23/12/2022 Meredith Roaten - Il Dipartimento della Difesa ha finalmente definito il suo piano per la protezione delle reti informatiche dopo anni di promesse di impegno.
A novembre, l'Office of the Chief Information Officer ha pubblicato la "DoD Zero Trust Strategy", che definisce le metriche e le scadenze per il dipartimento al fine di raggiungere la piena adozione dello zero trust entro il 2027. Gli esperti di sicurezza informatica hanno affermato che il governo e il settore privato dovrebbero collaborare per sfruttare le risorse per entrare con successo nel nuovo regime.
"Le minacce cyber-fisiche alle infrastrutture critiche sono davvero una delle maggiori sfide per la sicurezza nazionale che stiamo affrontando oggi, e il panorama con cui abbiamo a che fare è diventato più complesso", ha dichiarato Nitin Natarajan, vice direttore della Cybersecurity and Infrastructure Security Agency, durante un evento MeriTalk in ottobre.
Gli aggressori informatici dispongono di maggiori risorse rispetto al passato ed è meno costoso arrecare molti danni a un sistema non sicuro". Non si tratta solo di hacker solitari, ma anche di Stati nazionali e terroristi informatici che possono rappresentare una minaccia.
Ad esempio, l'attacco informatico SolarWinds del 2019, che ha superato le difese di migliaia di organizzazioni, compreso il governo federale, è stato collegato ad agenti sostenuti dalla Russia.
Il principio di base della nuova strategia è che trattare la sicurezza delle organizzazioni come un fossato intorno a un castello non tiene lontani i cattivi attori.
"I proprietari delle missioni e dei sistemi, così come gli operatori, accettano sempre più spesso questa visione come un dato di fatto. Vedono anche il viaggio verso [la fiducia zero] come un'opportunità per influenzare positivamente la missione affrontando le modernizzazioni tecnologiche, affinando i processi di sicurezza e migliorando le prestazioni operative", si legge nel documento.
La cultura della fiducia zero richiede che ogni persona all'interno di una rete parta dal presupposto che questa sia già compromessa e che tutti gli utenti debbano dimostrare la propria identità in ogni momento.
La strategia elenca le tecnologie che possono aiutare a coltivare un ambiente a fiducia zero, come l'autenticazione continua a più fattori, la micro-segmentazione, la crittografia avanzata, la sicurezza degli endpoint, l'analisi e una solida verifica.
Sebbene queste diverse tecnologie possano essere utilizzate per implementare questa premessa di base, essa significa essenzialmente che "agli utenti viene concesso l'accesso solo ai dati di cui hanno bisogno e quando necessario".
La strategia ruota attorno a quattro pilastri: accettazione della cultura della fiducia zero, operatività delle pratiche di fiducia zero, accelerazione della tecnologia di fiducia zero e integrazione a livello di reparto. La strategia rileva che, sebbene i dipartimenti IT del Pentagono possano aver bisogno di acquistare prodotti, non esiste un'unica capacità in grado di risolvere tutti i loro problemi.
Mentre gli obiettivi prescrivono "cosa" deve essere fatto per promuovere l'obiettivo, non prescrivono "come", poiché i componenti del Dipartimento della Difesa possono avere bisogno di intraprendere gli obiettivi in modi diversi", si legge nella strategia.
Per quanto riguarda il pilastro tecnologico, la strategia "zero trust" del Pentagono prevede che le capacità vengano diffuse più rapidamente, riducendo i silos. Secondo il documento, sono importanti anche le capacità che promuovono un'architettura più semplice e una gestione efficiente dei dati.
Sebbene si possano usare molti metodi per l'autenticazione degli utenti, il pilastro dell'integrazione richiede la creazione di un piano di acquisizione per tecnologie che possano essere scalate a livello di dipartimento entro l'inizio dell'anno fiscale 2023.
Uno sviluppo tecnologico già in corso è il Thunderdome, un contratto da 6,8 milioni di dollari assegnato a Booz Allen Hamilton all'inizio di quest'anno. Secondo un comunicato stampa della Defense Information Systems Agency, questa tecnologia proteggerebbe l'accesso alla Secure Internet Protocol Router Network, il trasmettitore di informazioni classificate del Pentagono.
Non sarà possibile adattare completamente ogni piattaforma legacy con una tecnologia come l'autenticazione a più fattori, sottolinea la strategia. Tuttavia, nel frattempo i servizi possono implementare misure di salvaguardia per questi sistemi meno moderni.
Il pilastro della sicurezza dei sistemi informativi richiederà anche l'automazione delle operazioni di intelligenza artificiale e la protezione delle comunicazioni a tutti i livelli.
L'automazione dei sistemi è una parte importante della fiducia zero, ha dichiarato Andy Stewart, senior federal strategist dell'azienda di comunicazioni digitali Cisco Systems ed ex direttore del Fleet Cyber Command/U.S. Tenth Fleet. Se i processi alla base della fiducia zero non funzionano bene, le persone possono avere difficoltà a utilizzare la tecnologia e ad adottare la mentalità della fiducia zero.
"Zero trust significa aumentare la sicurezza, ma anche "Come posso operare in modo più efficiente?"", ha affermato. "L'esperienza dell'utente dovrebbe avere un voto".
Sebbene la strategia segni un punto di svolta per l'impegno, il Pentagono ha iniziato a percorrere la strada della fiducia zero anni fa. La sua Strategia di modernizzazione digitale del 2019 menzionava che la fiducia zero era un concetto di iniziativa emergente che stava "esplorando".
L'accettazione di misure di cybersecurity più rigorose attraverso la mentalità della fiducia zero è un aspetto su cui il Corpo dei Marines ha lavorato attraverso l'educazione e la sensibilizzazione, ha dichiarato Renata Spinks, vicedirettore e vice capo dell'ufficio informazioni, comando, controllo, comunicazioni e computer e responsabile senior della sicurezza informatica.
"Dedichiamo molto tempo all'educazione, perché se le persone sanno cosa stanno facendo e perché lo stanno facendo... secondo la mia esperienza, si uniranno molto prima a noi piuttosto che opporre resistenza".
Il mandato di zero trust del 2021 da parte dell'amministrazione del presidente Joe Biden è stato "una manna dal cielo" perché ha fornito una giustificazione al personale del Corpo dei Marines che potrebbe non aver compreso la necessità di alcune iniziative informatiche, ha detto.
Un'implementazione di successo di zero trust ridurrà le minacce ad alcuni dei tipi più critici di capacità su cui i combattenti faranno affidamento in futuro: cloud, intelligenza artificiale e comando, controllo, comunicazioni, computer e intelligence.
L'esercito ha bisogno dell'aiuto degli appaltatori della difesa per proteggere i dati sensibili, ha osservato Spinks. L'industria può aiutare il personale informatico delle forze armate a capire come lavorare con il tipo di dati che verranno forniti e in che misura i militari avranno bisogno di accedervi.
"La fiducia zero non sarà un successo se non ci facciamo aiutare nella gestione delle identità", ha detto.
Il Corpo dei Marines ha recentemente assunto un responsabile dei dati del servizio che potrebbe utilizzare il contributo degli appaltatori sulla quantità di accesso di cui l'esercito avrà bisogno per capire i modi migliori per classificare e gestire i dati del servizio, ha osservato.
Secondo la strategia del Pentagono, avere accesso a dati sicuri ovunque aiuterà i membri dell'esercito e il personale della base industriale della difesa che lavora al di fuori degli orari di lavoro e in luoghi remoti.
La spinta verso l'azzeramento della fiducia è diversa da altre iniziative di cybersecurity perché è sostenuta da forze forti, ha aggiunto Spinks. La leadership ha fornito politiche e procedure ed è disposta a rispondere delle proprie azioni.
"La sicurezza informatica non è un'impresa economica. Ma credo che il vero motore sia l'avversario feroce e tutte le attività che si svolgono non solo nel governo federale, ma anche a livello statale e locale".
Per proteggere le catene di approvvigionamento, Natarajan ha osservato che saranno necessarie anche migliori pratiche di cybersecurity. Negli ultimi anni, il Pentagono si è occupato di renderle più resilienti, soprattutto per quanto riguarda le tecnologie critiche come i semiconduttori.
"Sappiamo che gli attori informatici malintenzionati sfruttano molti rischi di terze parti dopo aver attaccato la catena di approvvigionamento di un'organizzazione", ha dichiarato.
Questo è un altro motivo per cui il governo non può lavorare da solo, ha aggiunto.
"Quando guardiamo a questo aspetto, non lo guardiamo solo dal punto di vista del settore, ma anche da quello delle funzioni critiche nazionali", ha detto.
In ottobre la CISA ha pubblicato degli obiettivi di performance in materia di cybersecurity che le aziende possono misurare. Sebbene gli obiettivi di performance non citino specificamente l'azzeramento della fiducia, sono destinati alle aziende, indipendentemente dalle loro dimensioni.
"Stiamo cercando di considerare questi obiettivi come una base minima di protezioni informatiche che ridurrà il resto degli operatori di infrastrutture critiche", ha detto. "Ma alla fine della giornata, facendo questo abbiamo anche un impatto sulla sicurezza nazionale e sulla salute e sicurezza degli americani in tutta la nazione".
Il settore privato, a sua volta, ha bisogno dell'investimento del governo nell'istruzione e nelle risorse per costruire la sua forza lavoro informatica.
"Il cyberspazio non riguarda solo l'hardware e il software, la tecnologia, i vostri tablet, i vostri iPhone, la vostra tecnologia, ma coinvolge anche le persone. Le persone hanno sviluppato il cyberspazio. Le persone usano il cyberspazio. Noi siamo nel cyberspazio", ha detto Kemba Walden, vicedirettore principale del National Cyber Director's Office, durante l'evento MeriTalk.
Non ancora a pieno regime, il National Cyber Director's Office è stato istituito nel 2021 per assumere la guida delle questioni informatiche a livello federale, compresa la prima strategia nazionale per la sicurezza informatica.
Altrettanto importante della strategia di massima sarà il documento sulla forza lavoro e l'istruzione nazionale che verrà pubblicato dopo la strategia di cybersecurity, ha dichiarato Walden.
"Abbiamo esaminato e riconosciuto che circa 700.000 posti di lavoro negli Stati Uniti con la parola "cyber" non sono stati occupati", ha detto. Questo numero proviene dal rapporto 2022 della società di ricerche di mercato Lightcast, basato sui dati del 2021.
"In qualità di avvocato specializzato in cyber e sicurezza nazionale, questo dato mi spaventa", ha dichiarato. "Dal mio punto di vista, questo è un rischio per la sicurezza nazionale".
Negli ultimi anni sono nate organizzazioni come la Joint Cyber Defense Collaborative e il Cybersecurity Collaboration Center della National Security Association per valutare le esigenze e raccogliere feedback dalle grandi imprese.
Seguici su Telegram ► @VociDallaStrada
Nessun commento:
Posta un commento
Avvertenze da leggere prima di intervenire sul blog Voci Dalla Strada
Non sono consentiti:
- messaggi pubblicitari
- messaggi con linguaggio offensivo
- messaggi che contengono turpiloquio
- messaggi con contenuto razzista o sessista
- messaggi il cui contenuto costituisce una violazione delle leggi italiane (istigazione a delinquere o alla violenza, diffamazione, ecc.)