Zero Belief es la nueva palabra de moda cibernética del Pentágono. Es posible que no haya detenido las filtraciones de Discord.

Esta ilustración fotográfica creada el 13 de abril de 2023 muestra al sospechoso, el guardia nacional Jack Teixeira, reflejado en una imagen del Pentágono en Washington, DC. Los agentes del FBI arrestaron a un joven miembro de la Guardia Nacional sospechoso de estar detrás de una importante filtración de secretos confidenciales del gobierno de EE. UU., incluso sobre la guerra de Ucrania. (Stefani Reynolds/AFP vía Getty Pictures)

WASHINGTON — El impresionante fuga de cientos de documentos clasificados de seguridad nacional en Web ha puesto en el centro de atención el manejo de secretos de estado por parte del Departamento de Defensa. Quizás irónicamente, el incidente se produce cuando el Departamento de Defensa busca activamente un nuevo estándar de seguridad conocido como “confianza cero” que autentica continuamente el acceso de un usuario a la pink de una organización.

Si bien el Pentágono cube que es “demasiado pronto” para especular sobre las causas y las medidas preventivas que podría haber tomado para evitar la reciente filtración de documentos clasificados, el caso arroja luz sobre por qué es necesario implementar completamente la confianza cero en toda la empresa de la información, incluso cuando Los funcionarios y analistas del DoD reconocen a Breaking Protection que existen límites prácticos para el concepto de confianza cero.

Los funcionarios del Pentágono han expresado abiertamente la necesidad de implementar la confianza cero y han esbozado un cronograma ambicioso para implementar un nivel de capacidades “objetivo” en todo el departamento para el año fiscal 2027, seguido de un nivel más “avanzado”. En noviembre pasado, el Departamento de Defensa lanzó su tan esperado estrategia de confianza cero que pintó una imagen preocupante para su empresa de información, diciendo que es susceptible a ataques persistentes y a gran escala de individuos a adversarios patrocinados por el estado.

David McKeown, director de seguridad de la información del Departamento de Defensa, dijo en unnorte 19 de abril declaración a Breaking Protection de que “una amenaza interna con autorización legítima y acceso a la información sigue siendo uno de los desafíos más difíciles, si no el más difícil, en la protección de la información”.

“La implementación de Zero Belief mejorará la capacidad de DoD Data Enterprise para identificar y detectar actividades anómalas, proteger nuestros datos y permitir el cumplimiento de la misión”, agregó.

Sin embargo, los expertos le dicen a Breaking Protection que, si bien la confianza cero es un objetivo al que vale la pena aspirar, en última instancia, la única forma de defenderse contra este tipo de situaciones que surjan en el futuro es una combinación de tecnología y verificación de private. La realidad, al parecer, puede reducirse a esto: una vez que alguien ha sido investigado y está dentro del sistema, la confianza cero puede ayudar, pero nunca servirá como una panacea.

“Si no hemos cubierto los conceptos básicos de observar cuando alguien accede a datos de inteligencia potencialmente realmente valiosos, necesitamos incorporar esos controles hoy y asegurarnos de que esos controles se lleven a cabo”, Matt Radolec, director senior de respuesta a incidentes en protección de datos. firma Varonis, dijo Breaking Protection.

La amenaza interna

A principios de este mes, Jack Teixeira, un miembro de la Guardia Nacional Aérea de Massachusetts de 21 años que se desempeñó como “jornalero de sistemas de transporte cibernético”, fue golpeado con dos cargos federales alegando que compartió información clasificada sobre la guerra entre Rusia y Ucrania en la plataforma de redes sociales Discord.

De acuerdo con la denuncia oficial presentado contra Teixeira, quien tenía una autorización de seguridad ultrasecreta y acceso confidencial compartimentado (TS/SCI), comenzó a transcribir el contenido de los documentos a partir de diciembre del año pasado hasta que empezó a preocuparse de que lo atraparan. Luego, comenzó a llevar los documentos físicos a su residencia y compartió fotos de ellos en el grupo de Discord.

El Pentágono desde entonces lanzado una revisión de 45 días de sus “programas, políticas y procedimientos de seguridad” después de la filtración. El secretario de Defensa, Lloyd Austin, designó al subsecretario de defensa para inteligencia y seguridad para que encabece la revisión en coordinación con el director de información y el director de administración y gestión del Departamento de Defensa.

Parte de la revisión se centrará en quién tiene acceso a información confidencial en el Departamento de Defensa y otras agencias, y se espera que las oficinas del Departamento de Defensa brinden recomendaciones de Austin sobre cómo “mejorar las políticas y los procedimientos del departamento relacionados con la protección de información clasificada”, dijo Affiliate Protection Press. La secretaria Sabrina Singh dijo a los periodistas el 17 de abril.

Entonces, ¿la confianza cero habría detenido esta filtración, que involucró tanto información digital como física?

“Creo que, al pie de la letra, haber acuñado completamente Zero Belief podría haber evitado esto o podría haberlo detectado”, dijo Radolec en una entrevista el 19 de abril.

Sin embargo, señaló que la confianza cero solo puede hacer mucho por sí sola sin un management de seguridad adicional.

“Así que Jack [Teixiera] Todavía habrían robado algunos datos, pero los habrían capturado antes de que llegaran al punto donde están. Porque al ultimate del día, incluso en una confianza cero [environment]no se puede impedir que alguien que quiere un archivo lo saque de una instalación segura sin quitarle el acceso por completo”, señaló Radolec, y agregó que el Departamento de Defensa debería haberse centrado más en monitorear a qué datos específicos estaba accediendo Teixeira y asegurarse de que no estaba abusando de sus privilegios.

Randy Resnick, director de la oficina de gestión de cartera de confianza cero del Departamento de Defensa, dijo a Breaking Protection que la estrategia de confianza cero del departamento “reconoce que ni siquiera se puede confiar en los usuarios con acceso legítimo a una pink”.

“Este es un cambio de paradigma significativo que requerirá un cambio tanto técnico como cultural”, dijo en un comunicado. “Las capacidades de confianza cero fortalecerán las defensas de la Nación a través de un sólido registro y análisis de eventos, protecciones de datos y controles de acceso granulares”.

Señaló algunas capacidades específicas descritas en el programa de confianza cero del departamento. hoja de ruta de implementación para lograr capacidades de referencia para el año fiscal 27, específicamente aquellas que se enfocan en cosas como el monitoreo del comportamiento del usuario, el monitoreo de datos y la prevención de pérdida de datos.

Por ejemplo, la capacidad 7.4, “monitoreo del comportamiento de usuarios y entidades”, establece que el Departamento de Defensa “empleará análisis para generar perfiles y actividades de referencia de usuarios y entidades y para correlacionar actividades y comportamientos de usuarios y detectar anomalías”. En otra capacidad, 4.4., “monitoreo y detección de datos”, se capturarán metadatos “que incluyen información sobre el acceso, el intercambio, la transformación y el uso de sus activos de datos”.

El ‘elemento perdido’

Y, sin embargo, eso no parecía importar en este caso, ya que Radolec señaló que “tLa otra mitad de la confianza cero, que es garantizar que los controles que implemente permanezcan en su lugar y que las personas no abusen de sus privilegios, es el elemento que falta aquí.

“Alguien debería haber notado que este administrador estaba extrayendo estos datos”, continuó. “Es possible que no sean datos con los que interactúan regularmente. Eso debería haber disparado las alarmas y si hubiera sucedido lo mismo con los datos reales, es poco possible que hubieran podido acumular tanto contenido si cada fragmento de contenido se hubiera bloqueado de manera más adecuada”.

Emily Harding, subdirectora y miembro principal del programa de seguridad internacional en el Centro de Estudios Estratégicos e Internacionales, le dijo a Breaking Protection que, por lo normal, cuando la gente habla de confianza cero, se trata del acceso que tiene un usuario a varias partes de una pink. Pero en el caso de Teixeira, “no estamos hablando de elementos de la pink, estamos hablando de piezas de información”.

Es decir, en esta situación específica, parecería que Teixiera tenía las credenciales adecuadas para estar en la pink misma, pero sus movimientos exactos y la información a la que estaba accediendo no fueron monitoreados.

El estado de implementación de la confianza cero dentro del departamento no está claro: la hoja de ruta en sí asume un punto de partida en el año fiscal 23 para comenzar a implementar algunas capacidades y proporciona plazos bastante amplios para lograr los niveles objetivo y avanzado. Por ejemplo, la hoja de ruta muestra que el Departamento de Defensa comenzará a trabajar este año fiscal en la capacidad 7.1, que registraría el tráfico de los “registros de pink, datos, aplicaciones, dispositivos y usuarios y pondría esos registros a disposición del proveedor de servicios de defensa de redes informáticas (CNDSP) correspondiente”. ) o centro de operaciones de seguridad (SOC)”. Pero aún no está claro qué tan lejos está DoD de esa capacidad, y si algo así podría haber jugado un papel en la minimización de la fuga.

Radolec agregó que cuando se trata de confianza cero, hay “mucho ruido” en cosas como instalaciones y redes seguras, pero no tanto énfasis en “cómo observamos y nos aseguramos de que siga siendo así”.

“Casi puedes imaginarlo como un malware… entonces, ¿qué sucede? [when] una computadora tiene algunas debilidades, esa debilidad se aprovecha y se coloca un código incorrecto en esa caja”, dijo Radolec. “Si habla con alguien en el Departamento de Defensa sobre eso, le dirán todas las formas en que detectan el código incorrecto, y el código incorrecto es un mal comportamiento de la máquina. Pero si hacemos la misma pregunta, ¿aplica ese mismo principio para identificar el mal comportamiento? No creo que tenga la misma respuesta. No sería tan robusto”.

Y solo porque Teixeira tenía una autorización de TS/CSI, no está claro si debería han estado buscando cierta información, según Harding.

“Sí, tal vez necesite tener acceso a la columna vertebral de la pink, pero eso no significa que deba poder leer WIRe, por ejemplo”, le dijo a Breaking Protection. “Él no debería necesitar tener una razón para iniciar sesión en WIRe y ciertamente no deberías tener una razón para imprimirlo. Empezó transcribiendo y realmente no hay otra forma de detener eso que no sea una búsqueda física mientras gross sales del edificio con los papeles arrugados en tu bolso, pero ciertamente puedes minimizar la cantidad de fugas”.

Agregó que más allá del aspecto de confianza cero, el caso destaca que la metodología de investigación de antecedentes del Departamento de Defensa está “obsoleta”.

“Hacen preguntas sobre el uso de drogas y su lealtad a los Estados Unidos”, dijo. “Pero no hacen preguntas sobre cómo es tu actividad en línea. ¿Qué opina sobre lo que es importante proteger en cuanto a la información clasificada? ¿Esta persona cree que tiene que corregir el rumbo de los Estados Unidos? Esas son preguntas que consideraría agregar a la lista”.

Incluso con las brechas que existen actualmente, Radolec dijo que cree que el Departamento de Defensa puede mitigar sus problemas para evitar que algo así vuelva a suceder.

“Estos problemas se pueden resolver ahora”, dijo. “Estoy seguro de que el Departamento de Defensa puede avanzar hoy en las brechas de management que condujeron a esto y que mañana y los años previos a 2027 pueden tener una probabilidad reducida de que esto suceda como resultado de esas acciones”.