ข้อมูลเชิงลึกรายเดือนของรัฐบาลกลาง — เดือนแห่งการรับรู้ความปลอดภัยทางไซเบอร์: การจัดการตัวตนและการเข้าถึงที่ปลอดภัย – 26 ตุลาคม 2021เครื่องเล่นเสียงช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงการหาสมดุลระหว่างการเสริมความแข็งแกร่งของข้อมูลรับรองและการควบคุมการเข้าถึงโดยไม่สร้างภาระให้กับผู้ใช้ ถือเป็นความท้าทายหลักในการปรับปรุงความปลอดภัยทางไซเบอร์ของรัฐบาลกลาง
ที่ห้องปฏิบัติการนวัตกรรมของสำนักงานความรับผิดชอบของรัฐบาล
ซึ่งได้รับการออกแบบให้เป็นผู้ปฏิบัติงานด้านความสามารถในการคำนวณแบบใหม่ การยืนยันตัวตนเป็นประเด็นสำคัญ Taka Ariga หัวหน้านักวิทยาศาสตร์ด้านข้อมูลของ GAO และผู้อำนวยการห้องปฏิบัติการนวัตกรรม วิทยาศาสตร์ การประเมินเทคโนโลยี และการวิเคราะห์ กล่าวว่าพวกเขาต้องจัดการกับสภาพแวดล้อมภายในองค์กรและสภาพแวดล้อมคลาวด์ใหม่ เพื่อนร่วมงานทั่วทั้งรัฐบาลกลาง ตลอดจนแนวทางปฏิบัติ 800-53 และ 800-63 ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ เป็นแหล่งแนวทางปฏิบัติที่ดีที่สุดโดยทั่วไป
“แล้วเราก็ทำงานผ่านสแต็กเทคโนโลยีจำนวนมากเพื่อให้แน่ใจว่าหากเราใช้งานบนคลาวด์ เราจะทำงานบนคลาวด์เนทีฟมากที่สุดเท่าที่จะเป็นไปได้ และไม่พยายามผสมผสานสิ่งเก่ากับสิ่งใหม่ที่เราสิ้นสุด สร้างผลที่ตามมาโดยไม่ได้ตั้งใจ” Ariga กล่าวในFederal Monthly Insights — Cybersecurity Awareness Month: Secure Identity and Access Management
GAO โดยการออกแบบมีขอบเขตการดำเนินงานของรัฐบาลที่ไม่เหมือนใคร ซึ่ง Ariga กล่าวว่าต้องการให้พวกเขาคำนึงถึงการจำแนกประเภทของข้อมูลและระดับความละเอียดอ่อนที่แตกต่างกันในการปฏิบัติงานกำกับดูแล GAO มีข้อตกลงกับหน่วยงานต่างๆ ในการเข้าถึงข้อมูลที่ละเอียดอ่อนต่างๆ รวมถึงเอกสารด้านภาษีและสิทธิประโยชน์
“แต่นี่เป็นส่วนหนึ่งของการทำธุรกิจในฐานะหน่วยงานกำกับดูแล
— ที่เราไม่เพียงแต่รักษาความปลอดภัยของข้อมูลที่เราไว้วางใจเท่านั้น แต่ยังเข้าถึงข้อมูลเหล่านี้ในลักษณะที่ช่วยให้เราสามารถทำการวิเคราะห์ได้ ดังนั้นเราจึงทำงานร่วมกันกับหน่วยงานเองเพื่อให้แน่ใจว่าพวกเขาเข้าใจมาตรการรักษาความปลอดภัยของเราเช่นกัน” เขากล่าวกับ Tom Temin ในFederal Drive
ในช่วงที่เกิดโรคระบาด การเข้าถึงสิ่งอำนวยความสะดวกที่ปลอดภัยถือเป็นความท้าทายสำหรับผู้ปฏิบัติงานทางไกลของ GAO เช่นกัน
Innovation Lab นำแนวทางแบบคลาวด์เนทีฟมาใช้เป็นอันดับแรกเมื่อพนักงานกำหนดค่าชุดเครื่องมือและโครงสร้างพื้นฐาน Ariga กล่าวว่าองค์กรของเขาตระหนักดีว่าพวกเขาจำเป็นต้องสื่อสารกลับไปยังศูนย์ข้อมูลภายในองค์กรบางแห่ง และการดำเนินการภายใต้โครงสร้างมัลติคลาวด์หมายถึงการสื่อสารระหว่างโครงสร้างพื้นฐานระบบคลาวด์ประเภทต่างๆ
“ตัวอย่างเช่น หากเราไม่ใช้ประโยชน์จากความสามารถแบบเนทีฟบนคลาวด์ แต่พยายามเปลี่ยนหรือยกโมเดลของการเดินทางบนคลาวด์นั้นแทน เราอาจลงเอยด้วยการสร้างช่องสำหรับการเข้าถึงที่แตกต่าง ขอบเขตความปลอดภัยที่แตกต่าง ซึ่งยากมากที่จะ รักษาอย่างสม่ำเสมอ” เขากล่าว
อย่างไรก็ตาม ไม่ใช่ทุกต้นแบบจะต้องมีการกำหนดค่าของตัวเอง ดังนั้นจึงต้องใช้วิธีการอย่างรอบคอบโดยมีระดับความไวและความสามารถในการใช้งานที่แตกต่างกัน เขากล่าว
สิ่งหนึ่งที่ GAO ใช้มา “ระยะหนึ่งแล้ว” เขากล่าว คือการลงชื่อเข้าใช้เพียงครั้งเดียว มีจุดมุ่งหมายเพื่อทำให้ประสบการณ์ของผู้ใช้ราบรื่นในขณะที่ยังคงยึดมั่นในหลักการของการไม่ไว้วางใจเป็นศูนย์ ซึ่งเป็นโรงเรียนชั้นนำแห่งความคิดในการจัดการการเข้าถึงในขณะนี้ ในขณะที่เอเจนซีเจาะลึกขอบเขตของคลาวด์ เจ้าหน้าที่ไซเบอร์จะสำรวจความสามารถการลงชื่อเข้าระบบแบบครั้งเดียวที่เฉพาะเจาะจง ซึ่งสามารถเพิ่มเข้ากับท่าทางที่มีอยู่หรือหาเหตุผลเข้าข้างตนเองในทางใดทางหนึ่ง เขากล่าว
GAO กำลังมองหาเครื่องมือตรวจสอบสิทธิ์เชิงพาณิชย์เมื่อเกี่ยวข้องกับการใช้งานเฉพาะหน่วยงาน Ariga กล่าวว่าองค์กรยังได้พูดคุยกับ General Services Administration เกี่ยวกับ Login.gov และกับ Bureau of the Fiscal Services เพื่อเรียนรู้ว่าอะไรได้ผลสำหรับพวกเขาในแง่ของการรับรองความถูกต้อง อย่างไรก็ตาม รหัสผ่านและการพิสูจน์อักษรยังคงเป็นมาตรฐานสำหรับข้อมูลรับรองการเข้าสู่ระบบแม้ว่าจะมองหาทางเลือกอื่นอยู่หลายปีก็ตาม หากการรักษาความปลอดภัยเป็นภาระสำหรับผู้ใช้มากเกินไป พวกเขาอาจหาทางหลีกเลี่ยง และควรปรับขนาดเพื่อไม่ให้ผู้ใช้และพันธมิตรภายนอกเข้าถึงบริการที่พวกเขามีสิทธิ์
