网络安全动态 ·

美国防信息系统局2021财年工作重点

美国防信息系统局2021财年工作重点 网络安全动态 第1张

DISA 在 2020 年 11 月 30 日更新并发布了 FY19-22 三年战略计划(第二版),此次更新已经有几个解读:

  • 美国防信息系统局确定未来两年的三大核心技术领域 by 奇安网情局

  • DISA 战略计划 2.0 版抬升零信任地位 by 柯善学

重复的部分我就不讲了,在这里我重点讲一下不太一样的。

0x00. DISA 的新技术雷达

DISA 把 FY21 关注的科技领域分成了关注、计划、验证、部署四类。进入到 DISA 视野中的技术都会按照这个分类归类,并开展相关的工作。目前在 DISA 新技术雷达上各个阶段的技术有:

  • 关注:感兴趣的技术领域,DISA 正在积极的调研这个领域的能力和成熟度。目前在这个阶段的技术包括电子邮件隔离(Email Isolation)、加密流量分析(Encrypted Traffic Analysis)、抗量子密码学(Quantum Resistant Cryptography)。

  • 计划:评估技术对 DISA 和 DoD 任务的影响,理解其影响并考虑与 DoD 企业环境的集成点。这个阶段的技术包括:零信任(Zero Trust)、企业级灰色核心(Enterprise Grey Core)、无线传输(Wireless Transport)、边界演进(Perimeter Evolution)、人工智能与机器学习(AI/ML)、移动环境与桌面环境的融合(Mobile/Desktop Convergence)、网真视频会议(Telepresence)

  • 验证:正在搭建或者测试过程中。目前这个阶段的有:分布式账本(Distributed Ledgers)、开发/安全/运行一体化(DevSecOps)、携带认证的私人设备(BYOAD,Bring Your Own Approved Device)、可靠身份(Assured Identity)、涉密移动能力(Classified Mobile Capabilities)、自动化(Automation)、安全编排、自动化与响应(SOAR,Security Orchestration, Automation and Response)

  • 部署:已经验证完毕,正在企业环境中部署。主要包括:基于云的互联网隔离(CBII,Cloud Based Internet Isolation)、云计算(Cloud IaaS/PaaS/SaaS)

其中涉密移动能力(Classified Mobile Capabilities)由非绝密系统的 DMCC-S 和绝密系统的 DMCC-TS(与此对应的有非涉密系统的 DMUC)DoD Enterprise Mobility Overview 有整体概述。

美国防信息系统局2021财年工作重点 网络安全动态 第2张

稍微令人吃惊的是,零信任的进展并没有那么快,远远不及基于云的互联网隔离(CBII,Cloud Based Internet Isolation)、云计算(Cloud IaaS/PaaS/SaaS)、开发/安全/运行一体化(DevSecOps)、可靠身份(Assured Identity),甚至还落在了分布式账本(Distributed Ledgers)之后。

0x01. DISA 的组织调整

近年来 DISA 的 Dual-Hat 架构受到 Trump 政府的挑战,2020 年 DISA 依然维护了这种独特的架构。同时,DISA 的组织架构发生了调整,把多个组织从 DISA 中剥离,从而使得 DISA 更聚焦于网络空间安全领域(具体调整见上图),更符合 “The IT Combat Support Agency” 的定位。

美国防信息系统局2021财年工作重点 网络安全动态 第3张

美国防信息系统局2021财年工作重点 网络安全动态 第4张

0x02. DISA 各部门的关键工作

云计算计划办公室(Cloud Computing Program Office)

云计算计划办公室(Cloud Computing Program Office)的推动下,在云计算(Cloud IaaS/PaaS/SaaS)方面,目前所有非涉密信息都已经可以在商业云上进行处理。为此 DISA 已经建成了总带宽为 100Gb/s 的 4 个商业云访问点(BCAP)和总带宽为 10Gb/s 的 2 个互联网云访问点(ICAP),并且提供了虚拟数据中心安全栈(VDSS,Virtual Datacenter Security Stack)和虚拟数据中心托管服务(VDMS,Virtual Datacenter Managed Service)。未来 DISA 还将在 SIPRNet 上部署 miCloud 2.0.

美国防信息系统局2021财年工作重点 网络安全动态 第5张

美国防信息系统局2021财年工作重点 网络安全动态 第6张

运行中心(Operations Center)

在运行中心(Operations Center)的非军事部门或情报机构的网络优化方面,核心任务是把包括 DISA 在内的 6 个国防部的部门或机构纳入到 JRSS 的架构中来。目前正在推进一项有效期为 10 年的价值 117 亿美元的合同,这个合同将锁定单一供应商,要求供应商按照合同 10 内提供不限数量、不限地点的飞地防御服务(Defense Enclave Services),范围将同时包括 NIPRNet 和 SIPRNet 。这份合同将使 22 个国防部机构(不含军事部门)使用单一供应商。这个合同将成为和 ENCORE III 一样的旗舰合同。

整体部署计划分两阶段进行,首次部署将覆盖来自 Defense Media Activity、Defense Technical Information Center、Defense Microelectronics Activity、Defense Information Systems Agency 和 Defense POW/MIA Accounting Agency 这五个部门的 2 万用户,81 个全球地点和 4 万终端设备。

美国防信息系统局2021财年工作重点 网络安全动态 第7张

整体部署计划分两阶段进行,首次部署将覆盖来自 Defense Media Activity、Defense Technical Information Center、Defense Microelectronics Activity、Defense Information Systems Agency 和 Defense POW/MIA Accounting Agency 这五个部门的 2 万用户,81 个全球地点和 4 万终端设备。

美国防信息系统局2021财年工作重点 网络安全动态 第8张

第一阶段预计覆盖以下部门

  • Defense Information Systems Agency (DISA-HQ)

  • Defense Technical Information Center (DTIC)

  • Defense Prisoner of War/Missing in Action Accounting Agency (DPAA)

  • Defense Microelectronics Activity (DMEA)

  • Defense Media Activity (DMA)

  • Defense Information Systems Agency (DISA-Field Sites)

  • Defense Contract Management Agency (DCMA)

  • Defense Contract Audit Agency (DCAA)

  • Defense Human Resources Agency/Defense Manpower Data Center (DHRA/DMDC)

  • Defense Finance and Accounting Service (DFAS)

  • Defense Threat Reduction Agency (DTRA)

  • Defense Logistics Agency (DLA)

  • Defense Advanced Research Projects Agency (DARPA)

  • Missile Defense Agency (MDA)

第二阶段覆盖以下部门:

  • Defense Health Agency (DHA)

  • Defense Legal Services Agency (DLSA)

  • Defense Security Cooperation Agency (DSCA)

  • Defense Technology Security Agency (DTSA)

  • Joint Chiefs of Staff (JCS)

  • Office of Secretary of Defense (OSD)

  • Personnel Force Protection Agency (PFPA)

  • Washington Headquarters Services (WHS)

  • Joint Service Provider (JSP)

计划在 2021 的 2 月 8 日之前接受投标,经过一年的考察和评估,最终在 2022 年的第一季度与选定的供应商正式签署合同。

供应商选择的考量因素包括了安全(要求满足 CMMC 3~4 级要求)和对小企业的支持(有一部分价值必须由一定比例中小企业提供)。

美国防信息系统局2021财年工作重点 网络安全动态 第9张

JFHQ-DoDIN

在 JFHQ-DoDIN 作战任务领域最主要的是网络空间分层防御(Layered Cyber Defense)。

美国防信息系统局2021财年工作重点 网络安全动态 第10张

发展与业务中心(Development Business Center)

发展与业务中心(Development Business Center)在创新方面提出了两项安全相关的关键计划:

  • 可靠身份(Assured Identity)计划:基于硬件认证(Hardware Attestation)、持续多因素认证(CMFA,Continuous Multi-factor Authentication)和个性化上下文(Personalized Contextual Authentication)的身份认证。包括了面部识别、步态、声音、外设、位置、设备方位、网络等各方面信息。

  • 基于云的互联网隔离(CBII,Cloud Based Internet Isolation)计划:使用云服务商的远程浏览器为 NIPRNet 用户提供互联网的访问。目前的项目已经支持包括了 WEB 和邮件。

发展与业务中心(Development Business Center)在网络发展方面几乎所有的重点项目都是和安全相关的,主要分为四个方面:

  • 边界:增强的流量可见性、增加带宽可用性、降低 WEB 内容威胁。举措中除了基于云的互联网隔离(CBII)以外,在 2018 年都已经出现了。

  • 联合区域安全堆栈(JRSS):工具整合可提高效率并提高流量可见性。

  • 端点:要在 DoD 范围内增加端点可见性、合规性和报告。要淘汰 HBSS,并推动自动化终端监控、EDR、应用沙箱、遵从连接、用户行为监测。

  • 零信任:基于零信任最小特权访问和网络/系统微分割的作战网络安全框架。

美国防信息系统局2021财年工作重点 网络安全动态 第11张

其中云端浏览器护理网隔离方案(CBII,Cloud Based Internet Isolation)早在 FY19 就已在 10 万用户范围内进行了测试验证,现在已经增加到 10.5 万用户。正处于国防部内推广部署的阶段,计划将其扩展到整个国防部。2020 年的夏天,DISA 已经授予了 By Light Professional IT Services 的另一项交易协议,上限为 1.989 亿美元。

美国防信息系统局2021财年工作重点 网络安全动态 第12张

其中遵从连接(Comply-to-Connect)计划是国防部 CIO 的网络和数字现代化计划的一项举措,旨在改变网络和网络的安全性。这使 DoD 可以控制允许哪些终结点连接到 DoD 网络,并提供对终结点安全合规性的整体更好的了解。将分五个步骤逐步覆盖 SIPRNet 和 NIPRNet。

美国防信息系统局2021财年工作重点 网络安全动态 第13张

0x03. 附录:参考资料

  • KATIE BO WILLIAMS. Trump Officials Deliver Plan to Split Up Cyber Command, NSA[J]. 2020. https://www.defenseone.com/policy/2020/12/trump-officials-deliver-plan-split-cyber-command-nsa/170913/

  • TONY MONTEMARANO. AFCEA 2020, Defense Information Systems Agency Joint Force Headquarters – DOD Information Networks[J]. 2020. https://www.disa.mil/-/media/Files/DISA/News/Events/2020-Virtual-Experience/20201103-DISA-101_Mont.ashx?la=en&hash=5887231227346DF772F265C7A3F6EEC7A2AD472D

  • DISA. Assured Identity[J]. 2017. https://disa.mil/-/media/Files/DISA/Fact-Sheets/Fact-Sheet-Assured-Identity_Aug-2017_RELEASABLE.ashx?la=en&hash=A2401FCBF6E7918FCE3098F1EC92FD8AAF98DDDA

  • DISA. Cloud Based Internet Isolation[J]. 2019. https://www.disa.mil/-/media/Files/DISA/Fact-Sheets/Cloud-Based-Internet-Isolation-CBII-Fact-Sheet20190721.ashx?la=en&hash=5DFC2594478284991F4B005AFA41DE26AC73D84A

  • MARK MILES, ANGELA LANDRESS, DARRELL FOUNTAIN. AFCEA 2020, Layered Cyber Defense[J]. 2020. https://events.afcea.org/afceacyber20/Public/SessionDetails.aspx?FromPage=Sessions.aspx&SessionID=8571&SessionDateID=582

  • DISA. DISA Strategic Plan FY2019-2022 Version 2[J]. 2020. https://www.disa.mil/About/Our-Strategic-Plan

  • 奇安网情局. 美国防信息系统局确定未来两年的三大核心技术领域[J]. 2020. https://www.secrss.com/articles/27494

  • 柯善学. DISA 战略计划 2.0 版抬升零信任地位[J]. 2020. https://www.secrss.com/articles/28598

  • MARK POMERLEAU. New internet browsing tools bolster DoD cybersecurity[J]. 2020. https://www.c4isrnet.com/cyber/2020/12/02/new-internet-browsing-tools-bolster-dod-cybersecurity/

声明:本文来自sbilly 的茶馆,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 2018288588@qq.com。

参与评论