يتولى مكتب المفتش العام وزارة الدفاع مهمة تجاهل توصيات الأمن السيبراني لأكثر من عشر سنوات

قد تكون التداعيات كارثية إذا استغرقت وزارة الدفاع ، أكبر خط دفاعنا ضد التهديدات السيبرانية الداخلية والخارجية ، يومًا أو ساعة أو دقيقة واحدة لاتخاذ إجراءات تصحيحية لإزالة الأجهزة والبرامج القديمة المليئة بالثغرات الأمنية من تكنولوجيا المعلومات الهامة. بنية تحتية.

ريجيلسفيل ، بنسلفانيا (PRWEB) 15 مايو 2023

عندما تصور هوليوود العالم السفلي لقراصنة الكمبيوتر ، مع مشاهد تنبض بالحيوية لمعركة بين ممثلين حكوميين جيدين وأشرار يحاولون إنقاذ العالم أو القضاء عليه ، تكون الإضاءة مشؤومة ، والأصابع تتطاير بسهولة عبر لوحات مفاتيح متعددة في وقت واحد أثناء فتح وإغلاق جدران الحماية بسرعة البرق. ووكالات الاستخبارات الفيدرالية المتميزة لديها دائمًا أحدث الأجهزة البراقة عالية التقنية. لكن الواقع نادرا ما يقيس. البنتاغون ، مقر وزارة الدفاع (DoD) ، هو رمز قوي للقوة العسكرية للولايات المتحدة وقوتها. ومع ذلك ، من 2014 إلى 2022 ، كانت 822 وكالة حكومية ضحية للهجمات الإلكترونية ، مما أثر على ما يقرب من 175 مليون سجل حكومي بتكلفة تقارب 26 مليار دولار. [1) وزارة الدفاع تحت المراقبة الساهرة لمكتب المفتش العام (مكتب المفتش العام) ، وأحدث تقرير تدقيق لها هو عين سوداء على سمعة أكبر وكالة حكومية في البلاد. والت Szablowski ، المؤسس والرئيس التنفيذي لشركة إراينت، التي وفرت رؤية كاملة لشبكات عملائها من المؤسسات الكبيرة لأكثر من عقدين ، تحذر من أن "الآثار قد تكون كارثية إذا استغرقت وزارة الدفاع ، أكبر خط دفاعنا ضد التهديدات الإلكترونية الداخلية والخارجية ، يومًا واحدًا أو ساعة واحدة أو دقيقة للغاية لاتخاذ إجراءات تصحيحية لإزالة الأجهزة والبرامج القديمة والمعبأة بالثغرات الأمنية من البنية التحتية لتكنولوجيا المعلومات الهامة. Zero Trust Architecture هي الأداة الأكبر والأكثر فاعلية في صندوق أدوات الأمن السيبراني. "

في الآونة الأخيرة في يناير 2023 ، حبس العالم أنفاسه الجماعية بعد أن بدأت إدارة الطيران الفيدرالية (FAA) التوقف الأرضي ، مما منع جميع الطائرات المغادرة والوصول. لم يتم اتخاذ مثل هذه الإجراءات المتطرفة منذ أحداث الحادي عشر من سبتمبر. كان الحكم النهائي لإدارة الطيران الفيدرالية (FAA) هو أن انقطاع التيار في نظام الإشعار بالبعثات الجوية (NOTAM) المسؤول عن توفير معلومات السلامة الحاسمة لمنع الكوارث الجوية قد تعرض للخطر أثناء الصيانة الروتينية عندما تم استبدال ملف عن طريق الخطأ بآخر. أصدرت وزارة الدفاع OIG علنًا ملخصها للتقارير والشهادات المتعلقة بالأمن السيبراني لوزارة الدفاع من 9 يوليو 11 ، حتى 2 يونيو 1 (DODIG-2020-30) التي تلخص التقارير والشهادات غير السرية والمصنفة المتعلقة بالأمن السيبراني لوزارة الدفاع. [2022)

وفقًا لتقرير مكتب المفتش العام (OIG) ، يتعين على الوكالات الفيدرالية اتباع إرشادات إطار عمل المعهد الوطني للمعايير والتكنولوجيا (NIST) لتحسين الأمن السيبراني للبنية التحتية الحيوية. يشتمل الإطار على خمس ركائز - التحديد والحماية والكشف والاستجابة والتعافي - لتنفيذ تدابير الأمن السيبراني عالية المستوى التي تعمل معًا كاستراتيجية شاملة لإدارة المخاطر. ركز مكتب المفتش العام وغيره من الكيانات الرقابية في وزارة الدفاع بشكل أساسي على ركيزتين - التحديد والحماية ، مع تركيز أقل على الركائز الثلاث المتبقية - الاكتشاف والاستجابة والتعافي. وخلص التقرير إلى أنه من بين 895 توصية متعلقة بالأمن السيبراني في التقارير الموجزة الحالية والسابقة ، لا يزال لدى وزارة الدفاع 478 مشكلة أمنية مفتوحة تعود إلى عام 2012. [3)

في مايو 2021 ، أصدر البيت الأبيض الأمر التنفيذي رقم 14028: تحسين الأمن السيبراني للأمة ، والذي يتطلب من الوكالات الفيدرالية تعزيز الأمن السيبراني وسلسلة توريد البرامج من خلال اعتماد Zero Trust Architecture مع توجيه لاستخدام تشفير المصادقة متعدد العوامل. يعزز Zero Trust تحديد النشاط السيبراني الضار على الشبكات الفيدرالية من خلال تسهيل نظام الكشف عن نقطة النهاية والاستجابة لها على مستوى الحكومة. تم تصميم متطلبات سجل أحداث الأمن السيبراني لتحسين الاتصال المتبادل بين الوكالات الحكومية الفيدرالية. [4)

تفترض Zero Trust Architecture ، في أبسط مستوياتها ، موقف الشك الشديد وعدم الثقة في كل مكون على طول سلسلة توريد الأمن السيبراني من خلال الافتراض المسبق دائمًا بوجود تهديدات داخلية وخارجية للشبكة. لكن الثقة المعدومة هي أكثر من ذلك بكثير.

تجبر تطبيقات Zero Trust المنظمة على:

• تحديد شبكة المنظمة التي يتم الدفاع عنها.
• تصميم عملية ونظام خاص بالمؤسسة يحمي الشبكة.
• الحفاظ على النظام وتعديله ومراقبته لضمان نجاح العملية.
• قم بمراجعة العملية باستمرار وتعديلها للتعامل مع المخاطر المحددة حديثًا.

تعمل وكالة الأمن السيبراني وأمن البنية التحتية (CISA) على تطوير نموذج Zero Trust Maturity بأركانه الخمسة الخاصة - الهوية ، والأجهزة ، والشبكة ، والبيانات ، والتطبيقات وأعباء العمل - لمساعدة الوكالات الحكومية في تطوير وتنفيذ استراتيجيات وحلول Zero Trust . (5)

تظل Zero Trust Architecture مفهومًا نظريًا بدون عملية منظمة وقابلة للتدقيق مثل Eracent مبادرة ClearArmor Zero Trust Resource Planning (ZTRP). يعمل إطاره غير المختلط على تجميع جميع المكونات وتطبيقات البرامج والبيانات والشبكات ونقاط النهاية بشكل منهجي باستخدام تحليل مخاطر التدقيق في الوقت الفعلي. يتطلب النشر الناجح لـ Zero Trust أن يثبت كل مكون في سلسلة توريد البرامج بما لا يدع مجالاً للشك أنه يمكن الوثوق به والاعتماد عليه.

لا تقوم أدوات تحليل الثغرات التقليدية بفحص جميع مكونات سلسلة التوريد الخاصة بالتطبيق بشكل منهجي ، مثل الكود القديم والقديم الذي يمكن أن يشكل خطرًا أمنيًا. يقر زابلوفسكي ويثني على هذه المبادرات الحكومية ، ويحذر من أن "الثقة الصفرية هي عملية محددة بوضوح ومدارة وتتطور باستمرار ؛ إنه ليس "واحد وفعل". تتمثل الخطوة الأولى في تحديد حجم ونطاق الشبكة وتحديد ما يجب حمايته. ما هي أكبر المخاطر والأولويات؟ ثم قم بإنشاء مجموعة محددة من الإرشادات في عملية إدارة مؤتمتة ومستمرة وقابلة للتكرار على نظام أساسي واحد للإدارة وإعداد التقارير ".

حول Eracent
Walt Szablowski هو المؤسس والرئيس التنفيذي لشركة Eracent ويشغل منصب رئيس الشركات التابعة لـ Eracent (Eracent SP ZOO ، وارسو ، بولندا ؛ Eracent Private LTD في بنغالور ، الهند ، و Eracent Brazil). تساعد Eracent عملائها على مواجهة تحديات إدارة أصول شبكات تكنولوجيا المعلومات وتراخيص البرامج والأمن السيبراني في بيئات تكنولوجيا المعلومات المعقدة والمتطورة اليوم. يوفر عملاء المؤسسة في Eracent توفيرًا كبيرًا في إنفاقهم السنوي على البرامج ، ويقللون من مخاطر التدقيق والأمن ، ويؤسسوا عمليات إدارة أصول أكثر كفاءة. تتضمن قاعدة عملاء Eracent بعضًا من أكبر شبكات الشركات والحكومة وبيئات تكنولوجيا المعلومات في العالم. تعتمد العشرات من شركات Fortune 500 على حلول Eracent لإدارة شبكاتهم وحمايتها. يزور https://eracent.com/. 

المراجع:
1) بيشوف ، ب. (2022 ، 29 نوفمبر). الانتهاكات الحكومية - هل يمكنك الوثوق بالحكومة الأمريكية فيما يتعلق ببياناتك؟ مقارنة. تم الاسترجاع في 28 أبريل 2023 من موقع Comparitech.com/blog/vpn-privacy/us-government-breaches/
2) بيان FAA Notam. بيان FAA NOTAM | إدارة الطيران الفيدرالية. (اختصار الثاني). تم الاسترجاع في 1 فبراير 2023 من .faa.gov/newsroom/faa-notam-statement
3) ملخص التقارير والشهادات المتعلقة بالأمن السيبراني لوزارة الدفاع من 1 يوليو 2020 حتى. وزارة الدفاع - مكتب المفتش العام. (2023 ، 30 يناير). تم الاسترجاع في 28 أبريل 2023 من dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) الأمر التنفيذي رقم 14028: تحسين الأمن السيبراني للدولة. GSA. (2021 ، 28 أكتوبر). تم الاسترجاع في 29 مارس 2023 ، من gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) أصدرت CISA نموذجًا محدثًا لنضج الثقة الصفري: CISA. وكالة الأمن السيبراني وأمن البنية التحتية CISA. (2023 ، 25 أبريل). تم الاسترجاع في 28 أبريل 2023 ، من cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The٪20five٪20pillars٪20of٪20the،the٪202021٪ 20p public٪ 20comment٪ 20period

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
• سك المستقبل مع أدرين أشلي. الوصول هنا.
• شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
• المصدر https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm