El Pentágono crea una hoja de ruta para el acceso a Internet 'Zero Trust' para 2027

El Departamento de Defensa finalmente ha presentado su plan para proteger sus redes cibernéticas después de años de comprometerse.

La Oficina del Director de Información publicó "La Estrategia de Confianza Cero del Departamento de Defensa" en noviembre, que establecía métricas y plazos para que el departamento lograra la adopción total de confianza cero para 2027. Los expertos en seguridad cibernética dijeron que el gobierno y el sector privado deberían trabajar juntos para aprovechar los recursos. para entrar con éxito en el nuevo régimen.

“Las ciberamenazas físicas a la infraestructura crítica realmente son uno de nuestros mayores desafíos de seguridad nacional que enfrentamos hoy, y el panorama al que nos enfrentamos se ha vuelto más complejo”, Nitin Natarajan, subdirector de Cybersecurity and Infrastructure Security. Agency, dijo durante un evento MeriTalk en octubre.

Los atacantes cibernéticos tienen más recursos que en el pasado y es menos costoso causar mucho daño a un sistema inseguro, dijo. No son solo los piratas informáticos lobo solitario, sino también los estados nacionales y los terroristas cibernéticos los que pueden representar una amenaza.

Por ejemplo, el ataque cibernético de SolarWinds de 2019, que superó las defensas de miles de organizaciones, incluido el gobierno federal, se ha relacionado con agentes respaldados por Rusia.

El principio básico de la nueva estrategia es que tratar la seguridad de las organizaciones como un foso alrededor de un castillo no excluye a los malos actores.

“Los propietarios de misiones y sistemas, así como los operadores, adoptan cada vez más esta visión como un hecho. También ven el viaje a [confianza cero] como una oportunidad para afectar positivamente la misión al abordar las modernizaciones tecnológicas, refinar los procesos de seguridad y mejorar el rendimiento operativo”, dice el documento.

La cultura de confianza cero requiere que cada persona dentro de una red asuma que ya está comprometida y requiere que todos los usuarios demuestren sus identidades en todo momento.

La estrategia enumera tecnologías que pueden ayudar a cultivar un entorno de confianza cero, como la autenticación multifactor continua, la microsegmentación, el cifrado avanzado, la seguridad de puntos finales, el análisis y la auditoría sólida.

Si bien estas diversas tecnologías se pueden usar para implementar esta premisa básica, esencialmente significa que "a los usuarios se les otorga acceso solo a los datos que necesitan y cuando los necesitan".

La estrategia gira en torno a cuatro pilares: aceptar la cultura de confianza cero, poner en práctica las prácticas de confianza cero, acelerar la tecnología de confianza cero y la integración de todo el departamento. La estrategia señala que, si bien los departamentos de TI de todo el Pentágono pueden necesitar comprar productos, no existe una capacidad que pueda resolver todos sus problemas.

“Si bien los objetivos prescriben 'qué' se debe hacer para lograr la meta, no prescriben 'cómo', ya que los componentes del Departamento de Defensa pueden necesitar emprender objetivos de diferentes maneras”, decía la estrategia.

Para el pilar de la tecnología, la estrategia de confianza cero del Pentágono exige que las capacidades se desarrollen más rápido mientras se reducen los silos. Las capacidades que promueven una arquitectura más simple y una gestión de datos eficiente también son importantes, según el documento.

Si bien se pueden usar muchos métodos para autenticar a los usuarios, el pilar de integración exige la creación de un plan de adquisición de tecnologías que se pueda escalar en todo el departamento a principios del año fiscal 2023.

Un desarrollo tecnológico que ya está en marcha es el Thunderdome, un contrato de $6.8 millones otorgado a Booz Allen Hamilton a principios de este año. La tecnología protegería el acceso a la red de enrutadores de protocolo de Internet seguro, el transmisor de información clasificada del Pentágono, según un comunicado de prensa de la Agencia de Sistemas de Información de Defensa.

No será posible adaptar completamente todas las plataformas heredadas con tecnología como la autenticación de múltiples factores, señala la estrategia. Sin embargo, los servicios pueden implementar salvaguardas para estos sistemas menos modernos mientras tanto.

El pilar de seguridad de los sistemas de información también requerirá la automatización de las operaciones de inteligencia artificial y la seguridad de las comunicaciones en todos los niveles.

La automatización de los sistemas es una parte importante de la confianza cero, dijo Andy Stewart, estratega federal sénior de la empresa de comunicaciones digitales Cisco Systems y exdirector de Fleet Cyber ​​Command/US Tenth Fleet. Si los procesos detrás de la confianza cero no funcionan bien, las personas pueden tener dificultades para usar la tecnología y adoptar la mentalidad de confianza cero.

“La confianza cero se trata de aumentar la seguridad, pero también significa, '¿Cómo opero de manera más eficiente?'”, dijo. “La experiencia del usuario debería recibir un voto”.

Si bien la estrategia marca un punto de inflexión para el esfuerzo, el Pentágono comenzó hace años por el camino de la confianza cero. Su Estrategia de Modernización Digital de 2019 mencionó que la confianza cero era un concepto de iniciativa emergente que estaba “explorando”.

Aceptar medidas de seguridad cibernética más rigurosas a través de la mentalidad de confianza cero es algo en lo que el Cuerpo de Marines ha estado trabajando a través de la educación y la concientización, dijo Renata Spinks, subdirectora y subdirectora de información, comando, control, comunicaciones y computadoras e información sénior en funciones. oficial de seguridad.

“Pasamos mucho tiempo educando, porque si las personas saben lo que están haciendo y por qué lo están haciendo... según mi experiencia, se unirán mucho antes que resistirse”, dijo.

El mandato de confianza cero de 2021 de la administración del presidente Joe Biden fue "una bendición" porque justificó al personal dentro de la Infantería de Marina que puede no haber entendido la necesidad de algunas de las iniciativas de TI, dijo.

Una implementación exitosa de confianza cero reducirá las amenazas a algunos de los tipos de capacidades más críticas en las que los combatientes confiarán en el futuro: nube, inteligencia artificial y comando, control, comunicaciones, computadora e inteligencia.

El ejército necesita la ayuda de los contratistas de defensa para proteger los datos confidenciales, señaló Spinks. La industria puede ayudar al personal de TI de las fuerzas armadas a comprender cómo trabajar con el tipo de datos que proporcionarán y a cuánto necesitarán acceder las fuerzas armadas.

“La confianza cero no será confianza cero con éxito si no recibimos ayuda para administrar las identidades”, dijo.

El Cuerpo de Marines contrató recientemente a un oficial de datos del servicio que podría usar los aportes de los contratistas sobre cuánto acceso necesitarán los militares para descubrir las mejores formas de clasificar y administrar los datos del servicio, señaló.

Tener acceso a datos seguros en cualquier lugar ayudará a los militares y al personal de la base industrial de defensa que trabajan fuera del horario comercial y en ubicaciones remotas, según la estrategia del Pentágono.

El impulso por la confianza cero es diferente de algunas iniciativas de seguridad cibernética porque tiene fuerza detrás, agregó Spinks. El liderazgo ha proporcionado políticas y procedimientos y está dispuesto a rendir cuentas, dijo.

“La ciberseguridad no es una empresa barata. Pero creo que lo que realmente lo impulsa es el adversario vicioso y toda la actividad no solo en el gobierno federal, sino incluso a nivel estatal y local”, dijo.

También se necesitarán mejores prácticas de ciberseguridad para proteger las cadenas de suministro, señaló Natarajan. Hacerlos más resistentes, especialmente en tecnologías críticas como los semiconductores, ha sido un enfoque en el Pentágono en los últimos años.

“Sabemos que esto está siendo utilizado por actores cibernéticos maliciosos para explotar una gran cantidad de riesgos de terceros después de perseguir la cadena de suministro de una organización”, dijo.

Esa es otra razón por la que el gobierno no puede trabajar solo, agregó.

“Mientras miramos esto, lo estamos viendo no solo desde una perspectiva sectorial, sino también desde las funciones críticas nacionales”, dijo.

CISA publicó objetivos de desempeño de ciberseguridad para que las empresas se midan a sí mismas en octubre. Aunque los objetivos de rendimiento no mencionan específicamente la confianza cero, los objetivos están destinados a que las empresas los utilicen independientemente de su tamaño.

“Realmente estamos considerando que estos sean la línea de base mínima de protecciones cibernéticas que reducirán el resto de los operadores de infraestructura crítica”, dijo. “Pero al final del día, al hacer eso también estamos impactando la seguridad nacional y la salud y seguridad de los estadounidenses en todo el país”.

El sector privado, a su vez, necesita la inversión del gobierno en educación y recursos para desarrollar su fuerza laboral cibernética.

“El ciberespacio involucra no solo el hardware y el software, la tecnología, sus tabletas, sus iPhones, su tecnología, sino que también involucra a las personas. La gente desarrolló el ciberespacio. La gente usa el ciberespacio. Estamos en el ciberespacio”, dijo Kemba Walden, subdirectora principal de la Oficina Nacional del Director Cibernético, durante el evento MeriTalk.

Aún sin estar en plena capacidad operativa, la Oficina del Director Nacional Cibernético se estableció en 2021 para tomar la iniciativa en cuestiones cibernéticas a nivel federal, incluida la primera estrategia nacional de ciberseguridad.

Tan importante como la estrategia general será el documento nacional de fuerza laboral y educación que se publicará después de la estrategia de seguridad cibernética, dijo Walden.

“Echamos un vistazo y nos dimos cuenta de que unos 700,000 puestos de trabajo en EE. UU. con la palabra cibernético quedaron sin cubrir”, dijo. Ese número proviene del informe de 2022 de la firma de investigación de mercado Lightcast basado en datos de 2021.

“Como abogada nacional cibernética y de seguridad nacional, eso me asusta”, dijo. “Ese es un riesgo de seguridad nacional desde mi perspectiva”.

En los últimos años, han surgido organizaciones como Joint Cyber ​​Defense Collaborative y el Centro de Colaboración de Ciberseguridad de la Asociación Nacional de Seguridad para evaluar las necesidades y recopilar comentarios de las grandes empresas, dijo.

“Esos son los tipos de esfuerzos de colaboración que creo que son necesarios para desarrollar la colaboración público-privada y el intercambio de información en general”, dijo.

En última instancia, los beneficios de la confianza cero se filtran hasta el combatiente, según el documento.

Por ejemplo, el esfuerzo conjunto de comando y control de todos los dominios del Pentágono, que tiene como objetivo vincular sensores y tiradores mientras usa inteligencia artificial para tomar decisiones, se basa en que los datos estén seguros. Si cae en las manos equivocadas, los líderes militares no pueden lograr el dominio de la información, señala la estrategia.

“Necesitamos asegurarnos de que cuando los actores maliciosos intenten violar nuestras defensas de confianza cero; ya no pueden moverse libremente a través de nuestras redes y amenazar nuestra capacidad de brindar el máximo apoyo al combatiente”, dijo el director de información, John Sherman, en la estrategia.

Lea la historia completa aquí ...