انتشار شده در تاریخ 1403/04/11 - 20:14

پنتاگون به دنبال آزمایش ابزارهایی برای انطباق با اعتماد صفر

دفتر برنامه اعتماد صفر وزارت دفاع ایالات متحده می گوید که در حال کار بر روی ایجاد گواهینامه مستقل و داخلی ابزارهایی است که از درهای آن عبور می کنند تا اطمینان حاصل شود که آنها در واقع به همان اندازه که ادعا می کنند، از امنیت سایبری برخوردار هستند.

به گزارش کارگروه بین الملل خبرگزاری سایبربان، رندی رسنیک، مدیر دفتر مدیریت پورتفولیوی اعتماد صفر (Zero Trust) در پنتاگون، بیان کرد که ایجاد یک فرآیند استاندارد و چند مرحله‌ای برای اطمینان از انطباق با اعتماد صفر، به وزارت دفاع در مورد آنچه خریداری می‌کند اطمینان خواهد داد.

این ارزیابی بدان صورت آغاز می شود که مطالعه کلی از طراحی امنیت سایبری را ارائه دهد و مناطقی را مشخص کند که توسعه دهندگان می توانند شکاف ها را در اوایل فرآیند برطرف کنند.

رسنیک در کنفرانس سایبری تک نت (TechNet) که توسط انجمن بین‌المللی ارتباطات و الکترونیک نیروهای مسلح ارائه شد، اظهار کرد:

شما واقعاً نمی‌توانید آن را بازی کنید، زیرا 250 سؤال است، و به احتمال زیاد باید روی بسیاری از آنها دروغ بگویید تا نتایج را تغییر دهید. دانستن این موضوع مفید است زیرا در این صورت می‌توانید هر کاری را که برای رسیدن به هدف باید انجام دهید، طراحی یا مهندسی یا اصلاح کنید.

دفتر ارشد اطلاعات پنتاگون سال 2027 را به عنوان سالی برای هماهنگی کامل این وزارتخانه با اعتماد صفر می داند.

قبلاً یک نقشه راه برای انجام این کار ارائه به نام استراتژی ZT از سال 2022 ارائه شده است که به گفته رسنیک، بعید است به روز شود.

در عوض، دپارتمان بر یافتن راه هایی برای آزمایش مطمئن طرح های خود برای امنیت در برابر آسیب پذیری ها متمرکز شده است.

این دپارتمان برنامه‌های ZT را از خدمات و سایر آژانس‌های وزارت دفاع دریافت کرده است، اما اکنون به دنبال فرآیندی خودکارتر و قابل تکرار برای ارزیابی آن‌ها است تا ساعات کار را آزاد کند و به سرعت تهاجمی ادامه دهد.

پس از ارزیابی اولیه، رسنیک عنوان کرد که سپس یک ابزار، شبیه‌سازی را انجام می‌دهد که در واقع نقاط ضعف را آزمایش می‌کند و بازخوردی را به تعداد دفعات مورد نیاز برای رفع حفره‌ها ارائه می‌دهد.

سپس، ابزار باید از طریق یک گزارش، "تیم بنفش" که نتیجه حملات تدافعی و تهاجمی به سیستم را خلاصه می کند، مرور کند.

رسنیک تصریح کرد:

ما در حال آزمایش برای نتایج خاص ZT به عنوان هر بخش از مرحله آزمایش هستیم. این فقط یک آزمایش تصادفی برای تیم قرمز نیست. این در واقع بسیار دقیق است، بسیار دقیق در مورد آنچه که ما می خواهیم تیم بنفش به دنبال آن باشد تا ثابت کند که یک پیکربندی اعتماد صفر است. این فرآیند به خوبی ترسیم شده است، اما برخی چالش ها در تحقق آن وجود دارد. بزرگترین محدودیت ما کمبود متخصصان تیم بنفش است. ما استعداد کافی نداریم. ما افراد کافی نداریم. آنها ماموریت های دیگری دارند که باید انجام دهند.

رسنیک گفت که برای تسریع طراحی ها از طریق تیم های بنفش، می خواهد راهی برای کمک گرفتن از صنعت و آزمایش در یک محیط خنثی با حداقل هزینه پیدا کند.

او در ادامه افزود که فکری برای آوردن پرسنل ذخیره چند جزئی یا گارد برای انجام برخی وظایف تیم بنفش وجود داشته است، اما آنها باید مورد تایید آژانس امنیت ملی باشند، و یافتن این کار دشوار است.

هدف نهایی استفاده از فناوری و اتوماسیون برای ایجاد فرآیندهای قابل تکرار و کارآمد است که در نهایت منجر به امضای یک مسئول بخش از راه حل ZT می شود که دارای پشتوانه کاملاً آگاهانه است.

او در پایان اذعان کرد:

این دروازه‌ای است که به قطعات اجازه می‌دهد مطمئناً راه‌حل‌های هدف یا سطح پیشرفته ZT را قبل از سال 2027 تهیه کند. ما می‌خواهیم به بخش اجازه دهیم تا از فهرستی از راه‌حل‌ها انتخاب خود را انجام دهد تا خطر کار نکردن چیزی که می‌خرند را کاهش دهیم.