اخبار مترجمة :ما مدى إمكانية تحقيق نموذج السلطة المستمرة للتشغيل؟

تشكل البرمجيات عنصراً أساسياً في المهام العسكرية، ولكن إجراءات الامتثال الأمني ​​لوزارة الدفاع كانت لفترة طويلة تمنع المنظمات من تقديم قدرات برمجية ذات صلة للمقاتلين.

تتغير متطلبات المهمة والتهديدات السيبرانية بسرعة. يتطلب البقاء على اطلاع دائم بممارسات التطوير الرشيقة التي تدمج باستمرار وتقدم برامج عالية الجودة مع تقليل المخاطر. يجب أن تكون التراخيص الأمنية ذكية بنفس القدر، ولكن البحث المتكرر عن سلطة التشغيل، أو ATO، يستغرق وقتًا طويلاً. غالبًا ما يكون انتظار ATO والعمل من خلال التقييمات أطول خطوة في نشر البرنامج. ويمكن أن يكون لهذه التأخيرات عواقب وخيمة، خاصة في ساحة المعركة.

هناك طرق أفضل لإدارة مخاطر نظم المعلومات. أصدر مسؤولو وزارة الدفاع مؤخرًا دليل تنفيذ التفويض المستمر لـ DevSecOps، والذي يحدد مبادئ نموذج السلطة المستمرة للتشغيل، أو cATO. بعد أن يحقق النظام تفويضه الأولي، فإن التنفيذ الصحيح لـ cATO على غرار التفويض المستمر يعد خطوة أساسية في رؤية القسم لبناء بيئة تطوير أسرع وأكثر أمانًا وتحقيق التفوق في مجال البرمجيات.

ما هو كاتو؟

يتطلب الحصول على ATO التقليدي فحصًا فوريًا لضوابط الأمان التي يمكن أن تستمر لعدة أشهر. يتكرر التمرين عند طرح ميزات جديدة أو انتهاء صلاحية التفويض. وفي الوقت نفسه، يواصل خصوم الإنترنت الكشف عن تهديدات جديدة.

إن cATO عبارة عن تفويض مستمر للتسليم المستمر بعد الحصول على التفويض الأولي. وهو يسمح للمؤسسة ببناء وإطلاق قدرات نظام جديدة إذا كان بإمكانها مراقبتها باستمرار ضد عناصر التحكم الأمنية المعتمدة. لتحقيق cATO، تحدد وزارة الدفاع ثلاثة معايير يجب أن تلبيها المؤسسات:

– المراقبة المستمرة للضوابط الأمنية.

– إجراءات الدفاع السيبراني النشطة.

– اعتماد ممارسات DevSecOps.

إن التحول من المراجعات الدورية إلى المراقبة المستمرة يتجنب الخروج عن نطاق الامتثال ويخلق موقفًا أكثر قوة للأمن السيبراني. هذه ليست مجرد نظرية؛ إنها مفهوم مثبت. بصفتنا أحد مؤسسي برنامج Kessel Run التابع للقوات الجوية الأمريكية، صممنا في الأصل برنامج cATO كنهج محدد للترخيص المستمر للتسليم المستمر، دون قطع أي زوايا.

لقد طبقنا مبادئ DecSecOps لتلبية متطلبات المعهد الوطني للمعايير والتكنولوجيا إطار إدارة المخاطرفي أبريل 2018، وافق مسؤولو وزارة الدفاع على cATO لأنظمة Kessel Run. منح الترخيص الجاري الترخيص في وقت الإصدار وأزاله باعتباره عنق الزجاجة لوقت التسليم وتكرار النشر. غالبًا ما تحقق مؤسسات DevOps عالية الأداء التي تستخدم هذا النهج وقت تسليم وتكرار نشر يقاس بالساعات، وهو ما يُعتبر “نخبة” في تقرير حالة DevOps.

إعداد الفرق للموافقة المستمرة

إن قانون CATO ليس تنازلاً أو طريقًا مختصرًا للامتثال لـ RMF. وبدلاً من ذلك، تعالج الطريقة المتطلبات في كل خطوة من دورة حياة تطوير البرمجيات لتقليل المخاطر. عندما يتم ذلك بشكل صحيح، فإن تبني استراتيجية التفويض المستمر هذه لا يزال يتعلق بتفويض النظام، وليس “تفويض الأشخاص والعملية” أو استخدام “خطوط أنابيب CATO”. ومع ذلك، فإن المدخلات التي تؤدي إلى مخرجات آمنة ومصرح بها لبيئة جديرة بالثقة وشفافة هي الأشخاص والعمليات والتقنيات المناسبة.

وللبدء، يتعين على القادة تعزيز ثقافة الوعي الأمني ​​في مختلف أنحاء المؤسسة من خلال إزالة الحواجز البيروقراطية وتوظيف المواهب الفنية المناسبة. وللتحول نحو اليسار في أي شيء، يتعين علينا أن نوفر مساحة لذلك. على سبيل المثال، يؤدي استبعاد العمل منخفض القيمة من جداول المطورين أو إزالة المتأخرات إلى منحهم الوقت للعمل على الأمن مع مهامهم العادية.

يجب أن يكون لدى البرامج مُقيم فني مستقل واحد على الأقل لفرقها، والذي يعمل لدى مقيم ضوابط الأمان والمسؤول المعتمد، للمساعدة في توصيل البرنامج إلى الإنتاج بشكل أكثر كفاءة. ولأن الأمن لا يحدث في صومعة، قم ببناء خطوط اتصال مفتوحة بين فرق الأمن والتطوير والعمليات لمزامنة أحدث متطلبات المهمة.

بناء خط الأساس الأمني

إن أحد المكونات الفنية الحاسمة للترخيص المستمر هو تعظيم وراثة عناصر التحكم المشتركة. يسمح إطار عمل إدارة الموارد للتطبيقات التي يتم نشرها على بيئات السحابة والمنصة بتوارث عناصر التحكم الأساسية. يمكن للمؤسسات مثل مصانع البرامج أو برامج مستوى الخدمة التي تحتوي على آلاف التطبيقات أن ترى بسرعة توفيرًا في الوقت والتكلفة من خلال تصميم هذه العناصر لمقدمي عناصر التحكم المشتركة المعتمدين.

تتمتع وزارة الدفاع بفرصة تعزيز الكفاءة من خلال توفير خطوط أساسية أمنية مركزية قابلة للتوريث وخدمات سحابية للاستخدام على مستوى القسم بأكمله، أو على الأقل للاستخدام على مستوى المهمة بأكملها. ومن شأن الضوابط المشتركة على مستوى المؤسسة أن تعزز موقف القسم بأكمله في مجال الأمن السيبراني وتدعم تسليم البرامج بشكل أسرع لكل خدمة ومكون.

بناء نظام شفاف

تتطلب عمليات تنفيذ cATO الناجحة من المؤسسات فهمًا عميقًا للنظام والتأثيرات المتتالية لأي تغييرات عليه. يجب على المؤسسات التركيز على الشفافية وإمكانية التتبع، وتبني عقلية كل شيء على أنه رمز لضمان بقاء الضوابط ضمن التكوينات المعتمدة.

وتتطلب العمليات الرقمنة، والأتمتة، عندما يكون ذلك ممكنا، بما في ذلك تقييم التوثيق والأدلة. لم يتم إنشاء منصات الحوكمة والمخاطر والامتثال الأكثر استخدامًا للتراخيص المستمرة؛ قد تحتاج الأنظمة التي تتمتع بالقدرة على التعامل مع حزم الأدلة المعيارية إلى استبدال المنصات القديمة. امنح المقيمين الفنيين المستقلين للفريق إمكانية الوصول إلى السجلات ومستودعات التعليمات البرمجية ولوحات المعلومات لمراقبة الضوابط وإبلاغ التغييرات إلى المسؤولين المعتمدين حسب الضرورة.

هناك اعتقاد خاطئ بأن خطوط الأنابيب هي بمثابة عصا سحرية لـ cATO. ورغم أنها أداة أساسية، إلا أن هناك الكثير مما يلزم للحصول على التصاريح المستمرة. وتتمثل إحدى الطرق الذكية لاستخدام خطوط الأنابيب في دمج عمليات المسح التي تقيم البرامج وفقًا لاتفاقيات مستوى الخدمة وحظرها من بيئة الإنتاج إذا ظلت هناك مشكلات.

في نهاية المطاف، يتعين على المنظمة التي تسعى إلى الحصول على إذن الدخول إلى السوق أن تنتج نظامًا آمنًا وتوفر قدرات جديدة ضمن ملف تعريف مخاطر مقبول. وتعتبر التراخيص المستمرة هي الطريقة الأكثر فعالية بالنسبة لوزارة الدفاع لتبسيط تسليم البرامج وضمان مستقبل حيث تحدث أشياء سيئة أقل بسبب البرامج السيئة.

بريون كروجر هو الرئيس التنفيذي والمؤسس لشركة Rise8 والمؤسس المشارك لمصنع Kessel Run التابع للقوات الجوية الأمريكية، وهو أول مصنع برمجيات تابع لوزارة الدفاع، حيث كان رائدًا في مشروع cATO.