现在是零信任的零小时。
虽然这个概念已经存在多年,但现在联邦政府实施它的时间已经紧迫。
拜登政府备忘录被誉为以战斗速度安全交付关键任务数据的解决方案,要求联邦机构在 2024 财年年底前实现具体的零信任安全目标。
此外,国防部正在努力实施其到 2027 财年实现零信任网络安全框架。
好消息是面对不断升级的网络威胁,数据显示72% 的政府机构已经部署零信任安全举措。
然而,还有一个障碍可能会带来可怕的国家安全影响:数据标记标准化。
当前的数据标记方法会带来风险
数据以各种格式存在,包括结构化、非结构化以及不同的文件类型和分类级别。
目前,各机构采用自己独特的方法来进行数据发现过程,建立一个管道来分类和确定标签——分配给数据用于组织和访问目的的元数据标签。
许多人仍然依赖繁琐的手动标记,而另一些人则转向利用允许自适应数据标记的人工智能和机器学习软件。
尽管情报界成员已经朝着标准企业数据标头标记方法采取了一些行动,但不同数据类型收集的复杂性与孤立的流程相结合,仍然导致数据共享模式低效且不安全。
在各个机构中,敏感度标签出现在不同的领域和格式中,这使得它们难以分类,并在机构之间执行政策时带来了挑战。事实上,没有一致的方法来标记和分类数据(尤其是敏感数据)是零信任模型的一个重大障碍。
例如,标准化的缺乏使得国防部在解决任务合作伙伴与其他五眼国家互动的数据权限管理方面面临挑战。
至少围绕敏感标签建立一套标记方法——以便各机构知道在哪里寻找,然后如何继续——将降低风险并促进以数据为中心的决策。
全政府数据标记方法
数据是美国情报的基础。随着通信渠道、设备和开源情报数量的不断增加,数据洪流给联邦政府带来了共同的机遇和风险。
这些风险之一是这样一种观念,即数据对于寻求窃取或破坏数据访问的民族国家威胁行为者来说是宝贵的资源。
面对不断变化的网络威胁,传统的、孤立的数据标记方法可能会出现问题。
如果公共部门对敏感信息进行更一致的标记,则可以部署自动加密机制来降低风险。
结果将是一种可靠且基于风险的加密方法,该方法将针对企业中大多数敏感数据(而不是所有数据)进行加密。
国防机构必须共同努力制定统一的数据标记标准,确保需要数据的人能够访问数据,同时防止不需要的人访问数据。
以数据为中心的安全方法对于加速任务成果至关重要,而数据标记格式和元数据标准化的整个政府方法必须被视为联邦政府零信任之旅的重要下一步。
实施标准化以消除障碍
消除这一障碍并拥抱零信任思维的建议包括:
从试点项目中学习
国家情报总监办公室 (ODNI)、网络安全和基础设施安全局 (CISA) 以及国防部已经在寻求数据标记的改进,例如建立明确的标记要求,以便更轻松地训练 AI/ML 算法。
我们可以从那些已经投资这项工作的人中受益,并将这些经验应用到其他机构。
召开工作会议
为了确保采用统一的方法,CISA 和国防部首席信息官应通过与每个机构和部门的首席数据官合作,帮助协调所有联邦机构、国防部部门和情报界之间的对话。为了使零信任发挥作用,我们必须就此主题启动全政府工作会议。
优先考虑应该标准化的内容
这并不是要让海洋沸腾,因为各机构将继续拥有特定于任务的数据,因此优先考虑采用统一的标题和敏感度标记方法是一个很好的起点。主要关注点应该是格式标准化,以及根据独特的任务和机构要求定制标签的能力。
善用科技
人工智能/机器学习工具可以根据人工智能在文档中分析的内容捕获错误分类或建议更改敏感度级别或标签,从而帮助消除人为错误。
但这些工具的强大程度取决于它们能够破译的数据标签。因此,这种全政府方法也必须适用于标准化这些工具如何读取和处理数据标记。一旦建立,这项技术将加速实现国家零信任实施目标的进展。
现有的网络、数据和通信标准(例如 TCP/IP、XML、802.11 和 ODNI 的可信数据格式)表明存在制定统一标准的先例。
通过建立此类数据标记标准,联邦政府可以朝着实现零信任目标迈出重要一步。
现在是采取行动的时候了。
