Sonunda Burada: Pentagon, Bilgisayar Korsanlarını Ağlarından Uzak Tutma Planını Açıkladı
Savunma kurumları, 2027 yılına kadar sıfır güven standartlarını uygulayacak.
Savunma kurumlarının, ağlarını kimsenin erişmemesi gereken verilere erişmediğinden emin olmak için sürekli kontrol eden mimarilere dönüştürmek için 2027’ye kadar süreleri var.
Sıfır güven ilkelerine geçiş , Pentagon’un bilgi sistemlerini siber saldırılara karşı güçlendirmeye yönelik yeni beş yıllık planının merkezinde yer alıyor. Strateji ve yol haritası Salı günü yayınlandı .
Pentagon’un enformasyondan sorumlu başkan yardımcısı David McKeown gazetecilere verdiği demeçte , ajansların oraya ulaşmak için mevcut ortamlarını iyileştirebilecekleri, DOD’un sıfır güven şartlarını zaten karşılayan ticari bir bulutu benimseyebilecekleri veya özel bir bulutun prototipini kopyalayabileceklerini söyledi. Ve bunun uygulanmasına yardımcı olmak için DOD baş bilgi ofisi harcamalarını takip edecek.
McKewon, “Onlardan bir plan yapmalarını isteyerek sorumlu tutacağız” dedi. “Ve bu yetenek planlama kılavuzunun bir parçası olarak… bize geri gelmeleri ve sıfır güvene ne kadar harcadıklarını ve bunun karşılığında ne elde ettiklerini bütçelerinde bize göstermeleri gerekiyor.”
McKeown, doğru kişilerin bilgilere eriştiğinden emin olmak için ekstra kimlik doğrulama adımları dışında, uygulamanın kullanıcı deneyimini çok fazla değiştirmemesi gerektiğini söyledi.
“Veri etiketleme yapıyor olabiliriz ve belirli veri parçalarına erişim, ek kimlik doğrulama gerektirebilir. Ancak kullanıcı günlük işlerini yaparken çok az sürtüşme olmasını tercih ederiz” dedi.
Ancak evrensel bir sıfır güven duruşuna ulaşmanın bir parçası da kimliği, kimlik bilgilerini ve erişimi veya ICAM’ı yönetmektir.
“Departmandaki herkes, kimlik bilgilerini kontrol edebileceğimiz birleşik bir ICAM çözümü kullanmıyor. Bu bir başlangıç noktası olacak” dedi ve sıfır güven kavramları hakkında muhtemelen biraz eğitim olacağını da sözlerine ekledi.
DOD’un 10.000 bilgi sisteminde uygulama ve ürün performansını izlemeyi planladığını söyleyen McKeown, “Her şey tespit edildi mi? Ne kadar hızlı cevap verebiliriz? Çevrede ne kadar hızlı iyileştirme yapabiliriz?”
Siber testler, sistem kurulurken ve otomatik araçlar kullanıldıktan sonra da devam edecek. Ek olarak, sıfır güven uygulaması sırasında ağ güncellemelerinin yapılması bekleniyor.
Savunma Bakanlığı’nın ticari bulut altyapısına artan güveni ve kucaklaması, siber güvenlikle ilgili eleştirilere yol açtı. Ancak McKeown, sıfır güvenin, ister günlük bilgisayarlar, ister silahlar veya endüstriyel kontrol sistemleri olsun, “satıcıların yetenekleri ve bunları yerine getirip getiremeyecekleri hakkında salonda öne çıkan bir tartışma” olduğunu söyledi.
DOD, çok yıllı bir yolculuğun ilk adımı olarak bulut mimarisiyle sıfır güven ilkelerinin pilot uygulamasını başlatacak. Ama başarı verilen bir şey değil.
“Herkes bu sıfır güven kavramları hakkında düşünmeye ve bunları burada departmanda kullandığımız çözümlere dönüştürmeye başlıyor” dedi.
“Aslında ortaya çıkıp çıkmayacağı belli değil. Kağıt üzerinde harika görünüyor. Bulut satıcısına ve kendi analizimize göre, teknik inceleme açısından ulaşılabilir bir şey,” dedi McKeown.
Bilinmeyen, ağa erişmek için tasarlanmış saldırgan siber saldırılara dayanıp dayanmayacağıdır. DOD’un sıfır güven ofisi müdürü Randy Resnick gazetecilere verdiği demeçte, test sonuçlarının “bu bulutlardan kurtulmak istediğimiz sıfır güvenin etkilerini gerçekten alıp alamayacağımızı görmek için” anahtar olacağını söyledi.