Las agencias federales enfrentan nuevos requisitos de ciberseguridad de confianza cero

08:02 13/09/2021 | 3 Lượt xem

Como parte de la orden ejecutiva de ciberseguridad integral (EO) del gobierno de Biden emitida en mayo, la Oficina de Gestión y Presupuesto (OMB) y la Agencia de Seguridad Cibernética e Infraestructura (CISA) emitieron tres documentos de confianza cero la semana pasada. La confianza cero es un concepto de seguridad que “elimina la confianza implícita en cualquier elemento, nodo o servicio y, en cambio, requiere la verificación continua de la imagen operativa a través de información en tiempo real de múltiples fuentes para determinar el acceso y otras respuestas del sistema”, según la EO. .

Desde la perspectiva de un profesional de la ciberseguridad, la confianza cero es un enfoque de seguridad que, entre otras cosas, se basa en rigurosos procesos de autenticación y autorización para proporcionar a los usuarios el acceso necesario a los activos digitales, pero de formas estrictas que limitan el daño en caso de incumplimiento o compromiso. ocurre. La EO hace referencia repetidamente a la confianza cero y guía a CISA y OMB en el desarrollo de iniciativas para incorporar modelos de seguridad de ciberseguridad de confianza cero en todo el gobierno federal.

Los documentos publicados la semana pasada ofrecen versiones preliminares de estos modelos. CISA y OMB los denominan “documentos de orientación técnica y estratégica diseñados para impulsar al gobierno de EE. UU. Hacia una arquitectura de confianza cero”.

La estrategia federal busca una línea de base compartida de madurez inicial de confianza cero

El primer documento es un esbozo de la Estrategia Federal de Confianza Cero para impulsar a las agencias civiles hacia una línea de base compartida de madurez inicial de confianza cero. Se basa en un modelo de madurez de confianza cero articulado por CISA en junio, que se basa en cinco pilares:

  • Identidad basado en el uso de autenticación multifactor “resistente al phishing” en toda la agencia
  • Dispositivos Se rastrea en un inventario de todos los dispositivos operados y autorizados para uso gubernamental para detectar y responder mejor a cualquier incidente.
  • redes segmentado en torno a solicitudes y aplicaciones de DNS cifradas y tráfico HTTPS
  • Formularios Sujeto a pruebas rigurosas, y todas las aplicaciones se consideran automáticamente conectadas a Internet.
  • Datos en una ruta clara y compartida para implementar salvaguardas que hacen uso de la categorización de datos completa. Además, el modelo guía a las agencias para aprovechar los servicios en la nube e implementar el registro comercial y el intercambio de información.

Los comentarios sobre la estrategia de confianza cero deben recibirse el 21 de septiembre. Las agencias tienen hasta el 6 de noviembre para hacer planes para el año fiscal 22-24 para implementar esta arquitectura. Las agencias también deben designar un líder de implementación de arquitectura de confianza cero antes del 7 de octubre.

Una mosca en el ungüento es que, hasta ahora, no hay fondos disponibles para lograr este “dramático cambio de paradigma en la filosofía de cómo proteger la infraestructura, las redes y los datos”. OMB dice que las agencias deben “volver a priorizar” su presupuesto para el año fiscal 22 para cumplir con los objetivos o encontrar financiamiento en otra parte. Las oficinas gubernamentales también deben desarrollar un presupuesto FY23-24 para lograr sus prioridades de confianza cero para ese año.

El modelo de madurez de confianza cero es una hoja de ruta conceptual

El segundo documento es el modelo de madurez de confianza cero de CISA. “Obliga a las agencias a adoptar principios de ciberseguridad de confianza cero y ajustar sus arquitecturas de red en consecuencia”. El modelo de madurez es otra hoja de ruta conceptual para lograr un “entorno óptimo de confianza cero”. Los comentarios públicos sobre el modelo de Madurez de Confianza Cero deben recibirse el 1 de octubre.

La arquitectura de referencia técnica de seguridad tiene como objetivo facilitar la migración a la nube.

El tercer documento es la Arquitectura de referencia técnica de seguridad en la nube, que la administración considera un aspecto esencial para acercar al gobierno a los principios de confianza cero. Orienta a las agencias sobre cómo pueden pasar a la nube de forma segura.

Emitida el mes pasado por CISA en colaboración con el Servicio Digital de los Estados Unidos (USDS) y FedRAMP, la arquitectura de referencia es una guía de migración a la nube de 46 páginas diseñada para permitir a las agencias hacer esta transición de una manera que les permita identificar y detectar mejor, proteger, responder y recuperarse de los incidentes cibernéticos. Los comentarios arquitectónicos deben hacerse antes del 1 de octubre. CISA colaborará con el USDS y FedRAMP para producir una versión posterior de la guía después del período de comentarios.

La falta de financiamiento y la deuda técnica plantean desafíos

Estos documentos son “pasos en la dirección correcta”, dijo la CSO Theresa Payton, CEO de Fortalice Solutions y ex CIO de la Casa Blanca en la administración de George W. Bush. Pero el gobierno federal enfrenta desafíos entre la idea de confianza cero y la realidad práctica donde el caucho se encuentra con el camino.

Uno de los primeros desafíos es la falta de fondos para que las agencias implementen adecuadamente la confianza cero. “Muchas de estas órdenes ejecutivas son mandatos no financiados. Por lo general, una gran cantidad de dinero no cae del cielo. Depende de la Oficina de Administración y Presupuesto comprender las asignaciones que se han asignado para alentar a los departamentos y agencias a asignar fondos previamente asignado a la orden ejecutiva “, dice Payton.

El mayor desafío para las agencias gubernamentales es alcanzar rápidamente el objetivo relativamente nuevo y no alcanzable de inmediato de la confianza cero. “Una de mis películas favoritas es Monty Python y el Santo Grial. La búsqueda de una arquitectura de confianza cero es la búsqueda del Santo Grial”. [that impedes the crusaders’ search for] el Santo Grial es la deuda técnica que enfrentan la mayoría de las empresas y agencias gubernamentales, junto con la escasez de habilidades. “

Payton ofrece autenticación multifactor, que sustenta el pilar de identidad en el modelo CISA, por ejemplo. “Un principio muy básico de confianza cero requiere autenticación multifactor”, dice. “Muchas organizaciones, departamentos y agencias del sector privado no tienen autenticación multifactorial. La idea de apresurarnos a poner en práctica un plan y luego apresurarnos hacia una arquitectura de confianza cero cuando hay varios … La autenticación de factores se ha desactivado durante una década “y aún no se ha adoptado universalmente, lo que ilustra la lentitud de la adopción de nuevas tecnologías de seguridad”, afirma.

Las modernizaciones serán increíblemente difíciles de lograr

Las disposiciones de confianza cero de EO “son todos pasos en la dirección correcta, pero en la práctica y en la ejecución, son increíblemente difíciles de lograr”, dice Payton. “Es muy probable que los sistemas que ya existen para muchos de los departamentos y agencias no se puedan adaptar fácilmente a una arquitectura de confianza cero. Por eso, siempre le digo a la gente que la mejor manera de pensar en la confianza cero es en realidad no confiar, “dice Payton.

“Es un monitoreo continuo de cada conexión en vivo que tiene y nunca confiar en esas conexiones en vivo. Para cada conexión, debe tener transparencia, visibilidad, la capacidad de autenticarse y monitorear continuamente. Combatir los delitos cibernéticos y reducir una superficie de ataque es increíblemente útil, pero también increíblemente difícil de lograr “.

El sector privado también debería revisar los documentos de confianza cero

A pesar de los plazos ajustados, la mayoría de las partes interesadas, incluidas las organizaciones del sector privado, han sabido desde mayo que estos documentos de confianza cero iban a llegar. Los comentaristas deberían estar relativamente bien posicionados para responder, dice Payton.

“Yo recomendaría encarecidamente no solo a los departamentos y agencias, sino a cualquier persona, cualquier organización que se encuentre en una industria vertical donde un departamento o agencia es su supervisión o su regulador también a revisar estos documentos y publicar comentarios”, dijo Payton. “Típicamente [these kinds of requirements] fluirá de un departamento y agencia a organizaciones del sector privado que caen en esta vertical de la industria. “

Copyright © 2021 IDG Communications, Inc.

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang