, das noch nicht voll funktionsfähig ist, wurde 2021 eingerichtet, um die Führung in Cyberfragen auf Bundesebene zu übernehmen, einschließlich der ersten nationalen Cybersicherheitsstrategie.

Genauso wichtig wie die umfassende Strategie wird das nationale Arbeits- und Bildungsdokument sein, das nach der Cybersicherheitsstrategie veröffentlicht wird, sagte Walden.

„Wir haben einen Blick darauf geworfen und festgestellt, dass etwa 700,000 Stellen in den USA mit dem Wort „Cyber“ unbesetzt bleiben“, sagte sie. Diese Zahl stammt aus dem Bericht des Marktforschungsunternehmens Lightcast für 2022, der auf Daten von 2021 basiert.

„Als Anwältin für nationale Cyber- und nationale Sicherheit macht mir das Angst“, sagte sie. „Das ist aus meiner Sicht ein nationales Sicherheitsrisiko.“

In den letzten Jahren seien Organisationen wie Joint Cyber ​​Defense Collaborative und das Cybersecurity Collaboration Center der National Security Association entstanden, um die Bedürfnisse abzuschätzen und Feedback von großen Unternehmen zu sammeln, sagte sie.

„Das sind die Arten von Kooperationsbemühungen, die meiner Meinung nach notwendig sind, um die öffentlich-private Zusammenarbeit und den Informationsaustausch insgesamt weiterzuentwickeln“, sagte sie.

Letztendlich sickern die Vorteile von Zero Trust dem Kriegskämpfer zu, heißt es in dem Dokument.

Zum Beispiel ist die gemeinsame All-Domain-Befehls- und Kontrollbemühung des Pentagon – die darauf abzielt, Sensoren und Schützen zu verbinden und gleichzeitig künstliche Intelligenz für Entscheidungen zu nutzen – darauf angewiesen, dass diese Daten sicher sind. Wenn es in die falschen Hände gerät, können Militärführer keine Informationsdominanz erreichen, heißt es in der Strategie.

„Wir müssen sicherstellen, dass, wenn böswillige Akteure versuchen, unsere Zero-Trust-Abwehr zu durchbrechen; Sie können sich nicht mehr frei durch unsere Netzwerke bewegen und bedrohen unsere Fähigkeit, dem Kriegskämpfer maximale Unterstützung zu leisten“, sagte Chief Information Officer John Sherman in der Strategie.

Lesen Sie die ganze Geschichte hier…