Cybersikkerhed: Det Hvide Hus udruller en nul-tillidsstrategi for føderale agenturer

Biden Administration frigivet en ny cybersikkerhedsstrategi for føderale agenturer, der vil flytte regeringen mod en "nul tillid" sikkerhedsmodel.

Den næsten 30 sider lange plan opstiller snesevis af foranstaltninger, som føderale agenturer skal træffe i de næste to år for at sikre systemer og begrænse risikoen for sikkerhedshændelser. Regeringen er stadig ved at komme sig over SolarWinds-skandale, som så russiske hackere tilbringe måneder inde i offentlige systemer hos flere amerikanske agenturer.

Se også: DHS: Amerikanerne bør være forberedt på potentielle russiske cyberangreb

Statslige myndigheder har indtil udgangen af ​​regnskabsåret 2024 til at indføre mange af de tiltag, der er beskrevet i planen, som omfatter mere stringent netværkssegmentering, multi-faktor autentificering og udbredt kryptering. Afdelinger får 60 dage eller 120 dage til at udpege ledere, som vil implementere foranstaltningerne og klassificere visse oplysninger baseret på følsomhed.

Det Hvide Hus sagde den voksende trussel om sofistikerede cyberangreb "understreget, at den føderale regering ikke længere kan stole på konventionelt perimeterbaseret forsvar for at beskytte kritiske systemer og data."

"Nul-tillidsstrategien vil gøre det muligt for bureauer hurtigere at opdage, isolere og reagere på disse typer trusler. Ved at detaljere en række specifikke sikkerhedsmål for agenturer vil den nye strategi fungere som en omfattende køreplan for at flytte den føderale regering til et nyt cybersikkerhedsparadigme, der vil hjælpe med at beskytte vores nation. Disse mål er direkte på linje med og understøtter eksisterende nultillidsmodeller," forklarede Det Hvide Hus.

Flytningen er en del af en større indsats for at sikre landets systemer, der begyndte sidste år med en bekendtgørelse.

I september udgav Det Hvide Hus et første udkast til strategien. Det endelige udkast omfatter indsigt fra cybersikkerhedseksperter, virksomheder og non-profitorganisationer.

Det Hvide Hus bemærkede, at den seneste Log4j sårbarhed er "det seneste bevis på, at modstandere vil fortsætte med at finde nye muligheder for at få foden inden for døren."

Direktør Jen Easterly for Cybersecurity and Infrastructure Security Agency (CISA) sagde, at nul tillid er et afgørende element for at modernisere og styrke regeringens forsvar.

"Når vores modstandere fortsætter med at forfølge innovative måder at bryde vores infrastruktur på, må vi fortsætte med at transformere vores tilgang til føderal cybersikkerhed fundamentalt," sagde Easterly. "CISA vil fortsætte med at yde teknisk support og operationel ekspertise til bureauer, mens vi stræber efter at opnå en fælles modenhedsbase."

Se også: CISA tilføjer 13 udnyttede sårbarheder til listen, 9 med afhjælpningsdato den 1. februar

En række organisationer kom ud for at støtte flytningen og bemærkede, at den føderale regering har været nødt til at opdatere sin sikkerhedsposition og gøre mere for at låse visse systemer.

Phil Venables, CISO hos Google Cloud, sagde, at Google længe har slået til lyd for vedtagelsen af ​​moderne sikkerhed nærmer sig - som nul tillid - og vil støtte den føderale regering "når den begynder på sin nultillid rejse."

Tim Erlin, VP for strategi hos Tripwire, kaldte memorandummet et væsentligt skridt fremad for cybersikkerhed på tværs af den amerikanske regering. Han bemærkede dog, at det er "uheldigt", at strategien ikke giver en klarere rolle for en af ​​nøgleprincipperne for nul tillid: integritetsovervågning.

"Dokumenter fra både CISA og NIST inkluderer integritetsovervågning som en nøglekomponent i nul tillid, men OMB-memorandummet inkluderer ikke lignende behandling. Dette memorandum indeholder væsentlige krav og diskussion omkring Endpoint Detection and Response (EDR), og derved risikerer man at overdreven afhængighed af en specifik teknologi," sagde Erlin.

"EDR er allerede ved at udvikle sig til Managed Detection and Response (MDR) og Extended Detection and Response. Det cybersikkerhedsteknologiske landskab bevæger sig hurtigt, og der er en reel risiko for, at bureauer vil finde sig i at implementere og drive en erstattet kapacitet."