Tekniska ämnen

Vad är Trusted Internet Connection (TIC) 3.0?

Illustration av IT-artiklar med fokus på en bärbar dator

Översikt

Trusted Internet Connection (TIC) är ett federalt initiativ som lanserades 2007 för att förbättra myndigheternas Internet Points of Presence och externa nätverksanslutningar. TIC 3.0 är den senaste iterationen av detta initiativ, som moderniserar federal IT och gör det möjligt för statliga myndigheter att få tillgång till molntjänster och arbeta på distans med säkerhet.

Så, vad är en betrodd internetanslutning? Enkelt uttryckt är en betrodd internetanslutning en del av mandatet från Office of Management and Budget som var avsett att begränsa antalet gateways i det statliga nätverket. TIC kräver att all federal internettrafik dirigeras genom en byrå som är TIC-godkänd.

Traditionellt har myndigheter förlitat sig på perimeterbaserade säkerhetslösningar. Dessa metoder fungerade (i viss utsträckning) när de flesta anställda arbetade inom perimetern och fick tillgång till applikationer och data via datacentret.

Förväntningarna är höga på att TIC 3.0 kommer att förbättra säkerheten avsevärt i dagens molnbaserade IT-miljö. Men för att uppnå de fulla fördelarna inser byråerna att de också måste anta en Zero Trust-säkerhetsmodell för att säkerställa att data i nätverksapplikationerna är skyddade.

Betrodd internetanslutning

Vad är Zero Trust och hur förhåller det sig till TIC 3.0?

Zero Trust har varit ett mål för organisationer i allt högre grad sedan det introducerades 2010; TIC 3.0 är ett federalt mandat. TIC 1.0 och TIC 2.0 var nästan uteslutande inriktade på säkerhet för nätverksåtkomst. TIC 3.0 är främst inriktad på data och användarbeteende, vilket återspeglar både utvecklingen av moderna hot och de inneboende svagheterna i ren nätverkssäkerhet.

Enligt den senaste NIST-vägledningen som publicerades i augusti 2020 (Zero Trust Architecture - nist.go) är Zero Trust (ZT) termen för en utvecklad uppsättning cybersäkerhetsparadigm som flyttar försvaret från statiska, nätverksbaserade perimetrar till att fokusera på användare, tillgångar och resurser, t.ex. data.

Zero Trust innebär att det inte finns något implicit förtroende för tillgångar (t.ex. data) eller användarkonton som endast baseras på deras fysiska eller nätverksmässiga placering (t.ex. lokala nätverk jämfört med internet) eller på ägande av tillgångar (företags- eller privatägda). Autentisering och auktorisering (av både ämne och enhet) är diskreta funktioner som utförs innan en session till en företagsresurs upprättas. Zero Trust är ett svar på trender inom företagsnätverk som inkluderar fjärranvändare, BYOD (bring your own device) och molnbaserade tillgångar som inte finns inom en företagsägd nätverksgräns.

Zero Trust fokuserar på att skydda resurser (tillgångar, tjänster, arbetsflöden, nätverkskonton etc.), inte nätverkselement, eftersom nätverket nu inte längre är tillräckligt för att säkerställa resursens säkerhet. Nedan beskriver vi Zero Trust-dimensionerna och ger allmänna implementeringsmodeller och användningsfall där Zero Trust kan förbättra ett företags övergripande informationstekniska säkerhetsställning.

Sara Mosley, strategisk arkitekt på utrikesdepartementet, sa nyligen i en artikel att TIC 3.0 och Zero Trust är dimensioner av en ny säkerhetsfilosofi som påskyndats och lyfts fram av pandemin.

Läs mer om Zero Trust.


Vad är skillnaden mellan TIC 2.0 och TIC 3.0?

Vi vet att den federala regeringen uppdaterade sin TIC-policy (Trusted Internet Connection), men varför var en förändring nödvändig och vilka förbättringar gjordes jämfört med version 2.0?

Ett olyckligt arv från perimetersäkerheten, som var det enda fokuset för TIC 1.0 och TIC 2.0, är en genomgripande falsk känsla av säkerhet. Genom att fokusera på att hålla inkräktare utanför skyddsmuren blev företagen sårbara för hot inifrån. Säkerhetsöverträdelser upptäcktes ofta inte på många månader.

Enligt Cybersecurity and Infrastructure Security Agency (CISA) säkrade TIC 2.0 en myndighets perimeter genom att all inkommande och utgående data kanaliserades till en enda åtkomstpunkt. I 3.0 får myndigheterna större flexibilitet att välja de säkerhetsplaner som bäst passar deras eget nätverk och specifika behov.

Den senaste generationen av Trusted Internet Connection (TIC 3.0) kommer att göra det enklare för myndigheter att modernisera när de uppgraderar sina nätverk och datacenterinfrastrukturer. "TIC 3.0 ger den flexibilitet som vi behöver för att gå vidare", sa Allen Hill, chef för Office of Telecommunications Services inom GSA:s Federal Acquisition Services, under ett offentligt möte i mitten av november om myndighetens 15-åriga Enterprise Infrastructure Solutions (EIS) -kontrakt värt 50 miljarder dollar.

TIC-arbetet, som syftar till att hålla federal webbtrafik säker, inleddes för mer än ett decennium sedan när myndigheter säkrade trafiken med mängder av dedikerade datacenter, säkerhetsanordningar och virtuella privata nätverk. Sedan dess har federala myndigheter övergått till molnteknik med dess mer effektiva, skalbara och fjärrstyrda dataöverföringsmetoder som gör dessa äldre skydd föråldrade.

EIS innehåller även mjukvarudefinierade nätverkstjänster som dramatiskt utökar nätverksparametrarna. TIC 2.0 ger en mångsidig routing runt flaskhalsar i nätverket som Software Defined Networks (SDN), och det begränsar vilka rutter som kan användas, säger han.

"När molnet blev nyckeln till moderniseringsinsatserna" blev TIC 2.0 "en begränsning", säger John Simms, biträdande avdelningschef för Cybersecurity Assurance Branch i CISA:s Federal Network Resilience Division. Simms sa att hans byrå vill se hur TIC 3.0 kan säkra molnmiljöer. "Vi behöver inte bara tänka på nätverksperimetern eller nätverkstrafiken, utan på själva applikationerna och hur vi kan vara smarta när det gäller att använda teknik för att säkra dessa applikationsstackar, data och övervakning."

CISA, GSA och Chief Information Security Officer Council utvecklar pilotprogram för TIC 3.0 och användningsfall för specifika applikationer, säger Shawn Connelly, TIC-programchef och senior cybersäkerhetsarkitekt på CISA. De nuvarande användningsfallen omfattar infrastruktur-as-a-service (IaaS), programvara-as-a-service (SaaS), e-post-as-a-service (EaaS) och plattform-as-a-service samt applikationer för filialkontor, men enligt Connelly kan myndigheter föreslå mer.

"TIC 3.0 ger myndigheter utrymme att delta i pilotprojekt för nya tolkningar" för användningsfall, säger han. CISA kommer att arbeta med myndigheten under pilotperioden för att utveckla bästa praxis, göra applikationstolkningen mer leverantörsoberoende och se hur den kan användas inom hela den federala regeringen", säger Connelly.

CISA, sa Connelly, pratar för närvarande med byråer om ett användningsfall med nollförtroende och ett användningsfall med partnersamarbete.

I TIC 3.0 kan myndigheter implementera säkerhetsåtgärder närmare sina data och etablera förtroendezoner och användningsfall i stället för att omdirigera data till åtkomstpunkter för inspektion. En sådan flexibilitet är särskilt användbar när man arbetar med SaaS-teknik (Software as a Service) och när anställda arbetar på distans.

TIC 3.0 inser att perimeterbaserad säkerhet inte längre är tillräcklig. Detta beror delvis på att så många användare eller system arbetar utanför perimetern; dessutom har illasinnade aktörer blivit mycket skickligare på att stjäla inloggningsuppgifter och ta sig innanför perimetern.


Vad kräver TIC 3.0?

TIC 3.0 innehåller fem säkerhetsmål som gör det möjligt för federala myndigheter att övergå till nolltillitsmodellen:

  1. Trafikhantering - Validering av betrodda internetanslutningar och säkerställande av att auktoriserade aktiviteter är säkra. Övervakning av vem som har tillgång till specifika data, varför tillgång beviljades och om tillgång fortfarande är nödvändig.

  2. Trafiksekretess - Hålla information om vilka data som används, vem som skickar dem och vem som tar emot dem privat och säker. Kontroll av att endast behörig personal har tillgång till trafikdata.

  3. Trafikintegritet - Upprätthållande av dataintegriteten under transitering. Förhindra att data ändras och/eller upptäcka eventuella ändringar.

  4. Service resiliency - Säkerställa kontinuerlig drift av säkerhetssystem. Hoten växer och utvecklas ständigt, och det är viktigt att systemen kan hantera nya hot och ny teknik.

  5. Tidiga och effektiva reaktioner - När hot upptäcks är reaktionstiden avgörande. TIC 3.0 främjar effektiva reaktioner, anpassning av framtida reaktioner, implementering av nya policyer och antagande av nya motåtgärder när ett system har utsatts för intrång.


Vad är hanterad trafik i TIC 3.0?

Trafikhantering inom TIC 3.0 kommer att "observera, validera och filtrera dataförbindelser för att anpassa dem till auktoriserade aktiviteter, minsta möjliga privilegium och standardavvisning".

Utmaningen med att effektivt hantera trafiken är att veta var data finns och vem eller vad som ska ha tillgång till den hela tiden - i vila och i transit. För att få den kunskapen behöver myndigheter verktyg som ger en konsekvent och övergripande bild av identiteter inom och utanför organisationer. Ett effektivt verktyg samlar in och bearbetar data om identitetsstyrning och ger insikt i vem som har åtkomst, varför åtkomst beviljades och om åtkomsten fortfarande behövs. Kontinuerlig övervakning och uppdateringar ger en enda sanningskälla för identitet och åtkomst.

Myndigheter kan börja med att bedöma var de befinner sig i säkerhetsmatrisen i förhållande till Identity and Access Management (IAM). IAM är en modell med flera nivåer där varje säkerhetsnivå utgör en grund för efterföljande nivåer.

  • Säkerhet på nivå ett består av fyra komponenter. Den första är single sign-on och kanske en viss nivå av federation på avdelningsnivå.
  • Nivå två är möjligheten att tillhandahålla användare på ett automatiserat och verifierbart sätt - i motsats till att en blivande användare får ett papper eller ett e-postmeddelande för att skapa ett användarformulär.
  • Nivå tre är användarnas självbetjäning för att säkerställa att användarna autentiseras för åtkomst, senaste behörigheter, tidigare användning etc. på ett kontrollerbart sätt.
  • Nivå fyra är delegerad administration.

Hur skyddar du trafikintegriteten i TIC 3.0?

TIC 3.0 kräver att endast behöriga parter kan urskilja innehållet i data under transport, identifiering av avsändare och mottagare samt verkställighet.

Utmaningen med att skydda trafiksekretessen handlar om att kryptera data under transport, inklusive ostrukturerad data, och att bekräfta identiteten hos avsändare och mottagare. En lösning är teknik som bygger in kärndrivrutiner i filsystemstacken i Windows och andra system, och som fungerar transparent för slutanvändaren. En drivrutin fångar upp filer, krypterar och dekrypterar data i farten och fungerar med alla applikationer och filtyper.

Organisationer kan använda policyregler för att säkerställa automatisk kryptering av data i realtid, utan att arbetsflödet blir långsammare. Dessa lösningar möjliggör också övervakning av data i realtid, inklusive insamling och analys av information som när och var en fil öppnades och hur den användes.

För att skydda trafikens konfidentialitet krävs formatbevarande kryptering, och nivå två för identitetshantering omfattar ett halvdussin funktioner.

  1. Den första är multifaktorautentisering, inklusive en rad nya inloggningsmöjligheter som infördes under pandemin som svar på det ökade antalet distansarbeten.
  2. Det andra är ökad synlighet kring styrning, med avseende på vem som har tillgång till olika tillgångar.
  3. Den tredje är hantering av privilegierad åtkomst, som handlar om olika säkerhetsnivåer som systemadministratörer har tillgång till och kan bevaka.
  4. Fourth är en virtuell katalog över användare och funktioner som uppdateras regelbundet och aldrig är statisk.
  5. Den femte är tjänstesäkerhet och förändringsövervakning, och nästa är datasäkerhet och kryptering.

Hur säkerställer TIC 3.0 tjänsternas robusthet?

Service resiliency främjar motståndskraftiga applikationer och säkerhetstjänster för kontinuerlig drift i takt med att tekniken och hotbilden utvecklas. Effektiva uppdrag kräver systemkontinuitet och tillförlitlighet. Att garantera drifttid kan vara en utmaning när kraven på ett system ökar eller ett nätverk utsätts för angrepp, särskilt om IT-teamet är överbelastat. Genom att automatisera vardagliga och repetitiva uppgifter och lägga till arbetsflödesprocesser kan man avlasta den mänskliga arbetskraften och hålla verksamheten igång. Specialiserad programvara har kapacitet att hantera hälften eller mer av incidenthanteringsuppgifterna. Automatisering av arbetsflöden och AI kan undersöka slutpunkter, konfigurera brandväggar, isolera datorer i ett nätverk och låsa användarkonton.

Dessa tekniker hjälper också mänskliga analytiker genom att samla in data för att påskynda analysen och vidta åtgärder. I fallstudier kan integrerad AI och maskininlärning påskynda utredningen av och responsen på incidenter med en faktor 10. När det gäller att upptäcka och hantera hot räknas varje sekund. En kraftfull SIEM-plattform (Security Information and Event Management) upptäcker, analyserar och prioriterar dessa hot i realtid. Effektiva plattformar stöder också säkerhetsoperationscenter (SOC) med arbetsflöde, respons och efterlevnadshantering. En branschledande hotkorrelationsmotor främjar effektiv säkerhetsanalys i en SOC.


Hur säkerställer TIC 3.0 en effektiv incidenthantering?

TIC 3.0 främjar snabb reaktion och anpassar framtida svar för att upptäcka hot; definierar och implementerar policyer; och förenklar antagandet av nya motåtgärder är det viktigaste målet för incidenthantering.

Det interna hotet utgörs idag till stor del av applikationskod och applikationssäkerhet. I genomsnitt består de applikationer som används av statliga myndigheter till 80 % av anpassad kod eller öppen källkod. De kommer inte från en leverantör som har testfunktioner för programvara i företagsklass eller ens ansvar. Cyberincidenter och intrång är i 85 % av fallen ett resultat av anpassad kod eller öppen källkod. Den koden är den verkliga möjligheten till säkerhetsproblem.

För närvarande reagerar organisationer rutinmässigt på stora volymer varningar och hotdata som kräver omedelbar uppmärksamhet. För att hantera det oavbrutna flödet av kritisk data kommer myndigheter i framtiden att utnyttja mer maskindrivna automatiserade aktiviteter. Organisationer som rör sig mot TIC 3.0 kommer att dra nytta av teknik som hjälper organisationer att ha en central plats för att samla in varningar och hotflöden - och att svara och åtgärda incidenter i maskinhastighet.


Vilka verktyg och metoder kan användas för att uppfylla TIC 3.0?

Multifaktorautentisering (MFA) gör det möjligt att centralisera hanteringen av autentisering och auktorisering. Strömlinjeformad hantering från en enda lösning sänker kostnaderna och stärker säkerheten. Lösningar som kan utnyttja öppna standarder möjliggör snabb integration och skyddar mot säkerhetsöverträdelser och risken för inlåsning av leverantörer. Den inbyggda flexibiliteten i ett avancerat ramverk för autentisering gör det möjligt att anpassa säkerhetsprotokoll och metoder samt förbättra den övergripande användarupplevelsen.

Formatbevarande kryptering (FPE) är en ny typ av kryptering som används för att kryptera en vanlig text som bevarar sin ursprungliga längd och format som beskrivs av NIST-standarden (SP 800-38G) är omfattande granskad och validerad av kryptografiska samfundet och säkerställer att alla exfiltrerade data är värdelösa. Den här typen av säkerhetslösningar, t.ex. Voltage, kan enkelt implementeras i befintliga applikationer.

Programvara för Security Orchestration, Automation and Response (SOAR) kan automatisera tre huvudkategorier av aktiviteter, som alla traditionellt utförs manuellt av analytiker:

  • Automatiserad triagering: I stället för att en analytiker på nivå 1 granskar larmet och gör en manuell triagering kan Arcsight SOAR göra en automatiserad triagering. Det kan handla om att köra vissa kontroller för att eliminera grundläggande falska positiva signaler, leta upp tillgångar, IP-adresser etc. för att justera allvarlighetsgraden, kanske konsolidera flera olika larm till ett enda incidentärende och till och med automatiskt skicka ärendet till rätt medlem eller grupp inom SecOps-teamen. Målet med den här typen av automatisering är att eliminera Tier-1-arbete så mycket som möjligt över tid.
  • Datainsamling och korrelation hjälper till att färga incidenten med relevanta data för att förstå en incident bättre. Att leta upp en användare i Active Directory, kontrollera om någon har dragit sin bricka in i byggnaden, samla in hashes för alla program som körs på en viss dator och hämta alla webbloggar för en användare från Arcsight Logger är exempel på sådana SIEM-logghanterings- och datainsamlingsaktiviteter. I SOAR-jargongen kallas dessa för berikningar; data som hjälper till att förstå situationen bättre. Automatiserad datainsamling har i allmänhet fantastiska fördelar; så snart du ser en incident på din skärm kan all relevant data redan ha samlats in och presenterats för dig på samma skärm. Du behöver inte gå till olika platser och samla in data manuellt. Normalt kan ArcSight SOAR från OpenText™ konsolidera 5 000 varningar till en hanterbar individuell 250 incidenter, vilket minskar SOC-analytikernas arbetsbelastning redan innan vi börjar arbeta.
  • Automatiserad begränsning: Du kan vidta åtgärder på infrastruktur och säkerhetsenheter för att begränsa en pågående attack; blockering av en IP på brandväggen, en URL på en webbgateway, isolering av en dator på NAC är exempel på sådana åtgärder.

Styrkan med den här typen av automatisering är att du kan blanda och matcha alla dessa kategorier och bygga heltäckande spelböcker med fullständig automatisering, om du vill.


Hur kommer TIC-säkerheten att utvecklas i offentlig sektor?

Systemets motståndskraft och riskhantering kan också båda dra nytta av implementeringen av TIC 3.0.

Användningsfall som involverar nollförtroende, Internet of Things (IoT), kommunikation mellan myndigheter och SaaS förväntas alla publiceras när TIC fortsätter att utvecklas. Dessa användningsfall kommer att ge vägledning till byråer när de konfigurerar plattformar och tjänster för att vara i enlighet med 3.0.

Överlappningar har också gjorts för att använda plattformar som tillhandahålls av externa leverantörer för att säkerställa att TIC:s säkerhetsfunktioner fungerar fullt ut på alla plattformar.

Myndigheter kan delta i TIC-pilotprojekt för scenarier som ännu inte omfattas av användningsfall. Denna samarbetsprocess stöds av ledarskap som CISA och OMB och kan ge upphov till nya användningsområden för teknik som används av den federala regeringen.

OpenText har åtagit sig att vara en partner i den digitala omvandlingen av företag, verksamheter och federala myndigheter. Vår öppna och flexibla programvara hjälper företag att övergå till att använda framtidens teknik, bland annat genom att tillhandahålla TIC 3.0-tjänster och lösningar. Läs mer om OpenText Government Solutions som kan hjälpa dig att modernisera och säkra dina nätverks- och datacenterinfrastrukturer med TIC 3.0 och Zero Trust.

Hur kan vi hjälpa till?

Fotnoter