安全動態(tài)

邁向“零信任”!美國白宮正在開發(fā)實(shí)時(shí)信任評分系統(tǒng)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-07-12    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


  • 從用戶的某項(xiàng)服務(wù)中發(fā)現(xiàn)了零日漏洞,那對方的信任度就應(yīng)被下調(diào)一定的百分比;

  • 一旦用戶因得分過低而無法獲取訪問權(quán)限,系統(tǒng)將為其提供一份提高信任分的清單——例如重新認(rèn)證或者輸入個(gè)人身份驗(yàn)證卡。

前情回顧

安全內(nèi)參7月11日消息,據(jù)美國白宮管理和預(yù)算辦公室(OMB)首席信息安全官丹·錢德勒(Dan Chandler)介紹,該部門正在開發(fā)一套系統(tǒng),旨在為用戶生成信任評分,據(jù)此判斷對方是否有權(quán)訪問其網(wǎng)絡(luò)或應(yīng)用程序。

在上周四(7月7日)的ATARC網(wǎng)絡(luò)研討會上,錢德勒表示,此舉希望利用該辦公室掌握的所有網(wǎng)絡(luò)信息做出安全評判。新系統(tǒng)將在用戶評分不高時(shí)實(shí)時(shí)發(fā)出提醒,而不是簡單粗暴的拒絕用戶的請求。

拜登總統(tǒng)2021年5月發(fā)布的“網(wǎng)絡(luò)安全行政令”加快了各級機(jī)構(gòu)實(shí)施零信任安全架構(gòu)的進(jìn)度,但目前的資金和專業(yè)知識儲備,尚不足以支撐起管理和預(yù)算辦公室的安全構(gòu)想。

錢德勒坦言,“「系統(tǒng)」這個(gè)詞可能說得有點(diǎn)過,我們目前才剛剛形成初步想法?!?

美國聯(lián)邦政府CIO克萊爾·馬托拉納(Clare Martorana)在上個(gè)月的采訪中表示,管理和預(yù)算辦公室希望推動新的信任措施,以改善安全水平與客戶體驗(yàn)。

各級機(jī)構(gòu)目前正在使用Google Authenticator或AWS和微軟Azure的其他工具對用戶進(jìn)行身份驗(yàn)證。然而,用戶的受信任水平會根據(jù)事態(tài)發(fā)展而有所變化。錢德勒說,比如從用戶的某項(xiàng)服務(wù)中發(fā)現(xiàn)了零日漏洞,那對方的信任度就應(yīng)被下調(diào)一定的百分比。

如果項(xiàng)目成功實(shí)施,管理和預(yù)算辦公室將能夠把當(dāng)前會話的信任得分與功能的信任分要求進(jìn)行比較。一旦用戶因得分過低而無法獲取訪問權(quán)限,系統(tǒng)還可以為其提供一份提高信任分的清單——例如重新認(rèn)證或者輸入個(gè)人身份驗(yàn)證卡。

各聯(lián)邦機(jī)構(gòu)進(jìn)度不一

美國商務(wù)部也對評估用戶及設(shè)備信任度抱有興趣,但其零信任架構(gòu)目前還沒有將網(wǎng)絡(luò)因素納入考量。

商務(wù)部副首席信息官勞倫斯·安德森(Lawrence Anderson)解釋稱,“投資尚未到位,我們還沒有走到那一步。但未來,我們肯定需要某些先進(jìn)的工具,真正將零信任提升到符合需求的更高水平?!?

與此同時(shí),美國聯(lián)邦總務(wù)署則在研究另外一種身份驗(yàn)證解決方案,預(yù)計(jì)其成本將略低于Login.gov(聯(lián)邦政府的統(tǒng)一單點(diǎn)登錄服務(wù))。

多年以來,管理和預(yù)算辦公室一直運(yùn)行MAX.gov系統(tǒng),其中使用個(gè)人身份驗(yàn)證(PIV)卡進(jìn)行身份驗(yàn)證。目前已經(jīng)有多家政府機(jī)構(gòu)在預(yù)算系統(tǒng)及其他用例中使用MAX.gov。

錢德勒表示,“MAX.gov正逐步過渡給聯(lián)邦總務(wù)署。預(yù)計(jì)到明年年底,總務(wù)署將提出一套替代性解決方案。而且據(jù)我所知,新方案應(yīng)該會以Azure Active Directory為基礎(chǔ)?!?

 
 

上一篇:Gartner發(fā)布當(dāng)前至2024年的五大隱私趨勢

下一篇:2022年7月12日聚銘安全速遞