Protegendo a tecnologia espacial militar de maus atores #ÚltimasNotícias

Com as novas tecnologias, surgem novas maneiras pelas quais os malfeitores podem obter o seu software. Não há nada mais avançado do que a tecnologia espacial militar, o que significa que as práticas de segurança em vigor precisam ser de primeira linha e atualizadas com a mesma frequência. Para descobrir como isso está acontecendo, a tenente-coronel Laila Barasha, líder de materiais no segmento terrestre do Evolved Strategic SATCOM (ESS) com a Força Espacial dos EUA, juntou-se a Federal Drive com Tom Temin.

Transcrição da entrevista:

Eric Branco Tenente-coronel Barasha, muito obrigado por reservar um tempo.

Laila Barasha Eu aprecio isso. Eric, obrigado.

Eric Branco Então, por que não começamos com o que seus esforços de desenvolvimento de software seguro parecem? Dê-nos uma visão geral de alguns dos aplicativos que vocês estão usando para proteger ou precisam proteger, onde eles estão hospedados, se está na nuvem ou se é manipulado por uma parte externa?

Laila Barasha Antes de falar sobre os aplicativos de software Evolved Strategic SATCOM, gostaria de começar com uma visão geral do que é o Evolved Strategic SATCOM. Então, o evolve strategic SATCOM é a constelação de satélites subsequente e a capacidade de satélite para a arquitetura de comunicações e controle de comando nuclear de última geração para os Estados Unidos. Então é a continuação do AHF. Nesse guarda-chuva, há cinco segmentos diferentes dentro do ESS que são baseados em aplicativos de software. Então o primeiro é o software do veículo espacial, e isso basicamente controla todas as funções a bordo, o satélite e a carga útil e a funcionalidade para fornecer comunicações às forças dos EUA, parceiros conjuntos e internacionais. O segundo é um conjunto de aplicativos de missão, e este é o software que reside no segmento terrestre que alocará esses recursos espaciais para usuários terrestres e terminais terrestres. O terceiro é um recurso de comando e controle em banda, que é outro subconjunto de software que faz 24 horas por dia, 7 dias por semana, controle das comunicações a bordo, da carga útil e do barramento. Há um quarto aplicativo de software que é um comando e controle fora de banda. E este é o controle da constelação geral de satélites. E então a quinta parte que acredito que falaremos longamente hoje é esse componente de estrutura e integração. E dentro desse componente de estrutura e integração, é onde todas as APIs residem, os aspectos de segurança cibernética, os gêmeos digitais, a arquitetura do sistema. Então essa estrutura é, essa é a base, onde todos os outros aplicativos residirão, para o segmento terrestre, para ESS.

Eric Branco Então é realmente, é esse quinto setor que é, como você mencionou, o que estamos destacando hoje. O que compõe isso? Ele se encontra maior do que o outro, no que diz respeito à mão de obra e ao software necessário?

Laila Barasha Eu não diria que é maior, mas é o componente que controlará as APIs e como o outro software interage com a constelação geral e variedade de aplicativos. Então é o primeiro na filmagem. Temos um integrador de software e um provedor de estrutura contratados, e eles estão no gancho para garantir que essas APIs que são dadas aos outros desenvolvedores de software de missão interajam com precisão. Eles policiam os padrões, mas também controlam todos os requisitos do sistema para garantir que os fluxos de dados sejam ciberseguros desde o início, você sabe, eles têm uma arquitetura de confiança zero, e estamos exigindo gêmeos digitais e aspectos de engenharia digital para garantir que possamos alertar o jogo e fazer análises de ameaças à segurança cibernética por meio desse gêmeo digital que reside com o fornecedor de estrutura e integração.

Eric Branco Então essa é a principal confiança que vocês têm ao garantir a segurança, desenvolver novos softwares e atualizar os atuais? É tudo uma questão de confiança zero e manter o controle sobre o contratante que vocês têm?

Laila Barasha Então você perguntou sobre a reutilização de software, e então eu, eu acredito que houve um esforço de cinco anos para realmente entender o software legado, suas vulnerabilidades cibernéticas, poderíamos reutilizar algum software? Era compatível com essa arquitetura de sistema modular e aberto que é, você sabe, a melhor prática para garantir a segurança cibernética em um sistema. E então percebemos muito rapidamente por meio dessa análise que o software legado provavelmente não era reutilizável, e então começamos do zero com esses projetos em mente. Então, o componente de estrutura e integração, não está reutilizando nenhum software. Ele vai andar em uma estrutura muito fina que faz apenas o mínimo necessário para permitir que os desenvolvedores de software tenham liberdade de movimento para criar seus próprios subconjuntos de componentes de sistema modular em seu software, mas também com a segurança cibernética em mente desde o início, e então não estamos reutilizando o software legado. No entanto, temos tudo. É tudo de propriedade do governo, e então temos os projetos. Só não estamos reutilizando esse software porque a segurança cibernética é uma parte muito importante da nossa arquitetura. Novamente, isso é comando, controle e comunicação nuclear. Então, em um dia ruim, quando o presidente pega o telefone, ele ouve um tom de discagem. Então, esse sistema estará vivo durante dias realmente ruins. Então, obviamente, a segurança cibernética e sendo uma arquitetura de software baseada em risco e informada por ameaças, temos a segurança cibernética incorporada desde o início.

Eric Branco Estamos falando com a Tenente-Coronel Laila Barasha. Ela é líder de material no segmento terrestre Evolved Strategic SATCOM com a Força Espacial dos EUA. E então esse é o tipo de modus operandi quando se trata de novo hardware e novas peças de equipamento com os quais todos vocês estão trabalhando, ou mesmo apenas uma nova parte desses outros quatro setores que você mencionou? Vocês todos vão redesenvolver ou desenvolver código do zero todas as vezes? Ou isso é aplicável a software e hardware mais novos e atualizados?

Laila Barasha Em termos de estrutura e integração do quebra-cabeça, tudo isso é software novo, mas é para que possamos construir a segurança cibernética desde o início. Mas quando você começa a falar sobre hardware, porque somos a continuação do AHF, somos compatíveis com os terminais de usuário existentes, porque os terminais de usuário são tipicamente, você sabe, os itens de longo prazo em qualquer sistema. E o que estamos vendo é que seremos compatíveis com aqueles terminais estratégicos legados que a idade tem atualmente serviços. E então, a partir desse aspecto, não estamos refazendo o software dentro desses componentes de hardware, os terminais de usuário, ou os terminais de usuário, obviamente, com atualizações para criptografia, porque é um sistema de última geração, então a criptografia terá que ser atualizada e algumas outras limitações dentro de seu software. Então, atualizações óbvias para eles. Não estamos codificando isso do zero. Eu acho que, o que compreende uma estrutura e arquitetura de backbone, é o que estávamos codificando do zero. Essa é a estrutura e a peça de integração. Então, no geral, com as cinco linhas diferentes de esforço, há algum hardware. Obviamente, há alguns componentes de sistemas legados com os quais ainda temos que trabalhar, como o legado da Space Force, SCN para o agendamento C2 é realmente o que se resume. Então, os componentes que absolutamente precisávamos refazer do zero por causa de preocupações com a segurança cibernética, nós fizemos. E aqueles aspectos que estão funcionando conforme necessário serão atualizados conforme necessário. Isso também fazia parte do cálculo.

Eric Branco Você tem usado o mesmo termo, nós criamos aqueles com a segurança cibernética em mente desde o início. Gostaria de saber se você poderia explicar um pouco sobre isso, porque isso parece codificação. E você sabe, como você garante que um código seguro foi compilado, você sabe, em um ambiente de produção em rápido movimento, e que ele irá interagir com os novos sistemas e aqueles sistemas legados que você mencionou?

Laila Barasha Se você olhar para os requisitos de segurança cibernética em todos os níveis do DOD, todos fazem referência tipicamente à conformidade com o RMF. Então é uma estrutura de gerenciamento de risco compatível com o RMF do sistema, e então há toda essa lista de itens que os fornecedores precisam aderir para serem seguros cibernéticos. Na semana passada, houve o CMMC… que foi lançado, também padrões para segurança cibernética dentro dos sistemas do DOD. Agora, se deixarmos isso de lado como ok, esta é a regulamentação para segurança cibernética. Você pode ser compatível com o RMF e não ser seguro cibernético. Então, quais são os aspectos da segurança cibernética que realmente garantem que o ESS como um todo seja seguro cibernético? E então temos a arquitetura de confiança zero incorporada. E dissemos aos fornecedores desde o início que a segurança cibernética é nossa peça-chave número um nesta arquitetura de desenvolvimento de software, e então parte de suas estruturas de incentivo em seus contratos é passar pela intrusão cibernética das equipes do DAFRED. E então as equipes do DAFRED olharão para esse código compilado, olharão, você sabe, a arquitetura do sistema, os gêmeos digitais, e eles nos dirão se este é um software ciberseguro antes mesmo de chegar à implantação operacional. Então, desde o desenvolvimento, desde o início, temos esses componentes cibernéticos de terceiros, universidades FFRDCs e as equipes do DAFRED que estão fornecendo essa análise de nível de sistema de se esta é uma arquitetura cibersegura novamente antes mesmo de chegar às operações.

Eric Branco Agora, eu seria negligente se não perguntasse, sabe, estou falando com um membro da Força Espacial aqui, e essas não são as conversas habituais de DevOps da SEC que estamos acostumados a ter com outras agências federais. Qual aspecto, sabe, desses sistemas estarem sendo implantados no espaço? Isso acrescenta algum tipo de dificuldade, ou é apenas uma espécie de, sabe, prática padrão, e você está apenas aplicando isso à tecnologia espacial?

Laila Barasha Acredito que essas são as melhores práticas de software padrão. Obviamente, há esse nível de complexidade, porque você está colocando código no espaço. Você está colocando código que precisa, você sabe, se comunicar com o espaço. Mas, no geral, os padrões de sistemas, as melhores práticas, os pipelines DevSecOps, o ágil, o scrum eye, tudo envolvido na construção de um bom software, essas são as melhores práticas padrão em todo o DOD. E então o que posso dizer é que, na Força Espacial, temos uma categoria de certificação para alguns de nossos jovens codificadores de software chamados Super Coders, e esses são homens e mulheres de serviço que passam pela certificação de software. Eles entendem de software e melhores práticas e como codificar. E eu realmente tenho alguns deles na minha equipe que me ajudaram a desenvolver, primeiro a solicitação de propostas de protótipos e, em seguida, eles me ajudaram a analisar todo esse software para escolher os melhores fornecedores que são os mais seguros cibernéticos com as melhores práticas de escrita de software. Então, porque temos essas certificações na Força Espacial, e sou abençoado por ter esses membros na minha equipe para me ajudar a analisar esse software, fomos capazes de desenvolver uma estratégia de aquisição que permite que os melhores codificadores de software sejam nossos fornecedores, e também responsabilizar esses fornecedores. Então, eu diria que essa é provavelmente a única diferenciação entre a Força Espacial e talvez alguns dos outros departamentos, mas para nós, os supercodificadores têm sido uma parte intrínseca do desenvolvimento de software de melhores práticas dentro do DOD.

Eric Branco A Tenente-Coronel Laila Barasha é líder de material no segmento terrestre Evolved Strategic SATCOM com a Força Espacial dos EUA. Muito obrigada por falar comigo.

Laila Barasha Agradeço, Eric, muito obrigado.

Eric Branco E você pode encontrar essa entrevista em nosso site, vá para federalnewsnetwork.com/federaldrive. Você também pode assinar o Federal Drive onde quer que você obtenha seus podcasts.

Copyright © 2024 Federal News Network. Todos os direitos reservados. Este site não é destinado a usuários localizados na Área Econômica Europeia.