DISA 在 2020 年 11 月 30 日更新并发布了 FY19-22 三年战略计划(第二版),此次更新已经有几个解读:

  • 美国防信息系统局确定未来两年的三大核心技术领域 by 奇安网情局

  • DISA 战略计划 2.0 版抬升零信任地位 by 柯善学

重复的部分我就不讲了,在这里我重点讲一下不太一样的。

0x00. DISA 的新技术雷达

DISA 把 FY21 关注的科技领域分成了关注、计划、验证、部署四类。进入到 DISA 视野中的技术都会按照这个分类归类,并开展相关的工作。目前在 DISA 新技术雷达上各个阶段的技术有:

  • 关注:感兴趣的技术领域,DISA 正在积极的调研这个领域的能力和成熟度。目前在这个阶段的技术包括电子邮件隔离(Email Isolation)、加密流量分析(Encrypted Traffic Analysis)、抗量子密码学(Quantum Resistant Cryptography)。

  • 计划:评估技术对 DISA 和 DoD 任务的影响,理解其影响并考虑与 DoD 企业环境的集成点。这个阶段的技术包括:零信任(Zero Trust)、企业级灰色核心(Enterprise Grey Core)、无线传输(Wireless Transport)、边界演进(Perimeter Evolution)、人工智能与机器学习(AI/ML)、移动环境与桌面环境的融合(Mobile/Desktop Convergence)、网真视频会议(Telepresence)

  • 验证:正在搭建或者测试过程中。目前这个阶段的有:分布式账本(Distributed Ledgers)、开发/安全/运行一体化(DevSecOps)、携带认证的私人设备(BYOAD,Bring Your Own Approved Device)、可靠身份(Assured Identity)、涉密移动能力(Classified Mobile Capabilities)、自动化(Automation)、安全编排、自动化与响应(SOAR,Security Orchestration, Automation and Response)

  • 部署:已经验证完毕,正在企业环境中部署。主要包括:基于云的互联网隔离(CBII,Cloud Based Internet Isolation)、云计算(Cloud IaaS/PaaS/SaaS)

其中涉密移动能力(Classified Mobile Capabilities)由非绝密系统的 DMCC-S 和绝密系统的 DMCC-TS(与此对应的有非涉密系统的 DMUC)DoD Enterprise Mobility Overview 有整体概述。

稍微令人吃惊的是,零信任的进展并没有那么快,远远不及基于云的互联网隔离(CBII,Cloud Based Internet Isolation)、云计算(Cloud IaaS/PaaS/SaaS)、开发/安全/运行一体化(DevSecOps)、可靠身份(Assured Identity),甚至还落在了分布式账本(Distributed Ledgers)之后。

0x01. DISA 的组织调整

近年来 DISA 的 Dual-Hat 架构受到 Trump 政府的挑战,2020 年 DISA 依然维护了这种独特的架构。同时,DISA 的组织架构发生了调整,把多个组织从 DISA 中剥离,从而使得 DISA 更聚焦于网络空间安全领域(具体调整见上图),更符合 “The IT Combat Support Agency” 的定位。

0x02. DISA 各部门的关键工作

云计算计划办公室(Cloud Computing Program Office)

云计算计划办公室(Cloud Computing Program Office)的推动下,在云计算(Cloud IaaS/PaaS/SaaS)方面,目前所有非涉密信息都已经可以在商业云上进行处理。为此 DISA 已经建成了总带宽为 100Gb/s 的 4 个商业云访问点(BCAP)和总带宽为 10Gb/s 的 2 个互联网云访问点(ICAP),并且提供了虚拟数据中心安全栈(VDSS,Virtual Datacenter Security Stack)和虚拟数据中心托管服务(VDMS,Virtual Datacenter Managed Service)。未来 DISA 还将在 SIPRNet 上部署 miCloud 2.0.

运行中心(Operations Center)

在运行中心(Operations Center)的非军事部门或情报机构的网络优化方面,核心任务是把包括 DISA 在内的 6 个国防部的部门或机构纳入到 JRSS 的架构中来。目前正在推进一项有效期为 10 年的价值 117 亿美元的合同,这个合同将锁定单一供应商,要求供应商按照合同 10 内提供不限数量、不限地点的飞地防御服务(Defense Enclave Services),范围将同时包括 NIPRNet 和 SIPRNet 。这份合同将使 22 个国防部机构(不含军事部门)使用单一供应商。这个合同将成为和 ENCORE III 一样的旗舰合同。

整体部署计划分两阶段进行,首次部署将覆盖来自 Defense Media Activity、Defense Technical Information Center、Defense Microelectronics Activity、Defense Information Systems Agency 和 Defense POW/MIA Accounting Agency 这五个部门的 2 万用户,81 个全球地点和 4 万终端设备。

整体部署计划分两阶段进行,首次部署将覆盖来自 Defense Media Activity、Defense Technical Information Center、Defense Microelectronics Activity、Defense Information Systems Agency 和 Defense POW/MIA Accounting Agency 这五个部门的 2 万用户,81 个全球地点和 4 万终端设备。

第一阶段预计覆盖以下部门

  • Defense Information Systems Agency (DISA-HQ)

  • Defense Technical Information Center (DTIC)

  • Defense Prisoner of War/Missing in Action Accounting Agency (DPAA)

  • Defense Microelectronics Activity (DMEA)

  • Defense Media Activity (DMA)

  • Defense Information Systems Agency (DISA-Field Sites)

  • Defense Contract Management Agency (DCMA)

  • Defense Contract Audit Agency (DCAA)

  • Defense Human Resources Agency/Defense Manpower Data Center (DHRA/DMDC)

  • Defense Finance and Accounting Service (DFAS)

  • Defense Threat Reduction Agency (DTRA)

  • Defense Logistics Agency (DLA)

  • Defense Advanced Research Projects Agency (DARPA)

  • Missile Defense Agency (MDA)

第二阶段覆盖以下部门:

  • Defense Health Agency (DHA)

  • Defense Legal Services Agency (DLSA)

  • Defense Security Cooperation Agency (DSCA)

  • Defense Technology Security Agency (DTSA)

  • Joint Chiefs of Staff (JCS)

  • Office of Secretary of Defense (OSD)

  • Personnel Force Protection Agency (PFPA)

  • Washington Headquarters Services (WHS)

  • Joint Service Provider (JSP)

计划在 2021 的 2 月 8 日之前接受投标,经过一年的考察和评估,最终在 2022 年的第一季度与选定的供应商正式签署合同。

供应商选择的考量因素包括了安全(要求满足 CMMC 3~4 级要求)和对小企业的支持(有一部分价值必须由一定比例中小企业提供)。

JFHQ-DoDIN

在 JFHQ-DoDIN 作战任务领域最主要的是网络空间分层防御(Layered Cyber Defense)。

发展与业务中心(Development Business Center)

发展与业务中心(Development Business Center)在创新方面提出了两项安全相关的关键计划:

  • 可靠身份(Assured Identity)计划:基于硬件认证(Hardware Attestation)、持续多因素认证(CMFA,Continuous Multi-factor Authentication)和个性化上下文(Personalized Contextual Authentication)的身份认证。包括了面部识别、步态、声音、外设、位置、设备方位、网络等各方面信息。

  • 基于云的互联网隔离(CBII,Cloud Based Internet Isolation)计划:使用云服务商的远程浏览器为 NIPRNet 用户提供互联网的访问。目前的项目已经支持包括了 WEB 和邮件。

发展与业务中心(Development Business Center)在网络发展方面几乎所有的重点项目都是和安全相关的,主要分为四个方面:

  • 边界:增强的流量可见性、增加带宽可用性、降低 WEB 内容威胁。举措中除了基于云的互联网隔离(CBII)以外,在 2018 年都已经出现了。

  • 联合区域安全堆栈(JRSS):工具整合可提高效率并提高流量可见性。

  • 端点:要在 DoD 范围内增加端点可见性、合规性和报告。要淘汰 HBSS,并推动自动化终端监控、EDR、应用沙箱、遵从连接、用户行为监测。

  • 零信任:基于零信任最小特权访问和网络/系统微分割的作战网络安全框架。

其中云端浏览器护理网隔离方案(CBII,Cloud Based Internet Isolation)早在 FY19 就已在 10 万用户范围内进行了测试验证,现在已经增加到 10.5 万用户。正处于国防部内推广部署的阶段,计划将其扩展到整个国防部。2020 年的夏天,DISA 已经授予了 By Light Professional IT Services 的另一项交易协议,上限为 1.989 亿美元。

其中遵从连接(Comply-to-Connect)计划是国防部 CIO 的网络和数字现代化计划的一项举措,旨在改变网络和网络的安全性。这使 DoD 可以控制允许哪些终结点连接到 DoD 网络,并提供对终结点安全合规性的整体更好的了解。将分五个步骤逐步覆盖 SIPRNet 和 NIPRNet。

0x03. 附录:参考资料

  • KATIE BO WILLIAMS. Trump Officials Deliver Plan to Split Up Cyber Command, NSA[J]. 2020. https://www.defenseone.com/policy/2020/12/trump-officials-deliver-plan-split-cyber-command-nsa/170913/

  • TONY MONTEMARANO. AFCEA 2020, Defense Information Systems Agency Joint Force Headquarters – DOD Information Networks[J]. 2020. https://www.disa.mil/-/media/Files/DISA/News/Events/2020-Virtual-Experience/20201103-DISA-101_Mont.ashx?la=en&hash=5887231227346DF772F265C7A3F6EEC7A2AD472D

  • DISA. Assured Identity[J]. 2017. https://disa.mil/-/media/Files/DISA/Fact-Sheets/Fact-Sheet-Assured-Identity_Aug-2017_RELEASABLE.ashx?la=en&hash=A2401FCBF6E7918FCE3098F1EC92FD8AAF98DDDA

  • DISA. Cloud Based Internet Isolation[J]. 2019. https://www.disa.mil/-/media/Files/DISA/Fact-Sheets/Cloud-Based-Internet-Isolation-CBII-Fact-Sheet20190721.ashx?la=en&hash=5DFC2594478284991F4B005AFA41DE26AC73D84A

  • MARK MILES, ANGELA LANDRESS, DARRELL FOUNTAIN. AFCEA 2020, Layered Cyber Defense[J]. 2020. https://events.afcea.org/afceacyber20/Public/SessionDetails.aspx?FromPage=Sessions.aspx&SessionID=8571&SessionDateID=582

  • DISA. DISA Strategic Plan FY2019-2022 Version 2[J]. 2020. https://www.disa.mil/About/Our-Strategic-Plan

  • 奇安网情局. 美国防信息系统局确定未来两年的三大核心技术领域[J]. 2020. https://www.secrss.com/articles/27494

  • 柯善学. DISA 战略计划 2.0 版抬升零信任地位[J]. 2020. https://www.secrss.com/articles/28598

  • MARK POMERLEAU. New internet browsing tools bolster DoD cybersecurity[J]. 2020. https://www.c4isrnet.com/cyber/2020/12/02/new-internet-browsing-tools-bolster-dod-cybersecurity/

声明:本文来自sbilly 的茶馆,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。