fbpx

Il Dipartimento della Difesa verso l’architettura Zero Trust

Il Dipartimento della Difesa ha pubblicato la sua strategia e roadmap Zero Trust, che spiega come andare oltre i tradizionali metodi di sicurezza della rete per ottenere superfici di attacco ridotte, consentire la gestione del rischio, garantire un’efficace condivisione dei dati e porre rimedio alle attività nemiche nei prossimi cinque anni.

“Zero trust è una architettura per andare oltre l’affidarsi solo agli strumenti di difesa della sicurezza informatica basati sul perimetro e, fondamentalmente, presumere che la violazione si sia verificata all’interno del nostro confine e rispondere di conseguenza”, ha affermato David McKeown, Chief Information Officer ad interim del Dipartimento.

McKeown ha affermato che il Dipartimento ha trascorso un anno a sviluppare i piani per portare la struttura ad un’architettura “zero trust” entro l’anno fiscale 2027.

“Con la pubblicazione di questa strategia abbiamo articolato il “come” si possa indirizzare risultati chiari su come arrivare a zero trust e non solo l’adozione accelerata della tecnologia, come discusso, ma anche una cultura di zero trust al DOD e un approccio integrato a livello di reparto e di componente. Convincere il Dipartimento della Difesa a raggiungere gli obiettivi stabiliti nella Strategia Zero Trust e nella Roadmap sarà un’impresa ambiziosa”, ha affermato McKeown.

Garantisce che il lavoro sarà in gran parte responsabilità di Randy Resnick, che ricopre il ruolo di direttore dell’ufficio di gestione del portafoglio Zero Trust.

Con zero trust, presumiamo che una rete sia già compromessa“, ha affermato Resnick. “E attraverso l’autenticazione e l’autorizzazione ricorrenti degli utenti, ostacoleremo e frustreremo un avversario dal muoversi attraverso una rete e lo identificheremo rapidamente e mitigheremo i danni e la vulnerabilità che potrebbe aver sfruttato“.

Resnick ha spiegato la differenza tra un’architettura zero trust e la sicurezza attuale sulla rete, che presuppone un livello di “fiducia” per chiunque sia già all’interno della rete.

“Se confrontiamo questo con la nostra sicurezza domestica, potremmo dire che tradizionalmente chiudiamo le nostre finestre e porte e che solo chi ha la chiave possa accedere”, ha detto. “Con Zero Trust, abbiamo identificato gli oggetti di valore all’interno della casa e abbiamo posizionato protezioni e lucchetti all’interno di ognuno di questi oggetti all’interno della casa. Questo è il livello di sicurezza di cui abbiamo bisogno per contrastare sofisticati cyber-attaccanti.”

La Strategia Zero Trust e la Roadmap delineano quattro obiettivi strategici di alto livello e integrati che definiscono la strategia adottata dal Dipartimento per raggiungere quel livello di sicurezza. Questi includono:

  • Adozione culturale zero trust: tutto il personale DOD è consapevole, formato e impegnato in una mentalità e cultura zero trust;
  • Sistemi informativi DOD protetti e difesi: le pratiche di sicurezza informatica incorporano e rendono operativa la fiducia zero nei sistemi nuovi e legacy;
  • Accelerazione tecnologica: le tecnologie sono implementate a un ritmo pari o superiore ai progressi del settore;
  • Abilitazione Zero Trust: i processi, le politiche ed i finanziamenti a livello di Dipartimento e componente sono sincronizzati con i principi e gli approcci zero trust.

Resnick ha affermato che lo sviluppo della strategia e della roadmap Zero Trust è stato fatto in collaborazione con la National Security Agency, la Defense Information Systems Agency, il Defense Manpower Data Center, il Cyber ​​Command degli Stati Uniti ed i servizi militari.

Il Dipartimento e i suoi partner hanno lavorato insieme per sviluppare un totale di 45 capacità e più di 100 attività derivate, molte delle quali dovrebbero essere coinvolte dalla struttura e dai componenti come parte del raggiungimento con successo della linea di base o “livello target”, in conformità con l’architettura zero trust entro la sequenza temporale di cinque anni, ha affermato Resnick.

“Ogni capacità, le 45 capacità, risiede all’interno di ciò che chiamiamo livelli ‘target’ o ‘avanzati’ di zero trust”, ha affermato. “Il livello obiettivo DOD zero trust è considerato l’insieme minimo richiesto di risultati e attività di capacità zero trust necessari per proteggere e proteggere i dati, le applicazioni, le risorse e i servizi del dipartimento, per gestire i rischi di tutte le minacce informatiche al Dipartimento della Difesa.”

In tutto il Dipartimento, ogni Agenzia dovrà rispettare l’implementazione del livello target delineata nella strategia e nella roadmap Zero Trust. Ci si potrebbe aspettare che solo pochi raggiungano il livello più avanzato.

“Se sei un sistema di sicurezza nazionale, potremmo richiedere il livello avanzato per quei sistemi”, ha detto McKeown. “Ma il livello avanzato non è davvero necessario per tutti i sistemi là fuori. Abbiamo un obiettivo aggressivo di arrivare al ‘mirato’ entro il 2027. E vogliamo incoraggiare coloro che hanno una maggiore necessità di proteggere i propri dati ad adottare questo livello avanzato”.

Resnick ha affermato che il raggiungimento del livello target di zero trust non equivale a uno standard inferiore per la sicurezza della rete.

“Abbiamo definito l’obiettivo come quel livello di abilità in cui stiamo effettivamente contenendo, rallentando o impedendo all’avversario di sfruttare le nostre reti”, ha affermato. “Rispetto a oggi, dove un avversario potrebbe eseguire un attacco e poi passare lateralmente attraverso la rete, spesso sotto il rumore di fondo del rilevamento”

Entro il 2027, ha affermato Resnick, il Dipartimento sarà pronto a impedire agli avversari di attaccare la rete DOD e ridurre al minimo i danni.

“Il livello obiettivo di zero trust sarà quella capacità di contenere l’avversario, impedire la sua libertà di movimento, non solo di andare lateralmente, ma essere anche in grado di vedere la rete, di enumerare la rete e persino di provare a sfruttare il rete”, ha detto.

Se in seguito sarà necessario di più, ha affermato, i requisiti potranno essere adattati per raggiungere il livello target di conformità.

Fonte US DOD

Articolo precedente

Polo Strategico Nazionale, sottoscritta la Convenzione per l’utilizzo dell’infrastruttura cloud della P.A.

Prossimo articolo

Assegnato dal Pentagono il contratto “cloud”

Lascia un commento

Your email address will not be published.

Latest from Blog

Ultime notizie