Biały Dom nakazuje agencjom

Biały Dom poprosił agencje rządowe o zapisanie się na praktyki bezpieczeństwa zerowego zaufania w celu wzmocnienia ich ochrony w Internecie.

Memorandum Biura Zarządzania i Budżetu (OBM), ramienia Białego Domu zajmującego się zarządzaniem budżetem, zaleca wszystkim szefom działów wykonawczych i agencji przejście w kierunku zerowego zaufania, modelu cyberbezpieczeństwa, w którym urządzenia, aplikacje i ludzie są „ nigdy nie zaufany, zawsze weryfikowany”, a dostęp do różnych zasobów jest zapewniony tylko dla danego zadania, a wszystko jest uwierzytelniane indywidualnie dla każdego przypadku.

W dalszej części notatka wyjaśnia, że ​​dążenie do zerowego zaufania będzie oznaczać wyliczenie całego spisu urządzeń, wdrożenie silniejszej kontroli tożsamości i dostępu oraz przejście w kierunku uwierzytelniania wieloskładnikowego. Urządzenia muszą być monitorowane zgodnie ze specyfikacjami ustanowionymi przez Agencję Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA). Wydaje się, że samo uruchomienie programu antywirusowego i zapory sieciowej nie wystarczy.

Motywowane przez log4j

„W obliczu coraz bardziej wyrafinowanych zagrożeń cybernetycznych administracja podejmuje zdecydowane działania w celu wzmocnienia cyberobrony rządu federalnego” – powiedziała po dyrektora OMB Shalanda Young.

„Ta strategia zerowego zaufania ma na celu zapewnienie, że rząd federalny będzie dawać przykład i stanowi kolejny kluczowy krok w naszych wysiłkach, aby odeprzeć ataki tych, którzy zaszkodziliby Ameryce”.

Jednym z powodów, dla których Biały Dom opublikował tę notatkę, wydaje się być niedawno odkryta wada log4j. Odkryty po raz pierwszy pod koniec ubiegłego roku, Zero-Day wpłynął na niezliczone usługi online i został opisany jako jedna z najniebezpieczniejszych, jakie kiedykolwiek wykryto, ze względu na jego destrukcyjny potencjał i łatwość, z jaką można go wykorzystać.

Od tego czasu Apache wydał kilka łatek, próbując zatkać dziurę.

„Ponieważ nasi przeciwnicy wciąż znajdują innowacyjne sposoby naruszania naszej infrastruktury, musimy nadal fundamentalnie zmieniać nasze podejście do federalnego cyberbezpieczeństwa” – dodała dyrektor CISA Jen Easterly.

„Zero zaufania jest kluczową częścią tych wysiłków zmierzających do modernizacji i wzmocnienia naszych zabezpieczeń. CISA będzie nadal zapewniać agencjom wsparcie techniczne i wiedzę operacyjną, starając się osiągnąć wspólny fundament dojrzałości.

Via: The Verge

Udostępnij to