OIG tager DoD til opgave for at ignorere cybersikkerhedsanbefalinger i over ti år

Implikationerne kan være katastrofale, hvis DoD, vores største forsvarslinje mod interne og eksterne cybertrusler, tager en dag, en time eller et minut for lang tid om at træffe korrigerende handlinger for at fjerne sårbarhedspækket og forældet hardware og software fra dets kritiske it. infrastruktur.

RIEGELSVILLE, Pa. (PRWEB) Maj 15, 2023

Når Hollywood skildrer computerhackeres underverden med pulserende scener af en kamp mellem gode og onde regeringsaktører, der forsøger at redde eller nedkæmpe verden, er belysningen ildevarslende, fingrene flyver ubesværet hen over flere tastaturer på én gang, mens firewalls åbnes og lukkes med lynets hast. Og smarte føderale efterretningstjenester har altid det seneste inden for prangende, højteknologisk gadgets. Men virkeligheden er sjældent mål. Pentagon, hovedkvarteret for Department of Defense (DoD), er et stærkt symbol på USA's militære magt og styrke. Men fra 2014 til 2022 har 822 offentlige myndigheder været ofre for cyberangreb, hvilket har påvirket næsten 175 millioner offentlige poster til en pris på cirka 26 milliarder dollars.(1) DoD er under det vågne øje af DoD OIG (Office of Inspector General) , og deres seneste revisionsrapport er et sort øje til omdømmet for landets største statslige agentur. Walt Szablowski, grundlægger og administrerende formand for Eracent, som har givet fuldstændig synlighed i sine store virksomhedskunders netværk i over to årtier, advarer: "Konsekvenserne kan være katastrofale, hvis DoD, vores største forsvarslinje mod interne og eksterne cybertrusler, tager en dag, en time eller en minut for lang tid til at foretage korrigerende handlinger for at fjerne sårbarhedspækket og forældet hardware og software fra dens kritiske it-infrastruktur. Zero Trust Architecture er det største og mest effektive værktøj i cybersikkerhedsværktøjskassen."

Så sent som i januar 2023 holdt verden sit kollektive åndedræt efter et jordstop blev iværksat af FAA, der forhindrede alle flyafgange og ankomster. Ikke siden begivenhederne den 9. september er der truffet så ekstreme foranstaltninger. FAA's endelige dom var, at et udfald i Notice to Air Missions-systemet (NOTAM), der var ansvarligt for at levere afgørende sikkerhedsoplysninger for at forhindre luftkatastrofer, blev kompromitteret under rutinemæssig vedligeholdelse, da en fil ved en fejl blev erstattet med en anden.(11) Tre uger senere, DoD OIG offentliggjorde sin oversigt over rapporter og vidnesbyrd vedrørende DoD Cybersecurity fra den 2. juli 1 til den 2020. juni 30 (DODIG-2022-2023) revision, der opsummerer de uklassificerede og klassificerede rapporter og vidnesbyrd vedrørende DoD cybersikkerhed.(047)

Ifølge OIG-rapporten er føderale agenturer forpligtet til at følge retningslinjerne fra National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity. Rammen omfatter fem søjler – Identificer, Beskyt, Opdag, Reager og Gendan – for at implementere cybersikkerhedsforanstaltninger på højt niveau, der fungerer sammen som en omfattende risikostyringsstrategi. OIG og andre DoD-tilsynsenheder har primært fokuseret på to søjler - Identificer og Beskyt, med mindre vægt på de resterende tre - Opdag, Svar og Gendan. Rapporten konkluderede, at af de 895 cybersikkerhedsrelaterede anbefalinger i de nuværende og tidligere sammenfattende rapporter, havde DoD stadig 478 åbne sikkerhedsproblemer, der går tilbage så langt som til 2012.(3)

I maj 2021 udstedte Det Hvide Hus Executive Order 14028: Forbedring af nationens cybersikkerhed, der kræver, at føderale agenturer forbedrer cybersikkerhed og softwareforsyningskædens integritet ved at vedtage Zero Trust Architecture med et direktiv om at anvende multifaktorautentificeringskryptering. Zero Trust forbedrer identifikationen af ​​ondsindet cyberaktivitet på føderale netværk ved at facilitere et regeringsdækkende slutpunktsdetektions- og responssystem. Krav til hændelseslog for cybersikkerhed er designet til at forbedre krydskommunikation mellem føderale regeringsorganer.(4)

Zero Trust Architecture, på sit mest grundlæggende niveau, antager en holdning af resolut skepsis og mistillid til hver komponent langs cybersikkerhedsforsyningskæden ved altid at forudsætte eksistensen af ​​interne og eksterne trusler mod netværket. Men Zero Trust er meget mere end det.

Implementeringer af Zero Trust tvinger organisationen til endelig:

• Definer organisationens netværk, der bliver forsvaret.
• Design en organisationsspecifik proces og system, der beskytter netværket.
• Vedligehold, modificer og overvåg systemet for at sikre, at processen fungerer.
• Gennemgå hele tiden processen og modificer den for at imødegå nydefinerede risici.

Cybersecurity and Infrastructure Security Agency (CISA) er ved at udvikle en Zero Trust Maturity Model med sine egne fem søjler – Identitet, Devices, Network, Data og Applications and Workloads – for at hjælpe statslige myndigheder med udvikling og implementering af Zero Trust strategier og løsninger .(5)

Zero Trust Architecture forbliver et teoretisk koncept uden en struktureret og auditerbar proces som Eracents ClearArmor Zero Trust Resource Planning (ZTRP) initiativ. Dens uforkortede ramme syntetiserer systematisk alle komponenter, softwareapplikationer, data, netværk og endepunkter ved hjælp af revisionsrisikoanalyse i realtid. Succesfuld implementering af Zero Trust kræver, at alle komponenter i softwareforsyningskæden beviser uden tvivl, at den kan stole på og stole på.

Konventionelle sårbarhedsanalyseværktøjer undersøger ikke metodisk alle komponenter i en applikations forsyningskæde, såsom forældet og forældet kode, der kan udgøre en sikkerhedsrisiko. Szablowski anerkender og bifalder disse regeringsinitiativer og advarer: "Nul tillid er en klart defineret, styret og kontinuerligt udviklende proces; det er ikke 'en og færdig'. Det første trin er at definere netværkets størrelse og omfang og identificere, hvad der skal beskyttes. Hvad er de største risici og prioriteter? Opret derefter et foreskrevet sæt retningslinjer i en automatiseret, kontinuerlig og gentagelig administrationsproces på en enkelt administrations- og rapporteringsplatform."

Om Eracent
Walt Szablowski er grundlægger og administrerende formand for Eracent og fungerer som formand for Eracents datterselskaber (Eracent SP ZOO, Warszawa, Polen; Eracent Private LTD i Bangalore, Indien, og Eracent Brasilien). Eracent hjælper sine kunder med at klare udfordringerne med at administrere it-netværksaktiver, softwarelicenser og cybersikkerhed i nutidens komplekse og udviklende it-miljøer. Eracents virksomhedskunder sparer betydeligt på deres årlige softwareudgifter, reducerer deres revisions- og sikkerhedsrisici og etablerer mere effektive asset management processer. Eracents kundebase omfatter nogle af verdens største virksomheds- og offentlige netværk og it-miljøer. Dusinvis af Fortune 500-virksomheder er afhængige af Eracent-løsninger til at administrere og beskytte deres netværk. Besøg https://eracent.com/. 

Referencer:
1) Bischoff, P. (2022, 29. november). Regeringsbrud – kan du stole på den amerikanske regering med dine data? Comparitech. Hentet 28. april 2023 fra comparitech.com/blog/vpn-privacy/us-government-breaches/
2) FAA Notam-erklæring. FAA NOTAM-erklæring | Federal Aviation Administration. (nd). Hentet 1. februar 2023 fra.faa.gov/newsroom/faa-notam-statement
3) Sammenfatning af rapporter og vidnesbyrd vedrørende DOD cybersikkerhed fra 1. juli 2020 til og med. Generalinspektørens kontor for forsvarsministeriet. (2023, 30. januar). Hentet 28. april 2023 fra dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Bekendtgørelse 14028: Forbedring af landets cybersikkerhed. GSA. (2021, 28. oktober). Hentet 29. marts 2023 fra gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA udgiver opdateret Zero trust modenhedsmodel: CISA. Cybersikkerheds- og infrastruktursikkerhedsagenturet CISA. (2023, 25. april). Hentet 28. april 2023 fra cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20offentlig%20kommentar%20periode

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
• Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
• Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
• Kilde: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm