关键国防部机构如何保护数字身份

五角大楼军事防御国防部

数字身份正在成为当今跨公共部门的联系基础设施的越来越重要的要素。通过过去一年的遥控工作增长提升,保护其诚信是确保关键IT系统和机密政府信息的关键。

但随着最近的Solarwinds违约所示,损害的身份和特权访问的操纵为网络犯罪分子提供了一种途径,以获得基础设施和数据,具有广泛的范围和严重的后果。

随着Solarwinds事件被广泛描述为对美国的网络安全威胁的“流域”,很明显,许多现有的数字身份安全方法严重缺乏。的确,微软 描述 去年12月的事件是一个需要“强大和全球网络安全的时刻”的“时刻”。

因此,现在将注意力集中在政府组织如何更有效地提供安全可靠的身份和访问管理(IAM)。然而,由于公共部门加速了数字和外部基础设施,服务和访问的努力,数字身份暴露于进一步的风险。

但是什么是IAM和为什么重要? IAM是使合适的个人或非人体实体(机器身份)能够获得正确的资源的纪律,以获得正确的原因。在此过程中,它解决了关键任务,以确保适当地访问越来越多的异构技术环境,并满足越来越严格的合规性要求。

随着这些关键问题在比赛中,势头已经在华盛顿收集了主要的法律和监管变革,以更好地保护政府组织和成员。例如,如果通过,即2020年的改善数字身份证将指导国家标准和技术研究所(NIST),以跨政府机构创建新的数字身份核查服务标准。

虽然政府和负责设计和警务标准的人的积极方法是数字身份更安全的未来的关键,但也需要更加严谨的多层网络安全策略,这些策略不依赖于单一的保护解决方案。

具体而言,随着传统网络周边溶解在政府部门及更远的地方,旧的“信任但验证” - 必须丢弃依赖明确的边界 - 必须被丢弃。相反,默认方法必须关注零信任,或换句话说,“从不信任,始终验证,从网络外部或外部验证特权访问权限的特权访问。

在这样做的是,特权访问管理(PAM)是IAM的一个关键组件,可以安全地保护网络并防止我们在头条新闻中读取的基于身份的网络攻击种类。 Forrester Research估计,80%的数据泄露涉及特权凭证滥用。如果2021年最终被视为公共部门网络安全的流域时刻,并且特别是对数字身份的保护,组织应基于验证谁请求访问,请求的内容以及访问的风险来授予最少的特权访问权限环境。

但是帕姆在政府工作中的应用如何在实践中?国防部内的机构(DOD)的经验提供了一些有趣的洞察力。

在国防部使用特权访问管理

在90年代后期,国防部采用了一个标准的识别公共访问卡(CAC),其中包含一个支持公钥基础架构(PKI)凭证的计算机芯片作为其标准识别凭证。 2005年,国防部要求在整个网络中使用CAC进行初始用户工作站身份验证,以及基于Web的应用程序。虽然使用令牌大大提高了初始登录的安全性,但管理员的权限高度仍然以纯文本用户名和密码完成。

当一个机构在国防部审核其进程并发现特权用户身份验证和特权高度仍然正在使用用户名和密码进行 - 在整个部门创建特权蔓延 - 警报铃声脱落。 U.S. Cyber​​命令发布了一个识别问题的通信任务顺序,描述了解决它所需的行动,给出了完成截止日期,并开始实施报告结构以确保合规性。

最关键的要求之一是集中与身份验证相关的所有帐户信息。该团队对市场进行了调查,以确定潜在的供应商和解决方案。在评估可能符合其要求的少数解决方案之后 - 包括实验室和基础设施在实验室中的广泛功能和安全测试 - 基于功能,成熟度和对产品的现有熟悉选择。

在实施之前,该机构在许多系统中有数十个不同的身份存储库以及本地帐户商店,以及一个完全独立的基础架构,旨在支持Linux服务器。当有人希望在这些系统中的任何一个都有特权时,创建了一个新帐户,用户名和密码。

由于管理员需要跨多个系统访问,因此结果是身份蔓延。今天,该部门对其整个基础设施进行了重大升级,包括在线,自动化的特权方法。

机构员工现在被配置为Active Directory一次。如果他们需要提升特权,他们可以快速,轻松地配置和取消,以最小的人为干预。虽然主要驱动程序是安全性,但自动化PAM导致了相当大的节省成本。它用单个帐户和单个认证方法替换了多个帐户,用户名和密码。现在可以在没有复杂性,风险和等待时间的情况下执行任务。这具有简化的日常运营,并获得了更透明的系统。

为保护由政府实体及其关键任务系统携带的经常保密信息,必须优先考虑数字身份安全性。虽然已经在去年报告了资本驱动的政府机构违规行为,但在国防部采取行动通过集中识别和最低特权方法采取行动,审议关键机构是积极的。在这个例子和NIST标准前进,希望越来越多的机构将遵循西装。

关于Bill O'Neill.
比尔奥尼尔是Centrify的公共部门副总裁。奥尼尔在政府IT社区中活跃,担任AFCEA-DC执行咨询委员会主席。他担任AFCEA-DC总裁,作为TechAmerica公共部门的董事会成员。