据一位高级官员称,美国国防部正在加紧其网络安全工作,专门开设的零信任办公室将于下个月开放。
领导层对零信任的支持有助于加速开放,这在一定程度上可以被视为对SolarWinds 活动的回应,在该活动中,九个联邦政府部门受到俄罗斯间谍的侵害。五角大楼首席信息官大卫麦基翁说:“我们已经加倍努力,在内部争取以更快地方法解决这个问题。”
“我们正在组建一个投资组合管理办公室,它将合理化所有网络环境,在未来五、六、七年内对每个网络环境进行优先排序并将其置于零信任的道路上。”
拜登总统5 月份发布的加强联邦政府网络安全的行政令,要求每个机构的负责人在 60 天内制定实施零信任架构的计划。该计划应包含 NIST 推荐的最佳实践迁移步骤,以及“描述已经完成的任何此类步骤,确定将对安全产生最直接影响的活动,并包括实施这些步骤的时间表。”
Appgate 的高级研究员 Felipe Duarte 认为,一旦初始漏洞发生,零信任对于防止攻击者在网络中横向移动至关重要。“只有通过对网络进行分段并假设所有连接都可能受到威胁,才能检测到网络中的入侵者”他补充道。
“零信任需要在核心基础设施中实施。我们必须对尝试连接到网络中的任何设备进行配置,使用多因素身份验证来确保凭据不被泄露,将网络分段创建隔离边界,最重要的是,仅提供对用户或系统需要的访问权限。”
据悉,早在今年9月初,美国管理与预算办公室(OMB)发布了《美国政府向零信任网络安全原则的迁移》报告,美国国土安全部(DHS)网络安全和基础设施安全局(CISA)发布了《零信任成熟度模式》、《云安全技术参考架构》两份报告。三大文件公开征集意见,共同组成联邦各级机构的网络安全架构路线图,以支持今年5月拜登总统签署发布的关于加强联邦政府网络安全的行政令。
