“الثقة الصفرية” في الأمن السيبراني

يريد البيت الأبيض من الحكومة الأمريكية استخدام نموذج أمان الثقة المعدومة
لا تزال الهجمات الإلكترونية تشكل تهديدًا لا يستهدف يوميًا الشركات متعددة الجنسيات فحسب ، بل يستهدف أيضًا الوكالات الحكومية والعديد من الكيانات الضعيفة الأخرى. في محاولة للحد من هذه الهجمات ، أصدر البيت الأبيض بالولايات المتحدة استراتيجية جديدة للأمن السيبراني لجميع البنى التحتية الحكومية والكيانات. في بيان صادر عن البيت الأبيض ، قال إن “التهديد المتزايد للهجمات الإلكترونية المتطورة أكد أن الحكومة الفيدرالية لم تعد قادرة على الاعتماد على الدفاعات التقليدية القائمة على المحيط لحماية الأنظمة والبيانات الهامة.”

أيضا على TechBooky
ولاية بايلسا و Zipline تعلنان عن شراكة كبرى لتوسيع الوصول إلى الخدمات الطبية في جميع أنحاء الولاية باستخدام طائرات بدون طيار
3 الولايات الأمريكية والعاصمة سو سو جوجل لتتبع بيانات الموقع
تحذير: برنامج ضار خطير يعمل بنظام Android قادر على سرقة تفاصيل البنك
رئيس إدارة الطيران الفيدرالية يدلي بشهادته أمام مجلس النواب الأمريكي حول تأثير 5G على سلامة الطيران
WhatsApp لإدخال التحقق بخطوتين لإصدارات سطح المكتب والويب

تناقش الاستراتيجية الجديدة رؤية الإدارة لرؤية جميع الوكالات الحكومية تتبنى بنية “انعدام الثقة”. تم تحديد نموذج الأمن السيبراني “انعدام الثقة” على أنه نظام يستوعب ويمنح المستخدمين أو الأجهزة الوصول إلى موارد الشبكة المحددة اللازمة للمهمة قيد البحث. ما يعنيه هذا هو أن الأذونات والمصادقة لن تعمل كالمعتاد ولكن سيتم منحها فقط على أساس كل حالة على حدة. نُشرت وثيقة الأمن السيبراني الجديدة في مذكرة صادرة عن ذراع سياسات الإدارة التابع لمكتب الإدارة والميزانية (OMB) ، وقد تمت مخاطبة جميع رؤساء الإدارات والوكالات التنفيذية.

وسلطت المذكرة الضوء على أنه من أجل تفعيل التحول نحو بنية انعدام الثقة ، يلزم تنفيذ هوية مؤسسية أقوى وضوابط الوصول ، فضلاً عن استخدام المصادقة متعددة العوامل. من المتوقع أن تتم المصادقة على وجه التحديد من خلال رمز المصادقة المستند إلى الأجهزة مثل بطاقات الوصول ، بدلاً من إشعارات الرسائل النصية القصيرة. تتطلب الاستراتيجية الجديدة من المسؤولين الفيدراليين استخدام عدة طبقات من الأمان عند تسجيل الدخول إلى شبكات الوكالات ، وتتطلب من الوكالات تعزيز حماية الشبكة الداخلية من خلال طرق مختلفة ، مثل دعوة خبراء مستقلين لتقييم مستويات الأمان. وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية (CISA) ، تم وضع إرشادات للوكالات الأمريكية والإدارات التنفيذية لإكمال قائمة جرد لكل جهاز مرخص له وتشغيله للأعمال الرسمية للمراقبة والامتثال للاستراتيجيات الجديدة.

قال القائم بأعمال مدير مكتب الإدارة والميزانية شالاندا يونغ في بيان: “في مواجهة التهديدات السيبرانية المتزايدة التعقيد ، تتخذ الإدارة إجراءات حاسمة لتعزيز الدفاعات الإلكترونية للحكومة الفيدرالية” ، وأضاف أن “استراتيجية انعدام الثقة هذه تتعلق بضمان قيادة الحكومة الفيدرالية على سبيل المثال ، ويمثل معلمًا رئيسيًا آخر في جهودنا لصد الهجمات من أولئك الذين قد يلحقون الضرر بالولايات المتحدة “.

لقد استشهد البيت الأبيض العام الماضي بالثغرة الأمنية في Log4j ، وهي خلل في جزء من كود الكمبيوتر المستخدم على نطاق واسع ، على أنها “أحدث دليل” اكتشفه الخصوم للوصول إلى الباب. بدأ استغلال الثغرة الأمنية التي تعتبر واحدة من أخطر تهديدات الأمن السيبراني التي تعرضت لها في الآونة الأخيرة لأول مرة في ديسمبر 2021. في ذلك الوقت ، أصدرت CISA تعليمات للوكالات الحكومية لإصلاح الأصول المعرضة للخطر على الفور أو تطبيق تدابير التخفيف الأخرى. كما حذرت لجنة التجارة الفيدرالية لاحقًا الشركات الخاصة من معالجة الضعف لتجنب الإجراءات القانونية المحتملة لتعريض المستهلكين للخطر.

كشف مدير CISA Jen Easterly أنه “مع استمرار خصومنا في السعي وراء طرق مبتكرة لاختراق بنيتنا التحتية ، يجب أن نستمر في تغيير نهجنا بشكل أساسي تجاه الأمن السيبراني الفيدرالي.” وأضاف أن “الثقة المعدومة هي عنصر أساسي في هذا الجهد لتحديث وتقوية دفاعاتنا”. وتطرق أيضًا إلى جهود CISA للتغلب دائمًا على هؤلاء الخصوم ، وقال: “ستواصل CISA تقديم الدعم الفني والخبرة التشغيلية للوكالات بينما نسعى جاهدين لتحقيق خط أساس مشترك للنضج.” تكرر الإستراتيجية الجديدة شيئًا واحدًا ، وهو أنه مع استمرار الخصوم في استكشاف طرق ضعيفة لاختراق الأمن في الفضاء الإلكتروني ، فمن المناسب للمنظمات ألا ترتاح أبدًا عندما يتعلق الأمر بتعزيز دفاعاتها من أجل عدم الاستيلاء على أيدي مجرمي الإنترنت.

تم إصدار مسودة أولية لاستراتيجية الأمن السيبراني في سبتمبر 2021 للجمهور للتعليق والرأي ، ومنذ ذلك الحين تم تشكيل هذه المدخلات من قبل صناعة الأمن السيبراني بالإضافة إلى مجالات أخرى في القطاعين العام والخاص. مع الإستراتيجية النهائية التي تم التوصل إليها وإصدارها الآن للجهات الحكومية والمنظمات