美国NAVY发布首份网络战略

          

美国NAVY发布首份网络战略

美国Navy在零信任方面“引领美国DOD”

“零信任是一种思维方式的转变，它不是解决所有问题，我们永远不会到达那里，大多数安全技术都与零信任相称或支持零信任。如果这为接近安全提供了北极星或一般思维方式，那就是它的价值所在。你永远不会到达完整的零信任终点线，或许只是一种信仰。”

       华盛顿 - 2023年11月21日，美Navy部长卡卡洛斯·德尔·托罗发布了首个美Navy网络战略。

  该战略有七个不同的工作方向，重点是根据国防战略和美DOD网络战略加强Navy军种的网络态势。    

  卡洛斯·德尔·托罗部长表示：“这项首个战略建立在多年全球网络领域运营经验教训的基础上。”“我们致力于积极增强我们的网络事业，同时促进与我们的盟友和伙伴的合作与协作。”

  美国Navy首席网络顾问克里斯·克利里表示:“我们的战略重申了我们对网络空间卓越作战的承诺。”“我们优先考虑保护我们的网络企业和数据，同时在全球范围内开展和促进网络运营。”

综合威慑

  强调通过拒绝、弹性和成本征收作为支持综合威慑的方法。拒绝威慑需要对成熟、高价值资产进行投资，同时改善非动力效应的整合。通过零信任架构、深度防御、现代加密能力和增强、内部威胁预防和防御性网络操作，我们可以保护拒绝策略所需的高价值资产，并防止对手破坏我们的优势。恢复力威慑定义为抵御、对抗破坏并从破坏中迅速恢复的能力，要求加强优先网络、关键基础设施、武器系统和平台的网络空间防御。

7个工作重点

改善和支持网络劳动力

概述：改善和支持网络劳动力是该战略成功的基础。加大招聘力度，吸引全国顶尖网络人才，改善劳动力管理，加强网络人才发展，加强留用工作，提高员工的网络安全意识。

从合规性转向网络就绪性

概述：因为我们对合规性的过度依赖导致系统不安全，从而危及这些系统支持的任务。美DOD将不再采取合规思维，而是转变到网络就绪，每天都可以赢得和管理运营权。美DOD将通过坚持与行动相关、威胁知情的流程来实现这一转变，以经济实惠的方式降低风险和产生的能力在快速交付后仍然保持安全。与此同时，卫生部将进行一些改革，以减轻负担并提高效率的合规要求。为了实现这一目标，美DOD将与相关的内部和外部利益相关者合作，实施多项子项目，包括始终如一地衡量风险，转向"网络货币"思维并使洞察力民主化，定期进行对抗性评估，进行采购变革，为员工队伍做好准备。         

保护企业信息技术、数据和网络

概述：除了"网络空间优势愿景"中的安全支柱和"信息优势愿景"中概述的众多优先领域外，保卫企业信息技术、数据、网络和信息系统也是拒绝威慑战略的基础。正如美DOD零信任架构战略所指出的，对手正在网络中，渗出数据，并利用美DOD的用户。为解决这一问题，美DOD将开展多项举措。

（1）识别和管理IT资产

（2）部署创新保护措施来保护我们的系统

美DOD将实施零信任并继续部署Navy身份服务支持零信任的DON身份、凭证和访问管理 (ICAM) 解决方案。直到零信任完全在零信任不可行的环境中，我们将通过深度防御和分段来防止网络泄露，并在适当的情况下继续应用深度防御。    

（3）快速发现网络安全事件

（4）快速应对网络安全事件         

PS:读者看到这里不要轻易去学，首先看自己是否保持战略定力，建立零信任文化和有足够的Money。可以阅读历史文章如下：

DOD零信任战略及相关资讯（终章）

为什么Navy小组成员曾经说道，在零信任方面“引领美DOD”？

解释一下NIS：Navy身份服务，是Navy较为成熟的领域。

是计划中的DON Enterprise ICAM解决方案。在2020财年(FY)，美国Navy通过展示一套集成的COTS产品，成功地构建了 Program Executive Office Digital 的NIS原型，这些产品提供了可扩展到Navy企业服务的ICAM功能。该原型还解决了与Navy企业资源规划（Navy ERP）系统的身份和访问管理相关的发现和建议通知（NFR）缺陷。在2021财年，NIS将为Navy ERP 系统提供身份和特权访问管理的初始操作能力。其他细节将随之而来，包括与DISA计划保持一致，加入Navy ERP以外的其他应用程序，以及将DON优先功能推广到延迟/断开连接、间歇连接等。    

PS:读者看到这里不要轻易以为So Easy，建议阅读ICAM参考架构。

          

【下一篇的下一篇笔者可以介绍上图里面的一项应用技术】    

2022年，Navy企业网络和网络安全部 (N2/N6D) 副主任斯科特·圣皮埃尔表示，零信任的范围很广，Navy现在正在努力缩小最重要的要素，以将其工作重点放在.“DOD提出的指导方针指出了七大支柱、45项活动和90项属性。将提供零信任的这些属性和活动的正确组合是什么？答案是：我们还不知道”， “我们在接下来的几年里要做的大部分工作是弄清楚零信任在技术上到底意味着什么。”St. Pierre 说道。           

但零信任并不是什么新鲜事——Navy部副首席技术官 路易斯·科普林表示，该服务部门正在从现有的位置开始，并首先关注零信任的最重要组成部分。“零信任最重要的两个方面是身份和数据”科普林说。“所以这就是我们关注的地方。”

Koplin解释说，该服务最近将Navy身份服务（NIS）作为其企业身份、凭证和访问管理解决方案。Navy开始在其企业资源规划和侧翼速度计划中大规模部署 NIS ICAM 解决方案。“Flank Speed 已经内置了显着的零信任能力，并且确实在整个美DOD中处于领先地位，以证明这些能力已经成熟，而且我们不必‘大爆炸’。我们可以循序渐进，尝试一点、做一点、学一点，这样我们就有了可扩展和可持续的技术现代化，”

Punch 提到，Navy在 2019 年与领先的行业合作伙伴举行了一次零信任会议，这为Navy官员提供了一个重要的论坛，以更好地了解他们的旅程、错误和经验教训。此外，Navy正与美DOD的零信任组合管理办公室密切合作。

Punch 评论说：“我们实际上在Navy和美DOD之间共享了很多东西，以帮助了解零信任工具的成功定义”。“在过去的20年里，我们一直专注于边界和防火墙——网络外部的传感器，并且真正将所有东西都封闭在里面。现在，我们正在翻转这个脚本，我们希望看到其属性整个网络从外向内看。我们希望了解这些界限，以便我们了解基线是什么以及它们如何化。”。

零信任将利用我们在身份管理和ICAM现代化下所做的所有前期工作。

换句话说，没有成熟的ICAM，零信任不稳当。也可以说零信任思维利用了成熟的ICAM而滑入了零信任，即身份零信任。

2023年11月17日，美国Navy代理首席技术官表示：“我们相信，我们拥有第一个零信任目标状态。”Navy已提前数年 实现了“目标级”零信任目标。

从广义上讲，零信任是一种网络安全概念和框架，它假设网络从一开始就受到损害，并且它需要不间断的监控和持续的身份验证，以保护关键的国家安全信息。美DOD的目标是到2027年部署并运行这样的架构。其战略列出了实现零信任的“目标”和“高级”水平。目标级别标志着组件必须满足的最低91项功能结果，以确保它们充分保护并持续保护数据。

零信任是一个介于流行词和未来几年的愿望之间的东西。据Navy IT负责人称，对于Navy来说，这已成为现实。这并不是说工作已经完成，甚至接近完成。例如，零信任模型尚未进入机密网络以及大部分舰艇。但官方表示，对于其企业网络上的绝大多数用户来说，他们至少已经实现了零信任架构的基本基础，并且该架构将随着时间的推移而继续发展。Navy能够如此迅速地进行大规模实施（大部分工作在过去一年内完成）的一个原因是，该军种严重依赖于已经融入到Flank Speed中的安全工具和架构，以及Navy实施Microsoft 365。其中一个重要变化是可以为网络防御者提供有关云环境内发生的情况的更相关的实时数据，以便Navy可以从以网络为中心的安全态势转向更多数据的数据安全态势。

          

美好的愿景重视让人充满期待，但事实并非如此:

   

当实施严格的零信任协议时，“事情就会停止运转”。这很好，因为故障意味着任何试图访问该机构网络的应用程序或设备都不符合DIA的新合规标准。在所谓的“遵守连接”范例下，只有使用经过批准的安全措施的应用程序才能连接。

某首席信息官表示，根据“遵守连接”计划，不符合标准的应用程序和设备将无法连接到该机构的网络。他解释说，非连接实例证明零信任实施正在发挥作用，并补充说，干扰为遵守连接范例提供了独特的机会。零信任实施使美DOD IT专业人员能够解决超出FIVE大楼企业基线范围的硬件和软件问题。

零信任失败的原因，笔者观点如下：

1、零信任计划不会因为实施它的技术不存在而失败，之所以失败，是因为网络防御者没有在人员和流程方面分配足够的资源来管理它们。

2、没有零信任文化，零信任不仅仅是身份管理，我们需要一个团队来创建流程。错误认为零信任是一种安全产品，甚至OOB。

3、盲目自信而沉不下心，给自己设定了一项艰巨的任务，觉得可以复制经典，而不是从0开始。

4、最后一点，钱和人的不到位导致从战略宣称到战略摇摆再到战略塌方。

确保国防关键基础设施和武器系统的安全

概述：Navy和Navy陆战队依靠关键基础设施来投射力量、维持远征行动，并通过拒绝和复原战略来有效遏制侵略。虽然在没有同行竞争者的情况下，基础设施足以满足军事机动的需要，但战略竞争的现实要求Navy陆战队根据《国家网络安全战略》迅速提高安全性和复原力基准。将加倍努力实施正在取得成果的现有计划和举措。包括培训人员进行应对、恢复和防御，扩大业务技术和工业控制系统的可见性和安全性，确保武器系统和平台的安全，实现现代化和创新，加强复原力，利用新兴技术，如量子计算和人工智能，并迅速采用最有前途的解决方案。将与研发界和商业伙伴合作，分享我们的网络安全需求、评估解决方案、试点能力、提供反馈，并将最佳解决方案过渡到业务中。通过将快速实验机会、政策考虑、激励结构和风险承受能力正确结合起来，现有投资可以加速和扩大最有前途和最有益的新兴能力。

开展并促进网络行动

概述：发展有效、可靠、负责和可控的网络能力是一个有意识的过程，需要大量的时间、资源和人员。与此相关的是，网络空间作战部队的训练不可能一蹴而就，要使我们的网络部队日臻成熟，还面临着巨大的挑战。将集中时间和资源开展工作，包括建立有能力的网络部队，提供可信的网络能力，促进联合网络作战平台的发展，整合非动能效应，尽管网络能力本身能带来巨大价值，但当它们与相关能力相结合时，才能发挥最大效用。与单独使用相比，将非动能效应（包括网络、电子战和信息作战）进行正确组合和匹配，通常能产生更大的作战效用。

携手确保国防工业基地安全

概述：美DOD国防工业基地《网络安全战略》概述了国防工业基地网络加固和敏感数据保护的多项工作。值得注意的是，几乎每项工作都需要关键利益相关者之间的协调与合作才能取得成果。

促进合作与协作

概述：网络空间是一个全球性的域外领域，需要有效的伙伴关系才能驾驭。在促进美国在网络领域的利益方面，美DOD并非孤军奋战，我们可以利用现有和新兴的伙伴关系来改进我们在网络空间的活动。合作与协作支持本战略的所有工作。除了在美DOD内部推动秘书处、Navy和Navy陆战队之间的内部合作与协作外，还将与以下外部合作伙伴接触，并适当调整我们的关系。      

往期推荐

CISA和NSA发布针对开发人员、供应商的IAM挑战指南

CISA 发布新的身份和访问管理指南

构建身份优先的安全方法解读与思考

身份第一安全已经到来

2023年身份安全的5个趋势

DOD零信任参考架构（二）及近期动态

原文始发于微信公众号（安全红蓝紫）：美国NAVY发布首份网络战略