美国军方正在加速实施零信任

据Inforisktoday消息，在五角大楼举办的一场研讨会中，五角大楼一位高级技术官员3月29日强调，美国国防部将零信任作为保护军事网络的途径。

美国国防部曾在2022年11月公开表示，将在未来5年内建立零信任技术架构，该战略要求持续的多因素身份验证、网络微隔离，以及更加成熟的自动化分析等。

2023年3月，拜登政府发布新版《国家网络安全战略》，提出了加强网络防御的最新举措和构建所谓数字生态系统，进一步促进政府部门广泛采用零信任体系。

美国军方大力布局网络战

国防部首席信息安全官Sherman在参议院武装部队网络安全小组委员会上说：“承诺到 2027 年在整个国防部实施零信任，鉴于我们面临的地缘政治威胁，这是一个雄心勃勃但又至关重要的里程碑。”

该小组的听证会是在俄罗斯持续入侵乌克兰的背景下举行的。虽然俄乌战争并未涉及一些人预测的全面网络战，但莫斯科已利用网络行动来支持其进攻性军事目标——从战场收益到信息行动以及破坏防御。

委员会主席、参议员乔·曼钦 (DW.Va.) 表示，俄罗斯的入侵表明“网络攻击不再是战争中的新战术。这也是此次我们在五角大楼举行听证会的原因：确保美国军方的防御能力、安全意识以及弹性能够达到与进攻性网络能力相同的标准。”

事实上，美国军方网络安全防御建设已经有了非常明显的进步，并且已经和全球10w+的研究、开发新军事武器系统&零部件的供应商、国防工业基地合作共建网络安全态势。

大力布局零信任背后的原因是，美国军方及其供应商正在面临严重的网络攻击威胁。2022年10月，美国政府曾透露，某未知名的攻击者获得了国防部承包商的网络访问权限，并且在被发现时已经泄露了大量的信息。尽管每年检测到的攻击事件发生率在不断下降，但自2015年以来，针对美国军方、国防部的攻击已经超过1.2w。

Sherman称，俄乌战争在很大程度上影响了五角大楼提升其网络战能力的方法，包括为部署在一线的军事人员启用快速且安全的云防护的能力。

“正如我们在乌克兰看到的那样，今天的战场越来越数字化，并与环境带来的机会和脆弱性密切联系在一起。这是美国自冷战以来从未遭遇的挑战和威胁，且正在变的越来越严重，因此我们必须确保我们所有的系统、网络和数据都准备就绪。”

军方网络提供商、国防信息系统局一年来一直在通过一个名为 Thunderdome 的项目实施零信任，并且已经取得了初步的成果。DISA 主任、空军中将Robert J. Skinner表示，Thunderdome 是一个“非常成功的原型”。五角大楼现在正在努力将它引入更多的企业网络，部分原因是要求所有非国防部开发的软件都有一份软件材料清单。