(26 января 2022 г.)

Управление управления и бюджета США (OMB) опубликовало федеральную стратегию архитектуры нулевого доверия. Стратегия требует, чтобы федеральные агентства «соблюдали определенные стандарты и цели в области кибербезопасности к концу 2024 финансового года». Требования включают использование надежной многофакторной аутентификации; «создание надежных реестров активов посредством участия в программе непрерывной диагностики и смягчения последствий (CDM) CISA»; и «аудит доступа к любым данным, зашифрованным в состоянии покоя в коммерческой облачной инфраструктуре». 

 Примечание  

По сути, причиной нулевого доверия является то, что устаревшая модель защищенного периметра с (многими) определенными точками входа и выхода недостаточна для предотвращения атак современных противников. Исполнительный указ (EO 14028) требовал, чтобы агентства имели план реализации нулевого доверия. В этом меморандуме добавлено требование к агентствам использовать эти планы в течение 60 дней, а также определить реализацию стратегии нулевого доверия в течение 30 дней после меморандума. Меморандум имеет широкое влияние не только на аутентификацию, но и требует более основательного тестирования приложений, шифрования DNS, шифрования внутренних HTTP-соединений, комплексной защиты данных и многого другого. В этом меморандуме представлен хороший набор мер безопасности, которые следует учитывать независимо от государственного или частного сектора.По мере перехода вашей архитектуры от традиционной локальной к облаку и нулевому доверию убедитесь, что ваши средства защиты и обнаружения также развиваются. Если вы не можете обнаружить распыление паролей и злоупотребление личными данными, вы не можете быть лучше. Также: многофакторная аутентификация для всего! 

Агентства должны пересмотреть и применить аналогичные рекомендации, чтобы соответствовать планке, установленной OMB.Я всегда думаю об определениях, когда читаю такие заголовки. Многие будут утверждать, что MFA сам по себе не является нулевым доверием. Знаем ли мы, с каким определением архитектуры нулевого доверия мы будем работать сегодня?Изоляция нужна между системами и процессами, а также контроль доступа с минимальными привилегиями, и они нужны нам сейчас, а не через два года. Постановка цели на 2024 год эквивалентна предоставлению лицензии на принятие риска (например, что скрытый бэкдор в любом месте организации подвергает риску всю организацию) до тех пор. 

Компоненты стратегии 

Стратегия придерживается пяти ключевых столпов, ранее изложенных и определенных Агентством по кибербезопасности и безопасности инфраструктуры, и дает агентствам до конца 2024 финансового года для достижения конкретных целей нулевого доверия. 

Он призывает к следующим действиям в следующих областях: 

•Идентификация: сотрудники Агентства будут использовать устойчивые к фишингу MFA для защиты персонала, управляемого предприятием, от «изощренных онлайн-атак». 

•Устройства: Федеральные агентства проведут инвентаризацию всех устройств, которыми они управляют, и разрешат их использование государством. 

•Сети: агентства будут шифровать все DNS-запросы и HTTP-трафик в своей среде и начнут выполнять план по разбиению своих периметров на изолированные среды. 

•Приложения и рабочие нагрузки: Агентства будут рассматривать все приложения как подключенные к Интернету и регулярно подвергающиеся «тщательному эмпирическому тестированию» и будут «приветствовать внешние отчеты об уязвимостях». 

•Данные: Агентства будут следить за тем, чтобы они находились на «четком общем пути для развертывания средств защиты, использующих тщательную категоризацию данных». Кроме того, агентства будут использовать облачные службы безопасности для мониторинга конфиденциальных данных и внедрения ведения журналов и обмена информацией в масштабах предприятия.