Zero Trust Could Have Limited Pentagon Leak, Navy CTO Says

Neuauflage von Plato

Verfolger: 0

Courtney Albon von C4ISRNET spricht mit einem hochrangigen Technologiebeamten der Navy über die Sicherstellung, dass Kommunikationsnetzwerke zuverlässig, sicher und zuverlässig sind.

WASHINGTON – Der Chief Technology Officer der Marine sagte, wenn das Pentagon es bereits getan hätte implementierte seinen „Zero-Trust“-Ansatz Um seine Informationsnetzwerke zu schützen, hat es möglicherweise ein kürzlich aufgetretenes hochkarätiges vertrauliches Dokumentleck schneller entdeckt.

Die Entdeckung in diesem Monat, dass ein 21-jähriges Mitglied der Massachusetts Air National Guard eine streng geheime Sicherheitsfreigabe hatte möglicherweise Hunderte von geheimen Dokumenten veröffentlicht zu einer Gaming-Website namens Discord hat die Aufmerksamkeit auf die Fähigkeit des US-Verteidigungsministeriums gelenkt, Bedrohungen aus seinen eigenen Netzwerken zu bekämpfen.

Don Yeske, CTO der Marine, sagte am 26. April während der virtuellen C4ISRNET-Konferenz, dass ein Zero-Trust-Ansatz zur Netzwerkverteidigung das Leck möglicherweise nicht verhindert hätte, die zugrunde liegenden Grundsätze der Abteilung jedoch geholfen hätten, die Sicherheitslücke früher zu erkennen.

„Der springende Punkt bei Zero Trust ist, niemals zu vertrauen. Überprüfen Sie immer und gehen Sie von einem Verstoß aus“, sagte Yeske. „Sie beginnen mit der Annahme, dass Ihr Netzwerk kompromittiert wurde, und wenn es nicht kompromittiert wurde, ist diese Kompromittierung unvermeidlich. Insider-Bedrohungen leuchten wie ein Weihnachtsbaum, wenn Sie so vorgehen.“

Das Pentagon veröffentlichte im vergangenen November seine Zero-Trust-Strategie und legte einen Plan vor, um die Grundelemente des „Vertraue niemandem“-Ansatzes bis 2027 umzusetzen. Das Modell erfordert, dass Benutzer und ihre Geräte ständig evaluiert werden.

„Teil dessen, was Sie bei einem Zero-Trust-Ansatz tun, ist, dass Sie bei jedem Zugriff auf ein bestimmtes Asset diesen Zugriff gemäß einer Reihe von Richtlinien auswerten“, sagte Yeske und merkte an, dass er keine über das hinausgehende Wissen über die Untersuchung hat öffentlich gemeldet worden. „Diese richtliniengesteuerte Bewertung hätte meines Erachtens ein Aktivitätsmuster hier identifiziert, bei dem jemand, der ein Netzwerkadministrator ist, jemand, der ein IT-Experte ist, auf diese Art von Informationen zugreift . . . wäre in Frage gestellt worden.“

Als Reaktion auf das Leck gab das Pentagon am 17. April bekannt, dass es einigen Benutzern den Zugang zu streng geheimen Informationen entzogen hat und eine 45-tägige Überprüfung seiner Sicherheitsrichtlinien durchführt. Yeske lehnte es ab zu bestätigen, ob die Marine eine separate Überprüfung eingeleitet hat, sagte aber, der Dienst sei „ein Teil dieses breiteren DoD-Teams“.

Die Marine mache gute Fortschritte bei der Implementierung von Zero Trust und modernisiere ihre Netzwerkumgebung auf der Grundlage der Strategie der Abteilung, sagte Yeske und fügte hinzu, dass die Frist 2027 größtenteils realistisch sei, wenn der Dienst auf Kurs bleiben könne.

„Wir führen weiterhin viele Entwicklungen und Tests in dieser Umgebung durch“, sagte er. „Um 27 oder früher dorthin zu gelangen, müssen wir klug vorgehen, wie wir dorthin gelangen.“

Courtney Albon ist die Weltraum- und neue Technologie-Reporterin von C4ISRNET. Seit 2012 deckt sie das US-Militär ab, mit Schwerpunkt auf Air Force und Space Force. Sie hat über einige der bedeutendsten Akquisitions-, Budget- und politischen Herausforderungen des Verteidigungsministeriums berichtet.