自动授权:联邦的新“流”服务

在你说“不,”联邦网络安全专业人士之前,听到我们。从致命武器2中借一条线,“来吧,说是的!是原创的,其他人都说'否。'

即使围绕效率和现代化的所有讨论,典型的认证和认证(C&a)过程需要六个月,成本超过100,000美元。对于较大的IT系统,将这些总数加倍并非如此。拥有大量组织,此过程每六个月更新一次,然后为每个系统进行一次每三年重做。因此,在五年期间,认证和认证系统可以花费超过500,000美元。哇,这是很多钱!

随着攻击表面的增加,每年导致数百万的新威胁,部分更新C&每六个月一次,重新调解一些行动和里程碑,并每三年更新所有文档,不会,不会让坏人留出联邦网络。

在过去的15年里,在过去的15年里,在过去的15年里,仍然是仍然是管理联邦IT系统的主要手段时,这一合规过程是非常需要的。大型机,客户端服务器和早期的三层架构统治当天,最终闪烁的这项新技术称为虚拟化。网络安全是一个事后,意味着在过程结束时建立一切和网络上的网络。将典型系统从采购中移动到实施需要数年。现在可以在几分钟内提供服务器,甚至是应用程序,并且在一个月内可能会发生第一个版本。时代和技术发生了变化,但更新和采用显着滞后。

郁闷?不要,有一些帮助。最新的 风险管理框架 已发布评论,800名NIST出版物中的一些也正在修订。国土安全部署持续诊断和缓解计划正在联邦机构推出,为其网络上的应用程序和系统提供了增加可见性和分析能力的机会。既然我们开始撰写本文,20个新的网络公司已进入美国市场,这将有助于根据威胁,漏洞和减轻费用来帮助更好地识别网络威胁,量化和资格性风险。最伟大的思想是集体更新指导和谈话在数字中增长......为什么我们仍然没有广泛地考虑自动化安全控制和授权的想法?

从技术角度来看,乐高碎片在盒子里开始建造千年猎鹰。在Fisma合规性方面,今天的联邦CIO,CISO和计划管理人员可以访问70多个FEDRAMP认证的FEDRAMP提供商,其中包括高控制力。 Devsecops的早期采用者在并携带保证专业人士并将网络安全性和嵌入式网络中的留到安全自动化工作负载的DNA中,从开发到生产。每个级别的自动化是可能的,并且可以利用以实现以前与人类实现的过程不可用的保证和可靠性。

它是完美的吗?不。没有什么是。这不是完美,相当风险管理和负责任的演变。该工具位于工具箱中。

那么,机构如何开始?关键任务大型机怎么样?啊,不。那么,一些虚拟服务器上的FIPS中频系统如何?关闭,但不是完全。让我们从“净新”的中等级数据系统开始。甚至更好,如果您可以利用进入的现代化政府技术(MGT),以实际重新考虑业务流程/应用程序,而不是将与新环境相同的更优于优化的流程,并称之为现代化。

有资格的一些标准:这是一个新的项目,而不是对旧系统的螺栓增强。必须托管在Fedramp云提供商中。与您的安全运营和政策专业人员合作,尽可能自动化,包括您的安全控制。应使用Good Devsecops最佳实践提供开发环境。确保在最低的代码级别嵌入网络卫生和分析。泡沫,冲洗,重复测试。然后,一旦满足应用程序和网络就会正确地实现,亮起生产。重复,成功的关键是所有利益攸关方之间的合作伙伴关系,包括业务和政策专业人员…利益相关者参与。

β被VHS赶上了。 VHS被Blockbuster吸了。 Blockbuster由Redbox滚动。 Netflix,Amazon和Hulu,使用手机和宽带拿出了Redbox。传统联邦C.&一个过程,符合自动授权。因此,对于传统的认证和认证过程,“我们要忙了。”我们不能同意更多的SGT。穆尔特。

Rob Palmer是私人和公共部门客户提供网络安全服务公司的私营企业的执行副总裁兼首席执行官。帕尔默是一个前高级高级高级主管,与国土安全部(DHS),最近担任首席技术官和战略技术管理执行董事的立场。
Keith Trippie是一个退休的DHS IT执行和企业家。他是Shop4Clouds,数字营销平台和Urmuv,一个邻里发现应用程序的创始人。他还推出了Gotursix电视,这是一个数字媒体平台,分享现役,退伍军人和军用配偶的个人故事。