Det er null time for null tillit.
Mens konseptet har eksistert i årevis, tikker klokken nå for den føderale regjeringen å implementere det. En Biden-administrasjon forkjempet som en løsning for sikker levering av oppdragskritiske data med kamphastighet memorandum krever at føderale byråer oppnår spesifikke sikkerhetsmål med null tillit innen utgangen av regnskapsåret 2024. Videre er forsvarsdepartementet jobber mot implementere sitt nulltillit-nettsikkerhetsrammeverk innen FY2027.
De gode nyhetene? I møte med eskalerende cybertrusler, data viser 72 % av offentlige etater implementerer allerede null-tillit-sikkerhetsinitiativer. Likevel er det en gjenværende veisperring i horisonten som kan ha alvorlige konsekvenser for nasjonal sikkerhet: standardisering av datamerking.
Dagens tilnærming til datamerking inviterer til risiko
Data lever i forskjellige formater, inkludert strukturerte, ustrukturerte og forskjellige filtyper og klassifiseringsnivåer. For øyeblikket tar byråer sine egne unike tilnærminger til dataoppdagelsesprosessen, og bygger en pipeline for å klassifisere og bestemme tagger – metadatataggene som er tilordnet data for organisasjons- og tilgangsformål. Mange er fortsatt avhengige av manuell merking som er tungvint, mens andre beveger seg mot å utnytte AI- og ML-programvare som tillater adaptiv datamerking.
Selv om det har vært en viss bevegelse mot en standard metode for tagging av dataoverskrifter blant medlemmer av etterretningsfellesskapet, fortsetter kompleksiteten av forskjellig datatypeinnsamling sammen med siled prosesser å resultere i en ineffektiv og usikker modus for datadeling. På tvers av byråer vises sensitivitetstagger i forskjellige felt og formater, noe som gjør dem vanskelige å klassifisere og skaper utfordringer ved håndheving av politikk mellom byråer. Det faktum at det ikke er noen konsistent tilnærming til merking og klassifisering av data – spesielt sensitive data – er en betydelig hindring for null tillitsmodeller.
For eksempel gjør denne mangelen på standardisering det utfordrende for DOD å håndtere datarettighetshåndtering rundt oppdragspartnerinteraksjoner med andre Five Eyes-nasjoner. Etablering av faste merkingsmetoder rundt sensitivitetstagger på et minimum – slik at byråer vet hvor de skal lete, og deretter hvordan de skal gå frem – vil redusere risiko og fremme datasentrisk beslutningstaking.
En all-statlig tilnærming til datamerking
Data er grunnlaget for amerikansk etterretning. Midt i stadig økende antall kommunikasjonskanaler, enheter og åpen kildekode-intelligens, presenterer datafloden vanlige muligheter og risikoer på tvers av den føderale regjeringen. Blant disse risikoene er forestillingen om at data er en verdifull ressurs for nasjonalstatlige trusselaktører som prøver å stjele eller forstyrre tilgangen til dataene.
I møte med utviklende cybertrusler, kan den gamle, forfalskede tilnærmingen til datamerking være problematisk. Hvis offentlig sektor hadde mer konsekvent merking av sensitiv informasjon, kunne automatiserte krypteringsmekanismer implementert for å redusere risiko. Resultatet vil være en pålitelig og risikobasert krypteringstilnærming som vil målrette kryptering for de fleste sensitive data, ikke alle data, i bedriften.
Forsvarsbyråer må samarbeide for å utvikle en enhetlig standard for datamerking som sikrer datatilgang til de som trenger det, samtidig som de beskyttes mot de som ikke gjør det. En datasentrisk sikkerhetstilnærming er avgjørende for å akselerere oppdragsresultater, og en helhetlig tilnærming til datamerkingsformater og metadatastandardisering må sees på som et viktig neste skritt i den føderale regjeringens nulltillitsreise.
Implementere standardisering for å eliminere veisperringer
Forslag for å eliminere denne veisperringen og omfavne en null-tillit-tankegang inkluderer:
- Lær av pilotprogrammer. Kontoret til direktøren for nasjonal etterretning (ODNI), Cybersecurity and Infrastructure Security Agency (CISA) og DOD jobber allerede med forbedringer av datamerking som å etablere klare merkingskrav for å gjøre det enklere å trene AI/ML-algoritmer. Vi kan dra nytte av de som allerede investerer i dette arbeidet, og bruke disse erfaringene til andre instanser.
- Gjennomføre arbeidsøkter. For å sikre en enhetlig tilnærming, bør CISA og DOD Chief Information Officer hjelpe til med å formidle en samtale på tvers av alle føderale byråer, DOD-komponenter og etterretningsfellesskapet ved å samarbeide med hvert byrå og hver komponents dataansvarlige. For at null tillit skal være effektivt, må vi sette i gang alle offentlige arbeidsmøter om dette temaet.
- Prioriter hva som skal standardiseres. Det handler ikke om å koke havet, siden byråer vil fortsette å ha oppdragsspesifikke data – så å prioritere en enhetlig tilnærming til overskrifter og sensitivitetsmerking er et flott sted å begynne. Hovedproblemet bør være å fokusere på formatstandardisering med muligheten til å tilpasse tagger basert på unike oppdrag og byråkrav.
- Utnytt teknologi for godt. AI/ML-verktøy kan bidra til å eliminere menneskelige feil ved å fange opp feilklassifiseringer eller foreslå en endring av et følsomhetsnivå eller -tag basert på hva AI har analysert i dokumentet. Men disse verktøyene er bare så kraftige som datakodene de kan tyde. Derfor må denne all-statlige tilnærmingen også gjelde for å standardisere hvordan disse verktøyene leser og virker på datamerking. Når det er etablert, er det denne teknologien som vil akselerere fremgangen mot nasjonens mål for implementering av null tillit.
Eksisterende nettverks-, data- og kommunikasjonsstandarder som TCP/IP, XML, 802.11 og ODNI-er Klarert dataformat demonstrere at det er en presedens for å sette enhetlige standarder. Ved å etablere slike standarder for datamerking, kan den føderale regjeringen ta et betydelig skritt mot å nå sine null-tillitsmål.
Nå er det på tide å handle.
Ryan Zacha er en Principal Solutions Architect og Michael Lundberg er en visepresident hos Booz Allen Hamilton med fokus på defensive cyberløsninger og null tillitsarkitektur.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.defensenews.com/opinion/2023/11/07/zero-hour-for-zero-trust-how-data-tagging-can-speed-implementation/
- : har
- :er
- :ikke
- :hvor
- 11
- 2024
- 70
- a
- evne
- Om oss
- akselerere
- adgang
- Oppnå
- oppnå
- tvers
- Handling
- aktører
- adaptive
- adresse
- administrasjon
- avansere
- mot
- byråer
- byrå
- AI
- AI / ML
- algoritmer
- Alle
- allen
- tillate
- allerede
- også
- Amid
- blant
- an
- analysert
- og
- og infrastruktur
- vises
- Påfør
- tilnærming
- tilnærminger
- arkitektur
- ER
- rundt
- AS
- tildelt
- At
- Automatisert
- basert
- Battle
- BE
- vært
- nytte
- mellom
- Biden
- Biden Administrasjon
- megler
- Bygning
- men
- by
- CAN
- utfordringer
- utfordrende
- forkjempet
- endring
- kanaler
- sjef
- sjef dataansvarlig
- CISA
- klassifisering
- Klassifisere
- fjerne
- klokke
- samling
- Felles
- Kommunikasjon
- samfunnet
- kompleksitet
- komponenter
- konsept
- Bekymring
- konsistent
- fortsette
- fortsetter
- Samtale
- kunne
- Opprette
- kritisk
- tungvint
- I dag
- tilpasse
- cyber
- Cybersecurity
- Cybersecurity and Infrastructure Security Agency
- dato
- data tilgang
- datadeling
- dechiffrere
- avgjørelse
- Beslutningstaking
- Forsvar
- defensiv
- levere
- demonstrere
- Avdeling
- Forsvarsdepartementet
- utplassert
- utplasserings
- Bestem
- utvikle
- Enheter
- forskjellig
- ulik
- vanskelig
- dire
- Regissør
- Funnet
- Avbryte
- dokument
- DoD
- ikke
- hver enkelt
- enklere
- Effektiv
- eliminere
- eliminere
- omfavner
- kryptering
- slutt
- håndheving
- sikre
- sikrer
- Enterprise
- feil
- spesielt
- avgjørende
- etablert
- etablere
- stadig økende
- utvikling
- eksempel
- øyne
- Face
- Faktisk
- Federal
- Føderal regjering
- Felt
- filet
- skatt
- fem
- fokusering
- Til
- format
- Fundament
- Rammeverk
- fra
- videre
- FY
- Mål
- god
- Regjeringen
- offentlige etater
- flott
- HAD
- Hamilton
- Ha
- overskrifter
- hjelpe
- horisont
- time
- Hvordan
- Hvordan
- HTTPS
- menneskelig
- if
- bilder
- iverksette
- gjennomføring
- implementere
- implikasjoner
- forbedringer
- in
- inkludere
- Inkludert
- ineffektiv
- informasjon
- Infrastruktur
- initiere
- initiativer
- usikker
- Intelligens
- interaksjoner
- investere
- inviterer
- IT
- DET ER
- reise
- jpg
- Vet
- maling
- Legacy
- Nivå
- nivåer
- utnytte
- i likhet med
- Bor
- Se
- Hoved
- gjøre
- GJØR AT
- Making
- ledelse
- håndbok
- mange
- merking
- mekanismer
- medlemmer
- metadata
- metode
- metoder
- Michael
- Tankesett
- minimum
- Oppdrag
- ML
- Mote
- modeller
- mer
- mest
- bevegelse
- flytting
- må
- nasjonal
- nasjonal sikkerhet
- Nasjoner
- Trenger
- nettverk
- nyheter
- neste
- Nei.
- Forestilling
- nå
- tall
- hindring
- hav
- of
- Office
- Kontor for direktøren for National Intelligence
- Offiser
- OKTA
- on
- gang
- bare
- åpen kildekode
- Muligheter
- or
- organisasjons
- Annen
- andre
- Utfallet
- utfall
- egen
- sammen
- partner
- pilot
- rørledning
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- politikk
- kraftig
- Presedens
- gaver
- president
- Principal
- prioritering
- fortsette
- prosess
- Prosesser
- programmer
- Progress
- beskytte
- offentlig
- formål
- forfølge
- Lese
- redusere
- pålitelig
- avhengige
- gjenværende
- Krav
- Krever
- ressurs
- resultere
- rettigheter
- Risiko
- risikoer
- s
- sektor
- sikkert
- sikkerhet
- søker
- sett
- sensitive
- Følsomhet
- sesjoner
- sett
- innstilling
- deling
- bør
- signifikant
- siled
- So
- Software
- løsning
- Solutions
- noen
- spesifikk
- fart
- Standard
- standardisering
- standardisert
- standardisere
- standarder
- Begynn
- Trinn
- Still
- strukturert
- slik
- TAG
- Ta
- Target
- Tcp / ip
- tech
- Teknologi
- Det
- De
- deres
- Dem
- deretter
- Der.
- derfor
- Disse
- de
- denne
- De
- trussel
- trusselaktører
- trusler
- tikkende
- tid
- til
- sammen
- verktøy
- Tema
- mot
- Tog
- Stol
- typen
- typer
- oss
- enhetlig
- unik
- Verdifull
- ulike
- vice
- Vice President
- we
- Hva
- når
- hvilken
- mens
- HVEM
- vil
- med
- innenfor
- Arbeid
- arbeide sammen
- arbeid
- ville
- XML
- år
- år
- ennå
- zephyrnet
- null
- null tillit