OpenText startsida.
Tekniska ämnen

Vad är Trusted Internet Connection (TIC) 3.0?

Illustration av IT-artiklar med fokus på en bärbar dator

Översikt

Trusted Internet Connection (TIC) är ett federalt initiativ som lanserades 2007 för att förbättra regeringens internetnärvaropunkter och externa nätverksanslutningar. TIC 3.0 är den senaste iterationen av detta initiativ, som moderniserar federal IT och gör det möjligt för myndigheter att få tillgång till molntjänster och arbeta på distans med säkerhet.

Så vad är en pålitlig internetanslutning? Enkelt uttryckt är en betrodd internetanslutning en del av mandatet från Office of Management and Budget som var avsett att begränsa antalet gateways i myndighetsnätverket. TIC kräver att all federal internettrafik dirigeras genom en byrå som är TIC-godkänd.

Traditionellt har myndigheter förlitat sig på perimeterbaserade säkerhetslösningar. Dessa metoder fungerade (i viss utsträckning) när de flesta anställda arbetade inom området och fick tillgång till applikationer och data via datacentret.

Förväntningarna är höga på att TIC 3.0 kommer att förbättra säkerheten avsevärt i dagens molnbaserade IT-miljö. Men för att kunna dra full nytta av fördelarna inser byråerna att de också måste anta en Zero Trust-säkerhetsmodell för att säkerställa att data i nätverksapplikationerna är skyddade.

Betrodd internetanslutning

Vad är Zero Trust och hur förhåller det sig till TIC 3.0?

Zero Trust har varit ett mål för organisationer i allt högre grad sedan det introducerades 2010; TIC 3.0 är ett federalt mandat. TIC 1.0 och TIC 2.0 var nästan uteslutande inriktade på säkerhet för nätverksåtkomst. TIC 3.0 är främst inriktad på data och användarbeteende, vilket återspeglar både utvecklingen av moderna hot och de inneboende svagheterna i säkerhet som endast omfattar nätverk.

Enligt den senaste vägledningen från NIST som publicerades i augusti 2020(Zero Trust Architecture - nist.go), Zero Trust (ZT) är en term för en växande uppsättning cybersäkerhetsparadigm som flyttar försvaret från statiska, nätverksbaserade perimetrar till att fokusera på användare, tillgångar och resurser, t.ex. data.

Zero Trust innebär att det inte finns något implicit förtroende för tillgångar (t.ex. data) eller användarkonton som endast baseras på deras fysiska eller nätverksmässiga placering (t.ex. lokala nätverk jämfört med internet) eller på ägande av tillgångar (företags- eller privatägda). Autentisering och auktorisering (både ämne och enhet) är separata funktioner som utförs innan en session till en företagsresurs upprättas. Zero Trust är ett svar på trender inom företagsnätverk som inkluderar fjärranvändare, BYOD (bring your own device) och molnbaserade tillgångar som inte finns inom ett företagsägda nätverksgränser.

Zero Trust fokuserar på att skydda resurser (tillgångar, tjänster, arbetsflöden, nätverkskonton etc.), inte nätverkselement, eftersom nätverket nu inte längre är tillräckligt för att garantera resursens säkerhet. Nedan beskriver vi Zero Trust-dimensioner och ger allmänna implementeringsmodeller och användningsfall där Zero Trust kan förbättra ett företags övergripande informationstekniska säkerhetsställning.

Sara Mosley, strategisk arkitekt på utrikesdepartementet, sa nyligen i en artikel att TIC 3.0 och Zero Trust är dimensioner av en ny säkerhetsfilosofi som påskyndats och lyfts fram av pandemin.

Läs mer om Zero Trust.

Vad är skillnaden mellan TIC 2.0 och TIC 3.0?

Vi vet att den federala regeringen uppdaterade sin TIC-policy (Trusted Internet Connection), men varför var det nödvändigt med en förändring och vilka förbättringar gjordes i version 2.0?

Ett olyckligt arv från perimetersäkerhet, det enda fokuset i TIC 1.0 och TIC 2.0, är en genomgripande falsk känsla av säkerhet. Genom att fokusera på att hålla inkräktare utanför skyddsmuren blev företagen sårbara för hot inifrån. Säkerhetsöverträdelser upptäcktes ofta inte på flera månader.

Enligt Cybersecurity and Infrastructure Security Agency (CISA) säkrade TIC-säkerheten i TIC 2.0 en myndighets perimeter genom att kanalisera all inkommande och utgående data till en enda åtkomstpunkt. I 3.0 får byråerna större flexibilitet att välja de säkerhetsplaner som bäst passar deras eget nätverk och specifika behov.

Den senaste generationen av Trusted Internet Connection (TIC 3.0) kommer att göra det lättare för myndigheter att modernisera när de uppgraderar sina nätverk och datacenterinfrastrukturer. "TIC 3.0 ger oss den flexibilitet vi behöver för att gå vidare," sa Allen Hill, chef för Office of Telecommunications Services inom GSA:s Federal Acquisition Services, under ett offentligt möte i mitten av november om myndighetens 15-åriga Enterprise Infrastructure Solutions (EIS) -kontrakt värt 50 miljarder dollar.

TIC-arbetet, som syftar till att hålla federal webbtrafik säker, inleddes för mer än ett decennium sedan när myndigheter säkrade trafiken med mängder av dedikerade datacenter, säkerhetsanordningar och virtuella privata nätverk. Sedan dess har federala myndigheter övergått till molnteknik med dess mer effektiva, skalbara och fjärrstyrda dataöverföringsmetoder som gör dessa äldre skydd föråldrade.

EIS innehåller mjukvarudefinierade nätverkstjänster som också dramatiskt utökar nätverksparametrarna. TIC 2.0 ger en mångsidig routing runt flaskhalsar i nätverket som Software Defined Networks (SDN), och det begränsar vilka rutter som kan användas, säger han.

"När molnet blev nyckeln till moderniseringsarbetet blev" TIC 2.0 "en begränsning," säger John Simms, biträdande avdelningschef för Cybersecurity Assurance Branch i CISA:s Federal Network Resilience Division. Simms sa att hans byrå vill se hur TIC 3.0 kan säkra molnmiljöer. "Vi behöver inte bara tänka på nätverksperimetern eller nätverkstrafiken, utan på själva applikationerna och hur vi kan vara smarta när det gäller att använda teknik för att säkra dessa applikationsstackar, data och övervakning."

CISA, GSA och Chief Information Security Officer Council utvecklar pilotprogram för TIC 3.0 och användningsfall för specifika applikationer, säger Shawn Connelly, TIC-programchef och senior cybersäkerhetsarkitekt på CISA. De nuvarande användningsområdena omfattar infrastruktur-as-a-service (IaaS), programvara-as-a-service (SaaS), e-post-as-a-service (EaaS) och plattform-as-a-service samt applikationer för filialkontor, men enligt Connelly kan byråerna föreslå mer.

"TIC 3.0 ger byråerna utrymme att testa nya tolkningar" för olika användningsområden, säger han. CISA kommer att samarbeta med myndigheten under pilotperioden för att utveckla bästa praxis, göra applikationstolkningen mer leverantörsoberoende och se hur den kan användas inom hela den federala regeringen, säger" Connelly.

CISA, sa Connelly, pratar för närvarande med byråer om ett användningsfall med nollförtroende och ett användningsfall med partnersamarbete.

I TIC 3.0 kan myndigheter implementera säkerhetsåtgärder närmare sina data och upprätta förtroendezoner och användningsfall i stället för att omdirigera data till åtkomstpunkter för inspektion. En sådan flexibilitet är särskilt användbar när man arbetar med SaaS-teknik (Software as a Service) och när anställda arbetar på distans.

TIC 3.0 erkänner att perimeterbaserad säkerhet inte längre är tillräcklig. Detta beror delvis på att så många användare eller system arbetar utanför perimetern; dessutom har illasinnade aktörer blivit mycket skickligare på att stjäla inloggningsuppgifter och ta sig innanför perimetern.

Vad kräver TIC 3.0?

TIC 3.0 innehåller fem säkerhetsmål som gör det möjligt för federala myndigheter att övergå till nolltillitsmodellen:

  1. Trafikhantering - Validering av betrodda internetanslutningar och säkerställande av att auktoriserade aktiviteter är säkra. Övervakning av vem som har tillgång till specifika uppgifter, varför tillgång beviljades och om tillgång fortfarande är nödvändig.

  2. Trafiksekretess - Hålla information om vilka data som används, vem som skickar dem och vem som tar emot dem privat och säker. Kontroll av att endast behörig personal har tillgång till trafikdata.

  3. Trafikintegritet - Upprätthållande av dataintegriteten under överföringen. Förhindra att data ändras och/eller upptäcka eventuella ändringar.

  4. Tjänsternas motståndskraft - Säkerställa kontinuerlig drift av säkerhetssystem. Hoten växer och utvecklas ständigt, och det är viktigt att systemen kan hantera nya hot och ny teknik.

  5. Snabba och effektiva svar - När hot upptäcks är reaktionstiden avgörande. TIC 3.0 främjar effektiva reaktioner, anpassning av framtida reaktioner, implementering av nya policyer och antagande av nya motåtgärder när ett system har utsatts för intrång.

Vad är hanterad trafik i TIC 3.0?

Trafikhantering inom TIC 3.0 kommer att "observera, validera och filtrera dataförbindelser för att anpassa dem till auktoriserade aktiviteter, minsta möjliga privilegium och standardavvisning".

Utmaningen med att effektivt hantera trafiken är att veta var data finns och vem eller vad som ska ha tillgång till dem hela tiden - i vila och under transport. För att få den kunskapen behöver byråerna verktyg som ger en konsekvent och övergripande bild av identiteter inom och utanför organisationen. Ett effektivt verktyg samlar in och sammanställer data om identitetsstyrning, vilket ger insikt i vem som har åtkomst, varför åtkomst beviljades och om åtkomsten fortfarande behövs. Kontinuerlig övervakning och uppdateringar ger en enda sanningskälla för identitet och åtkomst.

Myndigheter kan börja med att bedöma var de befinner sig i säkerhetsmatrisen i förhållande till identitets- och åtkomsthantering (IAM). IAM är en modell med flera nivåer där varje säkerhetsnivå utgör en grund för de efterföljande nivåerna.

  • Säkerhet på nivå ett består av fyra komponenter. Det första är single sign-on och kanske en viss nivå av federation på avdelningsnivå.
  • Nivå två är möjligheten att tillhandahålla användare på ett automatiserat och verifierbart sätt - i motsats till att en blivande användare får ett papper eller ett e-postmeddelande för att skapa ett användarformulär.
  • Nivå tre är användarnas självbetjäning för att säkerställa att användarna autentiseras för åtkomst, senaste behörigheter, tidigare användning etc. på ett kontrollerbart sätt.
  • Nivå fyra är delegerad administration.

Hur skyddar du trafikintegriteten i TIC 3.0?

TIC 3.0 kräver att endast behöriga parter kan urskilja innehållet i data under transport, identifiering av avsändare och mottagare samt verkställighet.

Utmaningen med att skydda trafiksekretessen handlar om att kryptera data under transport, inklusive ostrukturerad data, och att bekräfta identiteten hos avsändare och mottagare. En lösning är teknik som bygger in kärndrivrutiner i filsystemstacken i Windows och andra system, och som fungerar transparent för slutanvändaren. En drivrutin avlyssnar filer, krypterar och dekrypterar data i farten och fungerar med alla applikationer och filtyper.

Organisationer kan använda policyregler för att säkerställa automatisk kryptering av data i realtid, utan att bromsa arbetsflödet. Dessa lösningar möjliggör också övervakning av data i körtid, inklusive insamling och analys av information som när och var en fil öppnades och hur den användes.

För att skydda trafikens konfidentialitet krävs formatbevarande kryptering, och nivå två för identitetshantering omfattar ett halvdussin funktioner.

  1. Den första är multifaktorautentisering, inklusive en rad nya inloggningsmöjligheter som infördes under pandemin som svar på det ökade antalet distansarbeten.
  2. Det andra är ökad synlighet kring styrning, med avseende på vem som har tillgång till olika tillgångar.
  3. Den tredje är hantering av privilegierad åtkomst, som handlar om olika säkerhetsnivåer som systemadministratörer kan komma åt och bevaka.
  4. Fourth är en virtuell katalog över användare och funktioner som uppdateras regelbundet och aldrig är statisk.
  5. Den femte är tjänstesäkerhet och förändringsövervakning, och nästa är datasäkerhet och kryptering.

Hur säkerställer TIC 3.0 att tjänsterna är stabila?

Service resiliency främjar motståndskraftiga applikationer och säkerhetstjänster för kontinuerlig drift i takt med att tekniken och hotbilden utvecklas. Uppdragseffektivitet kräver systemkontinuitet och tillförlitlighet. Att garantera drifttid kan vara en utmaning när kraven på ett system ökar eller ett nätverk utsätts för angrepp, särskilt om IT-teamet är överbelastat. Automatisering av vardagliga och repetitiva uppgifter och införande av arbetsflödesprocesser kan avlasta den mänskliga arbetskraften och hålla verksamheten igång. Specialiserad programvara har kapacitet att hantera hälften eller mer av incidenthanteringsuppgifterna. Automatisering av arbetsflöden och AI kan undersöka slutpunkter, konfigurera brandväggar, isolera datorer i ett nätverk och låsa användarkonton.

Dessa tekniker hjälper också mänskliga analytiker genom att samla in data för att påskynda analysen och vidta åtgärder. I fallstudier kan integrerad AI och maskininlärning påskynda utredningen av och responsen på incidenter med en faktor 10. När det gäller att upptäcka och hantera hot räknas varje sekund. En kraftfull SIEM-plattform (Security Information and Event Management) kommer att upptäcka, analysera och prioritera dessa hot i realtid. Effektiva plattformar stöder också säkerhetsoperationscenter (SOC) med hantering av arbetsflöden, svar och efterlevnad. En branschledande hotkorrelationsmotor främjar effektiv säkerhetsanalys i en SOC.

Hur säkerställer TIC 3.0 en effektiv incidenthantering?

TIC 3.0 främjar snabb reaktion och anpassar framtida svar för att upptäcka hot; definierar och implementerar policyer; och förenklar antagandet av nya motåtgärder är det viktigaste målet för incidenthantering.

Det inre hotet finns idag till stor del i form av applikationskod och applikationssäkerhet. I genomsnitt är de applikationer som används av statliga myndigheter 80% anpassad kod eller öppen källkod. De kommer inte från en leverantör som har kapacitet för programvarutestning i företagsklass eller ens ansvar. Cyberincidenter och intrång är i 85% de flesta fall resultatet av anpassad kod eller kod med öppen källkod. Den koden är den verkliga möjligheten till säkerhetsproblem.

För närvarande reagerar organisationer rutinmässigt på stora volymer varningar och hotdata som kräver omedelbar uppmärksamhet. För att hantera det oavbrutna flödet av kritisk data kommer myndigheter i framtiden att utnyttja mer maskindrivna automatiserade aktiviteter. Myndigheter som går mot TIC 3.0 kommer att dra nytta av teknik som hjälper organisationer att ha en central plats för att samla in varningar och hotflöden - och att svara och åtgärda incidenter i maskinhastighet.

Vilka verktyg och metoder kan användas för att uppfylla TIC 3.0?

Multifaktorautentisering (MFA) gör det möjligt att centralisera hanteringen av autentisering och auktorisering. Strömlinjeformad hantering från en enda lösning sänker kostnaderna och stärker säkerheten. Lösningar som kan utnyttja öppna standarder möjliggör snabb integration och skyddar mot säkerhetsöverträdelser och risken för inlåsning av leverantörer. Den inbyggda flexibiliteten i ett avancerat ramverk för autentisering gör det möjligt att anpassa säkerhetsprotokoll och metoder samt förbättra den övergripande användarupplevelsen.

Formatbevarande kryptering (FPE) är en ny typ av kryptering som används för att kryptera en vanlig text som bevarar sin ursprungliga längd och format som beskrivs av NIST-standarden (SP 800-38G) är omfattande granskad och validerad av kryptografiska samhället och säkerställer att alla exfiltrerade data är värdelösa. Den här typen av säkerhetslösning, som Voltage, kan enkelt implementeras i befintliga applikationer.

Programvara för Security Orchestration, Automation and Response (SOAR) kan automatisera tre huvudkategorier av aktiviteter, som alla traditionellt utförs manuellt av analytiker:

  • Automatiserad triagering: Istället för att en tier-1 soc-analytiker granskar larmet och gör en manuell triagering, kan Arcsight SOAR göra en automatiserad triagering. Det kan handla om att köra vissa kontroller för att eliminera grundläggande falska positiva signaler, leta upp tillgångar, IP-adresser etc. för att justera allvarlighetsgraden, kanske konsolidera flera olika larm till ett enda incidentärende och till och med automatiskt skicka ärendet till rätt medlem eller grupp inom SecOps-teamen. Målet med den här typen av automatisering är att eliminera Tier-1-arbete så mycket som möjligt över tid.
  • Datainsamling och korrelation hjälper till att färga incidenten med relevanta data för att förstå en incident bättre. Att leta upp en användare i Active Directory, kontrollera om någon har dragit sin bricka in i byggnaden, samla in hashes för alla program som körs på en viss dator och hämta alla webbloggar för en användare från Arcsight Logger är exempel på sådana SIEM-logghanterings- och datainsamlingsaktiviteter. I SOAR-jargongen kallas dessa för berikningar; data som hjälper till att förstå situationen bättre. Automatiserad datainsamling har i allmänhet fantastiska fördelar; så snart du ser en incident på din skärm kan all relevant data redan ha samlats in och presenterats för dig på samma skärm. Du behöver inte åka till olika platser och samla in data manuellt. Vanligtvis kan ArcSight SOAR av OpenText™ konsolidera 5 000 varningar till en hanterbar enskild 250-incident, vilket minskar SOC-analytikernas arbetsbelastning redan innan vi börjar arbeta.
  • Automatiserad begränsning: Du kan vidta åtgärder på infrastruktur och säkerhetsenheter för att begränsa en pågående attack; blockering av en IP på brandväggen, en URL på en webbgateway, isolering av en dator på NAC är exempel på sådana åtgärder.

Styrkan med den här typen av automatisering är att du kan blanda och matcha alla dessa kategorier och bygga heltäckande spelböcker med fullständig automatisering, om du vill.

Hur kommer TIC-säkerheten att utvecklas i offentlig sektor?

Systemets motståndskraft och riskhantering kan också båda dra nytta av implementeringen av TIC 3.0.

Användningsfall som rör nollförtroende, sakernas internet (IoT), kommunikation mellan myndigheter och SaaS förväntas alla publiceras i takt med att TIC fortsätter att utvecklas. Dessa användningsfall kommer att ge vägledning till byråer när de konfigurerar plattformar och tjänster för att vara i enlighet med 3.0.

Överlappningar har också gjorts för att använda plattformar som tillhandahålls av externa leverantörer för att säkerställa att TIC:s säkerhetsfunktioner fungerar fullt ut på alla plattformar.

Myndigheter kan delta i TIC-pilotprojekt för scenarier som ännu inte omfattas av användningsfall. Denna samarbetsprocess stöds av ledande aktörer som CISA och OMB och kan leda till nya användningsområden för teknik som används av den federala regeringen.

OpenText är engagerad i att vara en partner i den digitala omvandlingen av företag, företag och federala byråer. Vår öppna och flexibla programvara hjälper företag att ta steget över till framtidens teknik, bland annat genom att tillhandahålla tjänster och lösningar inom TIC 3.0. Läs mer om OpenText Government Solutions som kan hjälpa dig att modernisera och säkra dina nätverks- och datacenterinfrastrukturer med TIC 3.0 och Zero Trust.

Relaterade produkter

OpenText™ Core Behavioral Signals

Upptäck proaktivt insiderrisker, nya attacker och avancerade ihållande hot

OpenText™ Cybersecurity Cloud

Försvara med precision, säkra med självförtroende

OpenText™ Access Manager with Managed Services

Aktivera enkel inloggning och åtkomstkontroll över plattformar

Identitets- och åtkomsthantering

Säkra dina digitala tillgångar genom att tryggt hantera identiteter och åtkomst

Sekretess och skydd av personuppgifter

Säkra data, minska riskerna, förbättra efterlevnaden och styra åtkomsten

Se alla relaterade produkter

Hur kan vi hjälpa till?

Fotnoter