全文约4000字 6图表 阅读约8分钟
本文主要从美国联邦政府(也包含美国国防部)的角度,看看零信任的进展。两份2020年的调查报告显示,近一半的美国联邦机构决策者和大中型企业管理者,高度认同零信任的价值。而站在2021年的起点,很容易得到一个结论:零信任正在席卷美国联邦政府。
从积极的角度看,美国联邦政府已经取得了显著的网络安全成果。通过从安全合规转变为态势感知,其网络安全等级上升了一个台阶(即FITARA记分卡的网络安全等级,在两年内提高了一个字母)。
从消极的角度看,SolarWinds复杂网络攻击事件仍表明,美国联邦政府的网络安全还有极大提升空间。显然,这又为美国联邦政府加速向零信任迈进,提供了足够理由。
简言之,对于美国联邦政府网络安全而言,如果说,过去两年的提升主要来自态势感知,那么可以预计,未来两年的提升将主要来自零信任。
如果这个逻辑成立的话,广义态势感知+零信任,或许能组合出比较完美的安全大脑。
1)针对联邦政府的零信任调研报告
3)零信任供应商
-
"近年来,网络安全无疑得到了改善。"
-
"当然,每个人都知道对手也在不断发展,威胁变得越来越复杂。"
-
"由于CIO已从单纯的合规性转变为态势感知,并且零信任安全架构已变得“实用”,因此FITARA记分卡的平均网络等级,在两年内已提高了超过整整一个字母。"
-
FITARA(联邦IT购置改革法案)记分卡:被美国众议院监督和改革委员会(House Oversight and Reform Committee)用于衡量美国联邦机构的数字卫生和IT改革法律的合规性。
-
评分范围:被称为"首席财务官法案机构"的24个联邦机构。
-
评分等级:评分按照字母顺序分为5级:A/B/C/D/F(注意没有E)。
-
评分频率:每半年评估一次。
-
联邦机构的评分等级总体保持稳定。
-
24个联邦机构中,有16个保持原有等级,3个提高等级,5个降级。
-
没有一家机构达到A级。
图1-24个联邦机构的评分(2020年12月)
图2-FITARA七个关键领域之评分
-
机构CIO权威增强(增量开发);
-
透明度和风险管理(OMB的IT仪表板);
-
投资组合审查(PortfolioStat);
-
数据中心优化计划(DCOI);
-
软件许可(FITARA和MEGABYTE);
-
政府技术现代化(MGT法案);
-
网络空间(FISMA)。
图3-FITARA历史评分
-
评分因素1(即图中第2列):各机构督察长(IG,Inspectors General)网络安全目标的评估;
-
评分因素2(即图中第3列):跨机构优先权(CAP,cross-agency priority)网络安全目标的评估;
-
FISMA评分组合了上述两个因素,两个权重各占一半。
-
例如,如果一个机构的平均IG评估是5分之2.4(48%评级为F),同时该机构满足所有10个CAP目标指标(100%评级为A)。则A和F的平均值为C。
-
当然一方面是因为其FISMA评分被记为0,拉低了整体FITARA评分;
-
另一方面也客观反映了国防部IT问题的严重程度,所以也解释了为什么国防部要大张旗鼓地搞IT现代化,甚至推动DMS(数字现代化战略)。
我们看看2020年以来,零信任对美国联邦政府和大中型企业的影响力。两份调查报告显示,在2020年,48%的美国联邦机构决策者和49%的大中型企业管理者,高度认同零信任的价值。
2020年1月,FedScoop发布调研报告《无边界安全:政府向以身份为中心的访问的转变》。改报告对171位经过资格预审的政府和行业IT决策者进行了调查。主要调查结论是:
-
联邦机构正在拥抱采用零信任安全模式。
-
联邦机构在采用零信任方法方面取得的进展参差不齐。
-
大约一半(48%)的联邦政府IT决策者表示,他们的机构正在逐步采取以身份为中心的方法,来保护对机构资源的访问。
-
而十分之三的政府答复者表示,他们的机构仍然严重依赖传统边界防御工具或策略。
-
接近半数的企业依然处于零信任调研或试点阶段。
-
接受调查的参与者中有49%(15%极度重要+34%非常重要)认为零信任对其所在组织安全模型非常重要;
-
只有2%明确表示不重要。
图5-零信任对组织安全模型的重要程度
下面是2019年8月Forrester按照其零信任扩展生态之七大支柱而罗列的供应商:
图6-零信任扩展生态供应商一览(2019年8月)
-
ATARC目前有两个零信任工作组:联邦机构零信任工作组+供应商零信任工作组。
-
正在开发零信任用例:联邦机构零信任工作组已经开发了一个零信任架构,并正在使用该架构来定义零信任用例。
-
计划零信任工作组合并:一旦确定了零信任用例,ATARC则计划将这两个零信任工作组进行合并。合并后的零信任工作组,将变得更加强大。
-
工作组合并之后的工作:参与合作的超过15家联邦机构和15家供应商,将可以开始零信任的组织、构建、概念验证(POC)等工作。
本文始发于微信公众号(互联网安全内参):零信任正在席卷美国联邦政府
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论