Kybernetická bezpečnosť: Biely dom zavádza stratégiu nulovej dôvery pre federálne agentúry

Bidenova administratíva prepustený novú stratégiu kybernetickej bezpečnosti pre federálne agentúry, ktorá posunie vládu smerom k bezpečnostnému modelu „nulovej dôvery“.

Takmer 30-stranový plán obsahuje desiatky opatrení, ktoré musia federálne agentúry prijať v nasledujúcich dvoch rokoch, aby zabezpečili systémy a obmedzili riziko bezpečnostných incidentov. Vláda sa stále spamätáva z Škandál SolarWinds, ktorý videl ruských hackerov stráviť mesiace vo vládnych systémoch vo viacerých amerických agentúrach.

Pozri tiež: DHS: Američania by mali byť pripravení na potenciálne ruské kybernetické útoky

Vládne agentúry majú do konca fiškálneho roka 2024 zaviesť mnohé z opatrení opísaných v plán, ktorý zahŕňa prísnejšiu segmentáciu siete, viacfaktorovú autentifikáciu a rozšírenosť šifrovanie. Oddelenia majú 60 alebo 120 dní na vymenovanie vedúcich pracovníkov, ktorí zavedú opatrenia a klasifikujú určité informácie na základe citlivosti.

Biely dom povedal rastúca hrozba sofistikovaných kybernetických útokov "podčiarkla, že federálna vláda sa už nemôže spoliehať na konvenčnú obranu založenú na obvode, aby chránila kritické systémy a dáta."

„Stratégia nulovej dôvery umožní agentúram rýchlejšie odhaliť, izolovať a reagovať na tieto typy hrozieb. Tým, že podrobne uvedie sériu konkrétnych bezpečnostných cieľov pre agentúry, bude nová stratégia slúžiť ako komplexná plán na posun federálnej vlády k novej paradigme kybernetickej bezpečnosti, ktorá pomôže chrániť náš národ. Tieto ciele sú priamo v súlade s existujúcimi modelmi nulovej dôvery a podporujú ich,“ vysvetlil Biely dom.

Tento krok je súčasťou väčšieho úsilia o zabezpečenie systémov krajiny, ktoré sa začalo minulý rok s vykonávacím príkazom.

V septembri Biely dom zverejnil prvý návrh stratégie. Konečný návrh obsahuje poznatky od odborníkov na kybernetickú bezpečnosť, spoločností a neziskových organizácií.

Biely dom poznamenal, že nedávne Zraniteľnosť Log4j je "najnovším dôkazom toho, že protivníci budú aj naďalej hľadať nové príležitosti, ako sa dostať do dverí."

Riaditeľka Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) Jen Easterlyová uviedla, že nulová dôvera je kľúčovým prvkom modernizácie a posilnenia obrany vlády.

"Keďže naši protivníci pokračujú v presadzovaní inovatívnych spôsobov, ako narušiť našu infraštruktúru, musíme pokračovať v zásadnej transformácii nášho prístupu k federálnej kybernetickej bezpečnosti," povedal Easterly. „CISA bude agentúram naďalej poskytovať technickú podporu a prevádzkové odborné znalosti, keďže sa snažíme dosiahnuť spoločnú základnú úroveň zrelosti.“

Pozri tiež: CISA pridáva na zoznam 13 zneužitých zraniteľností, 9 s dátumom nápravy 1. februára

Tento krok podporilo niekoľko organizácií, ktoré poznamenali, že federálna vláda musí aktualizovať svoj bezpečnostný postoj a urobiť viac pre uzamknutie určitých systémov.

Phil Venables, CISO v Google Cloud, povedal, že Google už dlho obhajuje prijatie moderného zabezpečenia prístupy -- ako nulová dôvera -- a podporil by federálnu vládu, „keď sa pustila do svojej nulovej dôvery cesta."

Tim Erlin, viceprezident pre stratégiu v Tripwire, označil memorandum za podstatný krok vpred pre kybernetickú bezpečnosť v celej americkej vláde. Poznamenal však, že je „nešťastné“, že stratégia neposkytuje jasnejšiu úlohu pre jeden z kľúčových princípov nulovej dôvery: monitorovanie integrity.

„Dokumenty od CISA aj NIST zahŕňajú monitorovanie integrity ako kľúčový komponent nulovej dôvery, ale memorandum OMB podobné zaobchádzanie nezahŕňa. Toto memorandum zahŕňa zásadné požiadavky a diskusiu o detekcii a odozve koncových bodov (EDR), a tým riskuje nadmerné spoliehanie sa na konkrétnu technológiu,“ povedala Erlin.

„EDR sa už vyvíja na riadenú detekciu a odozvu (MDR) a rozšírenú detekciu a odozvu. Technologické prostredie v oblasti kybernetickej bezpečnosti sa rýchlo posúva a existuje reálne riziko, že agentúry budú musieť implementovať a prevádzkovať nahradenú schopnosť.“