Cybersecurity and Infrastructure Security Agency รีบออกคำแนะนำชั่วคราวเพื่อให้การทำงานทางไกลง่ายขึ้นสำหรับพนักงานของรัฐบาลกลางที่ใช้บริการคลาวด์เหตุผลที่ CISA พัฒนาเอกสารในช่วงเวลาที่เร่งขึ้น ส่วนหนึ่งเป็นเพราะหน่วยงานนำร่อง เช่น Small Business Administration และ Department of Justice and Energy เสร็จสิ้นในปีที่ผ่านมาSean Connelly ผู้จัดการโครงการ TIC ของแผนกความมั่นคงแห่งมาตุภูมิกล่าวในการให้สัมภาษณ์กับAsk the CIO
ในเดือนมีนาคมว่ากรณีการใช้งาน เช่น กรณีสำหรับสำนักงาน
สาขาหรือผู้ปฏิบัติงานทางไกล ได้รับอิทธิพลอย่างมากจากนักบินที่พิสูจน์ว่าความยืดหยุ่นและความปลอดภัยไม่ได้ ไม่จำเป็นต้องเป็นด้านตรงข้ามของเหรียญเดียวกัน
Sean Connelly เป็นผู้จัดการโปรแกรม TIC ของแผนกความมั่นคงแห่งมาตุภูมิ
“สิ่งหนึ่งที่เรารับรู้คือเมื่อเราพูดคุยกับเอเจนซี และโซลูชันที่พวกเขากำลังสร้างขึ้นอาจมุ่งเน้นไปที่ส่วนเล็กๆ ของบริการที่ผู้ให้บริการระบบคลาวด์มอบให้เท่านั้น” คอนเนลลีกล่าว “สิ่งหนึ่งที่เราต้องทำคือการทำงานร่วมกับนักบินหลายคนเพื่อจับภาพบริการคลาวด์ที่มีอยู่มากมาย สิ่งสำคัญสำหรับเราคือเมื่อเอเจนซี่กำลังแสดงวิสัยทัศน์ของพวกเขาคือการทำความเข้าใจการไหลของข้อมูล หน่วยงานจำเป็นต้องเข้าใจข้อมูลที่ต้องการปกป้องอย่างแท้จริง หน่วยงานจำเป็นต้องเข้าใจโฟลว์ที่ออกมาจากระบบ ว่าพวกเขากำลังไปที่ใด และผู้ใช้ที่แตกต่างกันที่จะใช้มัน ไม่ใช่แค่พนักงานของรัฐบาลกลางเท่านั้น แต่รวมถึงสาธารณะ ระบบต่อระบบ และไฮบริดหรือมัลติคลาวด์ เราต้องการให้หน่วยงานต่างๆ อธิบายให้เราฟังในขณะที่พวกเขากำลังสร้างและเลือกนักบินเหล่านั้น”
Insight by Tanium: เอเจนซีกำลังฝึกฝนวิธีที่ดีที่สุดในการรักษาความปลอดภัยซอฟต์แวร์และมองเห็นซัพพลายเออร์ได้ดีขึ้น เราพูดคุยกับผู้นำจาก DoD, FDA, GSA, NASA และรัฐเพื่อเปิดเผยว่าหน่วยงานต่าง ๆ ตอบสนองความต้องการในการมองเห็นแนวทางปฏิบัติทางไซเบอร์ของผู้ขายได้อย่างไร
Connelly กล่าวว่าโครงการนำร่อง TIC ของ SBAเป็นมาตรฐานทองคำที่เชื่อมต่อกับเครื่องมือรักษาความปลอดภัยบนคลาวด์เพื่อดูบริการในสถานที่และบริการเครือข่ายคลาวด์ แทนที่จะพยายามควบคุมให้ตรงกับข้อกำหนดของ TIC แบบควบคุมโดยการควบคุม SBA มุ่งเน้นไปที่ผลลัพธ์ ซึ่งเป็นการทำความเข้าใจและดำเนินการกับภัยคุกคามและช่องโหว่ของเครือข่ายแบบเรียลไทม์
“สิ่งหนึ่งที่น่าสนใจในการทำงานกับทีมของ Energy
คือเราสร้างพื้นฐานว่าพวกเขาต้องการรักษาความปลอดภัยของสภาพแวดล้อมอย่างไร แต่พวกเขาตระหนักว่าพวกเขาต้องการโซลูชันการรักษาความปลอดภัยบางอย่างที่เหนือกว่าและเหนือกว่าที่ TIC นำเสนอในขณะนั้น TIC คือบรรทัดฐานและเอเจนซียินดีที่จะก้าวไปไกลกว่าบรรทัดฐาน”
คำแนะนำ CISA สำหรับบริการคลาวด์
แนวทาง telework TIC 3.0ใหม่แสดงให้เห็นถึงสิ่งที่ DHS ได้เรียนรู้จนถึงตอนนี้
กรณีศึกษาของ telework หรือสำนักงานสาขาให้ชุดย่อยของความสามารถด้านความปลอดภัยที่ใช้กับ telework surge ในปัจจุบัน และสามารถใช้เพื่อป้องกัน บรรเทา และตรวจจับภัยคุกคามที่เกิดขึ้นใหม่บางส่วน Federal News Network รายงานการพัฒนาคำแนะนำนี้เป็นครั้งแรกเมื่อสัปดาห์ที่แล้ว
“ในขณะที่หน่วยงานต่าง ๆ เลิกใช้สถาปัตยกรรมเครือข่ายแบบดั้งเดิมสำหรับการเข้าถึงระยะไกล จะมีการพึ่งพากลไกการตรวจสอบความถูกต้องมากขึ้นในการตรวจสอบผู้ใช้ระยะไกล” DHS ระบุในคำแนะนำ “ผู้ปฏิบัติงานทางไกลต้องการการเข้าถึงทรัพยากรในวิทยาเขตของหน่วยงาน บริการคลาวด์ที่หน่วยงานอนุญาต และบนเว็บสาธารณะ รูปแบบการรักษาความปลอดภัยแต่ละรูปแบบเหล่านี้นำเสนอความเสี่ยงที่ไม่ซ้ำกันและความสามารถด้านความปลอดภัยที่สอดคล้องกันสำหรับการใช้งานที่เหมาะสม”
คำแนะนำดังกล่าวยังแนะนำข้อกำหนดด้านความปลอดภัยใหม่ๆ ที่มีลักษณะเฉพาะสำหรับการทำงานระยะไกลเช่น ข้อกำหนดเกี่ยวกับแพลตฟอร์มการสื่อสารแบบรวมศูนย์และการปกป้องข้อมูลที่ไม่ได้ใช้งานและอยู่ระหว่างการส่ง
“ผู้เข้าร่วมการประชุมเสมือนจริงต้องใช้ความระมัดระวังและตระหนักในเนื้อหาที่พวกเขาแบ่งปันเพื่อให้แน่ใจว่ามีการแบ่งปันเนื้อหาที่ได้รับอนุญาตเท่านั้น” เอกสารระบุ “ผู้เข้าร่วมจำเป็นต้องทราบด้วยว่าเนื้อหาใด ๆ ที่แบ่งปันอาจถูกแบ่งปันอย่างกว้างขวางกว่าที่พวกเขาตั้งใจไว้ ผู้เข้าร่วมรายอื่นอาจใช้อุปกรณ์จับภาพหน้าจอหรือบันทึกเนื้อหาใดๆ และทั้งหมด ไม่ว่าจะโดยไมโครโฟนและ/หรือกล้องที่แพร่ภาพเนื้อหาเพิ่มเติมที่ไม่ต้องการหรือเนื้อหาที่ไม่เกี่ยวข้องเมื่อแชร์หน้าจอ ควรใช้ความระมัดระวังเป็นพิเศษเมื่อแบ่งปันและรับไฟล์ รวมถึงเมื่อให้การควบคุมระยะไกลกับคอมพิวเตอร์ โดยเฉพาะอย่างยิ่งหากปล่อยทิ้งไว้โดยไม่มีใครดูแล”
คำแนะนำนี้จะมีผลจนถึงสิ้นปีปฏิทิน 2020