Hackerii și actorii sponsorizați de stat cercetează constant punctele slabe, cu scopul de a fura sau manipula datele sensibile găsite în instituțiile guvernamentale sau de apărare.
Atunci când chiar și o singură breșă de securitate ar putea destabiliza sistemele, informațiile sensibile devin fie un atu cheie, fie o armă devastatoare.
Dar securitatea nu este universal valabilă, așa că cum protejăm aceste date?
Pe măsură ce amenințările evoluează, la fel trebuie să evolueze și apărarea noastră.
Trebuie să construim sisteme care se pot integra, scala și se pot adapta nevoilor unice ale fiecărei entități.
CDS (Cross-Domain Solutions) sunt un astfel de sistem; și pot deveni complexe pentru a asigura protecția mediilor relevante.
Mizele mari necesită flexibilitate și reziliență
O soluție interdomenii este mecanismul utilizat pentru a securiza datele critice și a permite comunicarea între diferite niveluri de medii clasificate.
Aceste sisteme variază, de obicei, de la nivelul inferior de clasificare (date nerestricționate) la cel mai sensibil nivel de informații (strict secret). O funcție-cheie a domeniului transversal este protejarea mediului de găzduire, a aplicațiilor și a depozitelor de date asociate cu clasificarea superioară.
Să nu uităm că un CDS are și rolul de a asigura răspunderea persoanei care decide să mute datele în afara clasificării superioare.
În cadrul CDS, trebuie selectat un set de SEF (Security Enforcing Functions - Funcții de asigurare a securității) pentru a răspunde situației specifice interdomenii abordate.
Chiar și cel mai simplu CDS poate avea mai multe componente.
Cum protejează Cross-Domain instituțiile guvernamentale și de apărare
Având în vedere impactul potențial al compromiterii datelor sensibile, un CDS adaugă un nivel vital de securitate pentru protejarea integrității operațiunilor și a siguranței activelor naționale.
Riscuri de import și export
Transferul de date este întotdeauna riscant, dar în sectoarele guvernamental și de apărare, riscul este amplificat de capacitățile avansate pe care actorii amenințători le pot folosi pentru a exfiltra sau corupe informații sensibile.
În cazul în care nu reușim să gestionăm în siguranță transferurile de date, informațiile sensibile pot fi divulgate și este posibil să acordăm fără să știm persoanelor neautorizate acces la medii sensibile.
În toate aceste scenarii, consecințele ar putea paraliza operațiunile, pune în pericol personalul sau compromite securitatea națională.
Reglementări în Guvern și Apărare
Autoritățile tehnice naționale au recunoscut modele arhitecturale și rezultate care ghidează Guvernul și Apărarea atunci când proiectează și implementează soluții inter-domenii.
De exemplu, Regatul Unit are două modele pentru transferul de date, definite de Centrul Național de Securitate Cibernetică (NSCS ):
- Importarea datelor în siguranță
- Exportul în siguranță al datelor
Accentul este puțin diferit pentru importul și exportul de date.
Importul se referă la protecția mediului high side (nivel superior), asigurând o bună igienă a datelor, inclusiv detectarea atacurilor Zero-Day.
Exportul de date se concentrează pe transmiterea corectă a informațiilor de la un domeniu superior la unul inferior.
Un CDS creat pentru a proteja instituțiile din Regatul Unit ar trebui să urmeze aceste modele, care pot fi ușor susținute de o arhitectură de securitate cibernetică mai modulară.
Regatul Unit nu este singura regiune cu astfel de modele în vigoare.
National Cross-domain Strategy & Management Office din Statele Unite și-a elaborat propriile standarde și documente de orientare privind arhitectura CDS, la fel ca și NATO
Deși aceste modele diferă într-o oarecare măsură, ele au asemănări cu modelele CDS din alte țări și regionale.
Într-un mediu atât de strict reglementat, organizațiile de găzduire a datelor trebuie să construiască un sistem care să ofere reziliența, auditabilitatea și scalabilitatea necesare unui CDS funcțional.
Pentru un astfel de sistem, o combinație de componente software și hardware modulare permite o abordare mai personalizată, respectând orientările privind modelele de proiectare și permițând extinderea și adaptarea funcțională pe măsură ce setul de nevoi interdomenii crește.
De ce este Cross-Domain o provocare?
Chiar dacă CDS-ul se bazează pe modele predefinite, proiectarea sistemului nu este simplă.
În trecut, CDS putea însemna doar două comunități de interese (COI) care schimbau un set limitat de date între două clasificări.
O soluție statică, centrată mai mult pe hardware, a fost în mod natural mai potrivită.
Acreditarea unei soluții în această circumstanță poate fi considerată o sarcină mai ușoară decât un CDS mai complex.
Oricât de simplu ar părea, acest lucru poate duce la o proliferare a soluțiilor mici, care nu pot fi agregate și devin problematice de gestionat.
În prezent, COI sunt mai diverse, tipurile de date necesare pentru transfer s-au extins masiv, iar platformele de găzduire la nivel înalt și scăzut au profitat de tehnologiile bazate pe cloud.
Combinată cu evoluția amenințărilor, proiectarea unui CDS durabil necesită o abordare mai modulară și mai orchestrată.
Tipuri și volume de date crescute
Datele solicitate de organizațiile guvernamentale și de apărare sunt de mai multe tipuri și pot proveni dintr-o multitudine de surse.
Unele dintre aceste date vor fi sarcini de lucru standard bazate pe utilizator, cum ar fi fișierele de productivitate pentru birou. Alte tipuri vor fi sarcini de lucru bazate pe sistem, cum ar fi actualizările de sistem sau fișierele bazate pe cod, în timp ce unele vor fi geospațiale, de comandă și control și pot include formate mai proprietare.
Soluțiile interdomenii ar trebui să fie capabile să gestioneze în siguranță orice gamă de formate, adesea bilateral, precum și flexibilitatea de a adăuga noi tipuri atunci când este necesar. Volumele se pot schimba, de asemenea - soluțiile mai limitate și statice pot avea volume bine delimitate și înțelese, dar soluțiile mai mari și mai dinamice pot avea variații considerabile.
Scalabilitatea devine esențială în aceste medii, prin care o soluție se pretează la o combinație de software și hardware securizat, dar scalabil, pentru a obține SEF-urile necesare, dar într-un mod extensibil.
Amenințări emergente
Actorii statului-națiune vor căuta întotdeauna să dobândească sau să perturbe date sensibile.
Acestea vor viza datele în sine, stocarea datelor sau aplicațiile care le consumă.
Cu cât datele sunt mai sensibile, cu atât impactul asupra securității este mai mare, fie ea personală, națională sau regională, ceea ce duce la compromiterea persoanelor, a bunurilor și a comerțului.
Deși măsurile tradiționale de securitate din cadrul mediilor clasificate pot preveni anumite breșe de securitate, mișcarea datelor între diferite niveluri de securitate creează vulnerabilități. Acest lucru oferă actorilor amenințători oportunitatea de a perturba aceste date.
Asigurarea integrității datelor (nu doar a confidențialității acestora) este extrem de importantă. Ofuscarea (criptarea) nu este același lucru cu "corectitudinea", iar această cerință privind "conținutul corect" este un scop esențial al unui CDS.
Mediile de clasificare inferioară sunt adesea mai sensibile la infecțiile malware și la încercările de manipulare a datelor, astfel încât este esențial să se asigure igiena datelor atunci când acestea trec de la o clasificare la alta.
Pe măsură ce datele trec peste granițele de încredere, un CDS trebuie să invoce funcții pentru a asigura igiena datelor, prevenind orice compromitere a mediului de clasificare superioară și a seturilor de date.
Noi modele operaționale
Izolarea permanentă a datelor este rareori eficientă atunci când este necesară o colaborare interteritorială fără probleme.
Nevoia comercială de analiză și agregare a datelor impune entităților guvernamentale și de apărare să importe și să exporte date între diferite niveluri de încredere.
În acest context, CDS ar trebui să se adapteze nu doar la amenințările în rapidă evoluție, ci și la modelele operaționale în continuă evoluție.
OPSWAT Soluția pentru provocările inter-domenii
Un CDS complet funcțional trebuie să acționeze ca un mediator, echilibrând nevoia operațională de acces la date cu capacitatea de a efectua verificări ale conținutului datelor împreună cu alte SEF-uri, rapid și automat.
Cu componentele sale extrem de configurabile, centrate în jurul MetaDefender Core , care pot fi implementate într-o gamă largă de medii de găzduire, OPSWAT vă permite să construiți o arhitectură modulară inter-domenii.
Vă puteți personaliza SEF-urile din gama de opțiuni oferite de OPSWAT , asigurându-vă că vă puteți proteja datele fără compromisuri.
Cel/Cea/Cei/Cele OPSWAT Portofoliul oferă o gamă de SEF-uri care pot fi stratificate pentru a crește protecția datelor în funcție de sensibilitatea datelor și a mediului.
OPSWAT Tehnologiile patentate Metascan™ Multiscanning și Deep CDR™ vor scana datele pentru amenințări cunoscute și vor elimina programele malware, în mod complementar altor tehnici de verificare a datelor implementate.
În cazul fișierelor mai sensibile, sistemul bazat pe emulare Adaptive Sandbox evaluează fișierele într-un mediu controlat, permițându-vă să observați comportamentul acestora, fără a elibera programe malware în mediu.
Pentru a adăuga un nivel de context suplimentar la decizia dumneavoastră, OPSWAT poate furniza, de asemenea Threat Intelligence punând în lumină datele pe care le importați. Cu OPSWAT, puteți obține informații despre țara de origine, IoC-ul fișierului și vulnerabilități.
Ingerare de date
Introducerea și extragerea datelor într-o soluție inter-domeniu este adesea trecută cu vederea.
MetaDefender Storage Security (MDSS) și MetaDefender Managed File TransferMFT), se numără printre tehnicile de conectare și API ale OPSWATS, cuprinzând stocarea standard și valorificând MetaDefender Core și SEF-urile pentru a fluidiza datele printr-o serie de controale de securitate.
Importul Media este, de asemenea, facilitat de sistemul nostru MetaDefender Kiosk protejându-vă rețeaua și activele critice împotriva amenințărilor periferice și ale mediilor amovibile. Acesta scanează +13.000 de fișiere pe minut, astfel încât volumul de date nu este o problemă.
Filtrarea conținutului
Filtrarea conținutului implică verificarea sintactică și semantică, precum și tehnici CDR.
Verificările sintactice și semantice funcționează cel mai bine atunci când datele sunt simplificate într-o formă ușor de examinat - un proces numit Transformare. Filtrarea este cea mai eficientă în cazul sarcinilor de lucru bazate pe utilizatori care pot fi transformate.
Deși CDS trebuie să gestioneze atât sarcini de lucru bazate pe utilizator, cât și pe sistem, diferite funcții de aplicare a securității (SEF-uri) trebuie combinate pentru a curăța corect fiecare tip. Acest lucru poate fi configurat și gestionat cu ușurință folosind MetaDefender Core .
Context, nu verdicte
OPSWAT Soluțiile intră în peisajul securității cibernetice cu un nivel suplimentar de informații despre date.
Aceste soluții nu se bazează doar pe prevenție și protecție. Ele oferă contextul necesar pentru o mai bună luare a deciziilor pe termen lung.
Există informații despre amenințări furnizate prin investigații privind țara de origine, scanări ale vulnerabilităților și informații despre lanțul de aprovizionare.
Nu înlocui; Îmbunătăți
Înlocuirea CDS-urilor poate fi o activitate costisitoare și frustrantă.
OPSWAT Abordarea bazată pe software facilitează îmbunătățirea soluțiilor prin adăugarea de niveluri suplimentare de securitate în jurul funcțiilor existente.
Platforma MetaDefender vă permite să conectați sau să deconectați produse, în funcție de ceea ce aveți nevoie. Arhitectura nu este fixată în piatră; este la fel de fluidă și adaptabilă precum trebuie să fie CDS-ul. MetaDefender Core este partenerul dumneavoastră hardware-agnostic, cu scalabilitate și capacitatea de a construi soluții personalizate.
Componentele extrem de configurabile ale OPSWATpot fi implementate pe o gamă largă de opțiuni de găzduire, permițând scalabilitatea atunci când tipurile și volumele de date se schimbă.Familia de diode Netwall se integrează perfect cu produsele MetaDefender și, de asemenea, funcționează cu o varietate de hardware interdomeniu pentru a extinde capacitățile actuale.
Contactați astăzi un expert pentru a descoperi cum vă poate oferi OPSWAT avantajul critic și tactic atunci când vine vorba de securitatea interdomenii.
Întrebări frecvente
Ce este o CDS (cross-domain solution)?
O soluție interdomenii sau CDS este mecanismul utilizat pentru a securiza datele critice și a permite comunicarea între domenii, sisteme sau rețele care sunt separate prin clasificări de securitate și/sau niveluri de încredere.
La ce se folosește o soluție inter-domeniu?
CDS-urile sunt utilizate de instituțiile guvernamentale și de apărare pentru a transfera în siguranță informații sensibile sau clasificate între domenii de securitate, menținând în același timp o aplicare strictă a politicilor și prevenind accesul neautorizat sau scurgerea de date.
Cum funcționează soluțiile inter-domenii?
CDS-urile utilizează componente hardware și software - cum ar fi filtre, dispozitive de protecție a datelor și diode de date - pentru atransforma, inspecta și transmite în siguranță date în diferite domenii.
De ce sunt importante soluțiile inter-domenii?
Soluțiile interdomenii sunt esențiale pentru a facilita nevoia operațională de partajare a datelor, menținând în același timp securitatea în medii sensibile.
Care sunt riscurile și provocările potențiale asociate cu CDS-urile?
Provocările CDS includ integrarea cu sistemele tradiționale, creșterea volumului de date, noi modele operaționale, gestionarea latenței și evoluția amenințărilor.
Care sunt componentele principale ale unei soluții inter-domenii?
Componentele Core includ interfețe controlate, mecanisme de filtrare a conținutului, control unidirecțional și ruperea protocolului și, opțional, scanarea AV.
Toate componentele ar trebui să ofere ieșire de logare, permițând urmărirea unei tranzacții de la un capăt la altul; iar funcțiile secundare utilizate de un CDS pot include controlul accesului, criptarea datelor, auditarea, transformarea datelor și protocoale securizate. Funcțiile de găzduire ar trebui să fie securizate și întreținute.
Ce este o garanție de înaltă asigurare într-un CDS?
Un dispozitiv de protecție cu grad ridicat de asigurare este un dispozitiv de securitate care a fost proiectat în siguranță, este un dispozitiv autonom și pune în aplicare o serie de SEF-uri, inclusiv controlul unidirecțional, întreruperea protocolului și un anumit nivel de filtrare a conținutului. Componentele software suplimentare, cel mai probabil scanarea datelor și filtrarea conținutului, dacă este necesar, vor trebui să fie integrate într-un dispozitiv de protecție pentru a oferi o funcționalitate mai completă.
Ce este o interfață controlată într-un CDS?
O interfață controlată reglează comunicarea datelor între diferite domenii de securitate, asigurându-se că respectivul conținut respectă politicile și nu poate fi modificat sau utilizat în mod abuziv în timpul transferului.
Ce este filtrarea conținutului într-un CDS?
Filtrarea conținutului implică scanarea, validarea și igienizarea datelor pentru a preveni trecerea codului rău intenționat, a scurgerilor de informații sensibile sau a conținutului neconform prin domenii.
Ce sunt funcțiile de asigurare a securității (Security Enforcing Functions - SEF) într-un CDS?
Un SEF este o funcție specifică necesară, de obicei ca parte a unui lanț de SEF-uri, care contribuie la asigurarea faptului că datele de intrare sau de ieșire care traversează un CDS sunt "curate" în conformitate cu scopul său specific. De exemplu, un SEF de filtrare a conținutului va efectua o inspecție aprofundată a datelor, asigurându-se că sunt îndeplinite anumite criterii structurale și/sau semantice.
Care este diferența dintre fluxurile de date bidirecționale și unidirecționale?
Fluxurile unidirecționale - întărite de dispozitive precum diodele opticesau de date -permit doartransferul unidirecțional, oferind o izolare și o securitate mai puternice.
Fluxurile unidirecționale sunt fie de la o clasificare inferioară la o clasificare superioară, fie de la o clasificare superioară la o clasificare inferioară. Lanțul de SEF-uri pentru punerea în aplicare a fluxului este discret, iar funcționalitatea lor nu este de obicei partajată cu alte funcții din mediu. Un flux de import poate avea un accent diferit (în termeni de SEF-uri) față de un flux de export.
Fluxurile bidirecționale constau în fluxuri discrete de import și export.
Cum se integrează CDS-urile cu infrastructura de rețea existentă?
Un CDS este proiectat pentru a fi compatibil cu sistemele existente, în special pe partea inferioară (mediul de clasificare inferioară), unde se poate afla într-o secțiune segmentată a unui mediu de întreprindere. Partea superioară (clasificarea superioară) poate fi deseori lipsită de aer și/sau foarte segmentată, necesitând deseori funcții de sprijin diferite și integrare cu partea inferioară a unui CDS.
Care sunt principalele abordări pentru implementarea unui CDS?
CDS-urile pot fi implementate folosind doar hardware sau o soluție hibridă care include hardware și software, în funcție de apetitul organizației pentru risc, scalabilitate și cerințele de latență.
Care este diferența dintre CDS-urile bazate pe hardware și cele bazate pe software?
CDS-urile Hardware oferă o mai mare izolare și rezistență la manipulare, folosind adesea dispozitive special construite. CDS-urile Software oferă mai multă adaptabilitate, permițând modele de implementare virtuale sau în cloud cu o scalabilitate mai mare.
Care sunt modelele de implementare pentru CDS-uri?
Cele două modele principale sunt CDS fixe pentru instalații permanente în locații fixe și CDS tactice concepute pentru mobilitate, robustețe și medii de misiune temporare.
Cum suportă CDS-urile rețelele cu spațiu liber?
CDS-urile permit transferul securizat de fișiere și date între sisteme izolate, acoperite de aer, prin utilizarea de dispozitive controlate (de exemplu, diode de date) și suporturi amovibile care sunt scanate și filtrate înainte de transfer.
În ce industrii sunt utilizate soluțiile interdomenii?
CDS sunt create în principal pentru industriile guvernamentale și de apărare. Cu toate acestea, unele componente CDS sunt integrate în energie, utilități, sănătate, finanțe, telecomunicații și aviație - oriunde este necesară o comunicare securizată între niveluri de încredere.
Cum permit CDS-urile partajarea securizată a informațiilor în guvern și apărare?
CDS-urile facilitează schimbul de informații în timp real și coordonarea operațională între sistemele clasificate și neclasificate, sprijinind colaborarea între agenții, securitatea națională și conformitatea cu reglementările.
Care sunt câteva exemple de aplicații operaționale ale CDS-urilor?
CDS sunt utilizate pentru transferul de informații prin satelit de la rețele clasificate la rețele neclasificate, permițând coordonarea misiunilor coaliției și schimbul de date în siguranță în timpul scenariilor operaționale.
Care sunt beneficiile utilizării unui CDS?
Printre principalele beneficii se numără îmbunătățirea securității, reducerea amenințărilor interne, conformitatea cu reglementările, interoperabilitatea continuă a datelor, colaborarea în timp real și îmbunătățirea procesului decizional.
Cum reduc CDS-urile riscurile de amenințări interne?
CDS pun în aplicare controale stricte ale accesului, filtrarea datelor și înregistrarea auditului care împiedică circulația neautorizată a datelor - chiar și de la utilizatorii de încredere - atenuând amenințările din interior și îmbunătățind vizibilitatea.
Sunt CDS-urile conforme cu reglementările de securitate cibernetică?
Da, CDS-urile sunt concepute pentru a se alinia cu cadrele și standardele de securitate cibernetică precum NIST RMF, GDPR, HIPAA și DoD Raise the Bar. Acestea ajută organizațiile să impună schimburi de date securizate și conforme cu politicile.
Ce este inițiativa „Ridicați ștacheta”?
Este o inițiativă a guvernului SUA de a îmbunătăți securitatea și eficacitatea CDS prin stabilirea unor standarde și cerințe de certificare mai stricte pentru furnizori și tehnologii.
