La oficina del programa de confianza cero del Departamento de Defensa de EE. UU. dice que está trabajando para establecer una certificación interna e independiente de las herramientas que entran por sus puertas para garantizar que sean tan ciberseguras como afirman.
Randy Resnick, director del Oficina de Gestión de Carteras de Confianza Cero En el Pentágono, dijo que es necesario validar de forma independiente si los productos y servicios de los proveedores están, de hecho, a la altura de las expectativas. Y la creación de un proceso estandarizado de varios pasos para garantizar el cumplimiento de la política de confianza cero le dará al Departamento de Defensa confianza en lo que compra.
La evaluación comienza con una evaluación que brindará una lectura general del diseño de ciberseguridad e identificará áreas donde los desarrolladores pueden abordar las brechas en las primeras etapas del proceso.
«Realmente no puedes jugar porque son 250 preguntas, y lo más probable es que tengas que mentir en muchas de ellas para sesgar los resultados», dijo Resnick en la conferencia. Conferencia cibernética de TechNet presentado por la Asociación Internacional de Comunicaciones y Electrónica de las Fuerzas Armadas en Baltimore el 25 de junio. “Y si estás diseñando algo y pasas honestamente por el proceso… te va a indicar la brecha entre donde estás y las 91 actividades (mínimo). Es algo útil saberlo porque entonces puedes diseñar o diseñar o arreglar lo que tengas que hacer para llegar al objetivo”.
La oficina principal de Información del Pentágono está impulsando el 2027 como el año para que el departamento esté completamente alineado con la confianza cero. Ya ha ofrecido una hoja de ruta para hacer esto, llamada Estrategia ZT a partir de 2022 que, según Resnick, es poco probable que se actualice. En cambio, el departamento se centra en encontrar formas de probar de manera confiable la seguridad de sus diseños contra vulnerabilidades. El departamento ha recibido planes ZT de los servicios y otras agencias del Departamento de Defensa, pero ahora busca un proceso más automatizado y replicable para evaluarlos para liberar horas de trabajo y mantener un ritmo agresivo.
Resnick dijo que, después de la evaluación inicial, la herramienta pasará por una simulación que realmente probará las debilidades y proporcionará retroalimentación tantas veces como sea necesario para corregir los agujeros. Luego, la herramienta deberá pasar por un informe del «equipo púrpura» que resume el resultado de los ataques defensivos y ofensivos al sistema.
«Estamos probando resultados ZT específicos en cada parte del paso de la prueba», dijo Resnick. “Este no es sólo un experimento aleatorio para el equipo rojo. En realidad, esto es muy detallado, muy específico sobre lo que queremos que busque el equipo morado para demostrar que es una configuración de confianza cero”.
El proceso está bien delineado, pero existen algunos desafíos para actualizarlo. Resnick dijo que su mayor limitación es la falta de expertos en el equipo morado.
«No tenemos suficiente talento», dijo. “No tenemos suficiente gente. Es un desagüe. Tienen otras misiones que deben cumplir”.
Para acelerar los diseños mediante el trabajo en equipo, Resnick dijo que quiere encontrar una manera de conseguir la ayuda de la industria y hacer pruebas en un entorno neutral con costos mínimos. Mencionó que se ha pensado en traer personal de la Reserva o de la Guardia con varios componentes para realizar algunas tareas del equipo púrpura, pero deben estar aprobados por la Agencia de Seguridad Nacional, y eso es difícil de encontrar, agregó.
El objetivo final es utilizar la tecnología y la automatización para crear procesos repetibles y eficientes que, en última instancia, den como resultado que un funcionario del departamento apruebe una solución ZT que cuenta con el respaldo de un examen bien informado.
«Esa sería la puerta que permitiría a los componentes adquirir con seguridad soluciones ZT de nivel objetivo o avanzado antes de 2027», dijo. «Queremos permitir que el departamento elija entre un menú de soluciones… para reducir el riesgo de que lo que están comprando no funcione».
Molly Weisner es reportera del Federal Times, donde cubre temas laborales, políticas y contratación relacionados con la fuerza laboral gubernamental. Hizo paradas anteriores en USA Today y McClatchy como productora digital, y trabajó en The New York Times como correctora. Molly se especializó en periodismo en la Universidad de Carolina del Norte en Chapel Hill.