تعرضت الولايات المتحدة الأمريكية إلى سلسلة اختراقات أمنية لمواقع الإنترنت الحكومية في الأعوام القليلة الماضية، بدءاً بتلك التي استهدفت البيانات الشخصية لأكثر من 22 مليون موظف في الحكومة الفيدرالية في عام 2015، وما تلاها بعد ذلك من هجمات طالت أمن الحكومة السيبراني. وعلى هذا الإثر، وضعت وزارة الدفاع الأمريكية حديثاً أسساً لتطوير حلول الأمن السيبراني قائمة على نظام "الثقة المعدومة" في مختلف دوائرها.
تقف شبكات وزارة الدفاع الأمريكية أمام تحدي أمني خاص بسبب حساسية البيانات التي تحويها وخطورة التداعيات على أمن الدولة في حال اختراقها. ويميل خبراء الأمن السيبراني إلى تفسير تعرض شبكات وزارة الدفاع إلى الاختراق الأمني بسبب ضعف التمويل المخصص لدعم تلك الشبكات وعمل الدوائر الحكومية بمعزل عن بعضها البعض، ما أفقدها مركزيتها، وأدى إلى عدم تكافؤ في تطبيقات تكنولوجيا المعلومات وأمن الشبكات ومستويات الدعم التي تتلقاها الدوائر المختلفة، الأمر الذي زاد من حدة التعقيدات الفنية وأضعف قدرة الشبكات على مواجهة مخاطر الاختراق الداخلية والخارجية.
وبغية التغلب على هذه التحديات، قامت "وكالة نُظم معلومات الدفاع" (DISA) التابعة لوزارة الدفاع الأمريكية بوضع مجموعة من الأسس الناظمة للجيل المقبل من حلول الأمن السيبراني لصالح وزارة الدفاع، بما يضمن أمن البيانات من الهجمات السيبرانية. وجاءت هذه المبادرة كثمرة تعاون بين وزارة الدفاع ووكالة الأمن القومي (NSA)، و"القيادة السيبرانية الأمريكية" (U.S. Cyber Command).
كخطوة أولى، قامت وكالة نُظم معلومات الدفاع وشركاؤها بدراسة أنماط الهجمات السيبرانية التي تعرضت لها وزارة الدفاع في السنوات السابقة، والتي تم على أثرها الوصول إلى عدد من التوصيات التي تم تضمينها في وثيقة بعنوان "الهيكلية المرجعية لأمن سيبراني قائم على انعدام الثقة"، وهي عبارة عن استراتيجية وإطار عمل للأمن السيبراني تشترط وضع معايير أمنية على امتداد بنية الشبكة لمنع أي طرف مشبوه من النفاذ إلى بيانات الشبكة.
ولكن كيف يختلف النظام الحديث عما سبقه من الأنظمة؟ من أبرز الملاحظات التي خلص إليها القائمون على هذا المشروع بعد دراسة حالات الهجمات السيبرانية هي الحاجة إلى استبدال نظام التعريف والتفويض الشخصي الحالي القائم على استخدام بطاقة النفاذ العامة (CAC) بنظام أكثر أمناً، لكونه يفتقد إلى مستويات التحقق المطلوبة. وخلافاً للنظام الحالي، يقوم مبدأ "الثقة المعدومة" كما تشير تسميته بالتعامل مع كل طلب كما لو كان مصدره غير موثوق، عوضاً عن الاعتماد على جدار حماية شبكات المؤسسة لتحديد ذلك. وعلى هذا الأساس، يتحقق النظام من أي طلب بشكل مستقل بغض النظر عن مصدره أو المصدر الذي يصل إليه، كما يتميز بقدرته على اكتشاف الطلبات أو الحالات غير المألوفة والتصدي لها في الوقت الحقيقي.
تواكب مبادرة نظم "الثقة المعدومة" الجهود التي بذلتها وزارة الدفاع، ومنها إطلاق استراتيجية الأمن السيبراني لعام 2018، واستراتيجية التحديث الرقمي في عام 2019، لإنشاء بنية تكنولوجيا المعلومات في الوزارة تكون أكثر أمناً وفعالية وأقل تكلفة. وتمتاز الوثيقة التي أطلقتها الوزارة مؤخراً بشموليتها وتقديمها أسس وخطوات مبسّطة يمكن للدوائر الحكومية أن تتبعها بسلاسة. حيث تقدم وصفاً لسبع ركائز في نظام الأمن السيبراني ذو "الثقة المعدومة" يجب التعامل معها لتحقيق أفضل النتائج، وهي المستخدم، والجهاز، الشبكة و/أو البيئة، التطبيق وعبء العمل، البيانات، وعمليات تحليل البيانات، والأتمتة والذكاء الاصطناعي. كما تحدّد وثيقة "الثقة المعدومة" المعايير الفنية والقانونية التنظيمية والإجرائية التي تنطبق على كل ركيزة، ومن هي الجهات والمعنيين الذين سيتوجب عليهم تطبيق النظام الجديد، وهم الأفراد والمؤسسات داخل الوزارة ممن تقع على عاتقهم مسؤولية تنظيم بيئة العمل وضمان متطلبات الأمن السيبراني للنظام.
ويتوقع القائمون على المبادرة أن يعزز نظام "الثقة المعدومة" أمن شبكات وزارة الدفاع، وأن يحقق الفوائد التالية: 1) تحديث البيئة الشاملة للشبكات بهدف معالجة الثغرات ونقاط الضعف فيها، 2) تبسيط الهيكلية الأمنية للشبكات وجعل استخدامها أكثر سلاسة، 3) تنسيق السياسات عبر مختلف الشبكات وبين الدوائر للوصول إلى أعلى مستوى من الفعالية والاتصال، 4) تحقيق الأداء الأمثل لعمليات إدارة البيانات وتحليلها.
يعد مفهوم "الثقة المعدومة" نقلة نوعية في فلسفة أمن الشبكات وحماية البنى التحتية والبيانات، فعوضاً عن القيام بعمليات تَحقُق محدودة، والاستجابة للتهديدات فقط عندما يتم الإبلاغ من قبل تطبيقات الحماية الأمنية ضمن الشبكة، يقوم النظام المستحدث بالتحقق من كل مستخدم، وجهاز، وتطبيق، وطلب بغض النظر عن مصدره. والأهم من ذلك فهو يؤدي إلى تبسيط المعاملات مع جعلها أكثر أماناً ومن دون أن يتسبب بإعاقة سير العمليات على الشبكة.
المراجع:
- https://opengovasia.com/u-s-defense-agency-delivers-zero-trust-cybersecurity-reference-architecture/
- https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v1.1(U)_Mar21.pdf
- https://www.nextgov.com/cybersecurity/2021/05/disa-releases-initial-zero-trust-reference-architecture/174050/