L’usine de logiciels de l’armée de l’air fait passer Iron Bank à des niveaux classifiés

Platform One, la plate-forme de livraison de logiciels DevSecOps de l’Air Force, étend son référentiel de conteneurs Iron Bank au niveau secret au cours des deux prochains mois et prévoit de le porter au niveau top secret d’ici la fin du prochain exercice.

Iron Bank est un référentiel qui stocke le code open source dans des conteneurs et permet à l’usine de logiciels de fournir rapidement la version la plus récente du logiciel pour les applications militaires en toute sécurité.

Il n’y a toujours aucun moyen pour les partenaires de la communauté du renseignement tels que la NSA ou l’Air Force Office of Special Investigations (OSI) qui produisent un vaste volume de renseignements de fournir automatiquement les renseignements collectés au reste de la communauté du DOD. Platform One s’associe à ces agences pour introduire l’automatisation dans ce processus manuel dans les 1 300 conteneurs de son Iron Bank.

“La technologie pour la maintenir à ces niveaux de classification est quelque chose sur laquelle nous avons, pour la plupart, craqué. Le défi consiste à prendre ces informations … et à les automatiser”, a déclaré le lieutenant-colonel Brian Viola, de Platform One. chef du matériel, a déclaré à GovCIO Media & Research. “Un autre sur lequel nous travaillons est … les solutions inter-domaines.”

Déplacer le référentiel des niveaux non classifiés aux niveaux classifiés est simple pour les fichiers qui suivent une structure bien définie. Le processus devient plus difficile avec du code non structuré, ou code binaire, et nécessite des solutions inter-domaines pour le faire en toute sécurité.

“Ce [unstructured code] pourrait prendre de nombreuses formes différentes », a déclaré Viola. « Tout programme logiciel serait considéré comme du code non structuré. Pendant que nous essayons de faire remonter des fichiers sûrs, l’objectif ou… le travail d’une solution inter-domaines serait de s’assurer que vous ne poussez pas de fichiers dangereux. Faire cela, de manière automatisée, est un défi très complexe.”

“Tout ce que vous consommez en dehors d’Iron Bank ne comporte jamais de risque zéro, tout comme toutes les vulnérabilités de la cybersécurité ne sont pas créées égales. Nous essayons de mettre une étiquette nutritionnelle sur chaque récipient que le consommateur de ce récipient peut ensuite regarder et dire, ‘D’accord , je comprends les vulnérabilités mais mon environnement atténue ces risques », a ajouté Viola.

L’usine de logiciels s’associe également au CIO de l’Air Force et au CIO du DOD pour accélérer le processus de livraison des capacités, en particulier en élargissant une autorité continue d’exploitation, ou cATO, et le certificat sur le terrain.

Traditionnellement, autoriser le fonctionnement d’un système d’information et s’assurer que le risque de déploiement de ces systèmes est acceptable prend de 18 mois à trois ans. Dans de nombreux cas, il est trop tard ou périmé au moment où l’autorisation d’exploitation est délivrée.

L’année dernière, le ministère de la Défense a publié un note décrivant les avantages d’une autorisation continue indiquant que “cATO représente une amélioration difficile mais nécessaire de notre approche du cyber-risque afin d’accélérer l’innovation tout en devançant les menaces de cybersécurité en expansion”.

“Vous pouvez imaginer que si vous essayez de pousser des choses sur le terrain chaque semaine ou toutes les deux semaines, ces deux choses ne se soutiennent pas nécessairement. J’ai besoin que le combattant utilise quelque chose chaque semaine ou toutes les deux semaines pour améliorer capacité, mais pourtant, tous les ans ou tous les deux ans, vous allez me donner le pouvoir d’opérer pour de nouvelles capacités », a déclaré Viola.

“Et ce que cela permettra d’un point de vue de la sécurité, si vous pensez à tous les correctifs qui accompagnent tous ces produits, qu’il s’agisse de produits open source ou commerciaux, vous devez prendre ces correctifs et les diffuser aussi vite que vous le pouvez. vous pouvez garder une longueur d’avance sur votre adversaire. Si cela vous prend 18 mois pour le faire, vous êtes vulnérable pendant 18 mois. Si vous pouvez corriger votre système en quelques minutes, il est beaucoup plus difficile pour eux d’exploiter cette capacité », il ajouta.

En outre, Platform One propose Party Bus, une plate-forme en tant que service que l’usine vend au prix coûtant au plus grand DOD, et elle cherche à fabriquer des “containers bovins”. L’analogie entre le bétail et les animaux de compagnie décrit un environnement où certains contenants qui sont soignés et traités avec beaucoup plus de soin sont des « animaux de compagnie », et les contenants qui ne reçoivent pas autant d’attention sont du « bétail ».

“Vos conteneurs – vous ne voulez pas les traiter comme des animaux de compagnie. Vous ne voulez pas les aimer. Vous ne voulez pas vraiment prendre soin d’eux, n’est-ce pas ? Mais l’idée est… vous devriez juste vous débarrasser de votre conteneur très fréquemment. Vous devriez simplement vous en débarrasser, le reconstruire, automatiser ce processus. dit Viola. “Aujourd’hui, nous avons fait beaucoup de progrès dans l’automatisation de cela. Nous sommes capables de créer des environnements en quelques heures, mais je veux pouvoir le réduire à quelques minutes.”

Platform One n’existe que depuis deux ans, et c’est la première année que l’organisation est entièrement financée et dispose du budget pour pouvoir planifier l’année à venir. L’équipe se prépare à la manière dont elle répartira ses ressources l’année prochaine.

“J’essaie vraiment de regarder les trois à six prochains mois. La technologie évolue si vite, nous essayons de suivre le rythme. Et pour ce faire, je ne pense pas que vous puissiez mettre en place un plan pour le cinq prochaines années, puis allez simplement l’exécuter. Je pense que vous devez constamment être conscient de ce que font nos adversaires, de ce que fait la technologie et de ce que nous devons faire pour pouvoir opérer dans cet environnement », a déclaré Viola.