Das OIG wirft dem Verteidigungsministerium vor, Cybersicherheitsempfehlungen über zehn Jahre lang ignoriert zu haben

Die Auswirkungen könnten katastrophal sein, wenn das Verteidigungsministerium, unsere größte Verteidigungslinie gegen interne und externe Cyberbedrohungen, einen Tag, eine Stunde oder eine Minute zu lange braucht, um Korrekturmaßnahmen zu ergreifen, um mit Schwachstellen übersäte und veraltete Hardware und Software aus seiner kritischen IT zu entfernen Infrastruktur.

RIEGELSVILLE, Pennsylvania (PRWEB) 15. Mai 2023

Wenn Hollywood die Unterwelt der Computerhacker zeigt, mit atemberaubenden Szenen eines Kampfes zwischen guten und bösen Regierungsakteuren, die versuchen, die Welt zu retten oder zu zerstören, ist die Beleuchtung bedrohlich, Finger fliegen mühelos über mehrere Tastaturen gleichzeitig, während Firewalls geöffnet und geschlossen werden blitzschnell. Und die raffinierten Bundesnachrichtendienste verfügen immer über die neuesten, auffälligen High-Tech-Geräte. Aber die Realität kann selten mithalten. Das Pentagon, das Hauptquartier des Verteidigungsministeriums (DoD), ist ein starkes Symbol der militärischen Macht und Stärke der Vereinigten Staaten. Von 2014 bis 2022 wurden jedoch 822 Regierungsbehörden Opfer von Cyberangriffen, die fast 175 Millionen Regierungsdaten betrafen und Kosten in Höhe von etwa 26 Milliarden US-Dollar verursachten.(1) Das Verteidigungsministerium steht unter der wachsamen Aufsicht des DoD OIG (Office of Inspector General). , und ihr jüngster Prüfungsbericht schadet dem Ruf der größten Regierungsbehörde des Landes. Walt Szablowski, Gründer und Vorstandsvorsitzender von Eracent, das seit über zwei Jahrzehnten vollständige Einblicke in die Netzwerke seiner großen Unternehmenskunden bietet, warnt: „Die Auswirkungen könnten katastrophal sein, wenn das DoD, unsere größte Verteidigungslinie gegen interne und externe Cyberbedrohungen, einen Tag, eine Stunde oder eine Zeit in Anspruch nimmt.“ Es dauerte eine Minute zu lange, Korrekturmaßnahmen zu ergreifen, um mit Schwachstellen behaftete und veraltete Hardware und Software aus der kritischen IT-Infrastruktur zu entfernen. Die Zero-Trust-Architektur ist das größte und effektivste Tool in der Cybersicherheits-Toolbox.“

Noch im Januar 2023 hielt die Welt den Atem an, nachdem die FAA einen Bodenstopp angeordnet hatte, der alle Abflüge und Ankünfte von Flugzeugen verhinderte. Seit den Ereignissen vom 9. September wurden keine so extremen Maßnahmen ergriffen. Das endgültige Urteil der FAA lautete, dass ein Ausfall im System „Notice to Air Missions“ (NOTAM), das für die Bereitstellung wichtiger Sicherheitsinformationen zur Verhinderung von Flugkatastrophen verantwortlich ist, während der routinemäßigen Wartung beeinträchtigt wurde, als eine Datei versehentlich durch eine andere ersetzt wurde.(11) Drei Wochen später wurde die Das DoD OIG hat seine Zusammenfassung der Berichte und Zeugenaussagen zur DoD-Cybersicherheit vom 2. Juli 1 bis zum 2020. Juni 30 (DODIG-2022-2023) öffentlich veröffentlicht, in der die nicht klassifizierten und geheimen Berichte und Zeugenaussagen zur DoD-Cybersicherheit zusammengefasst sind.(047)

Laut dem OIG-Bericht sind Bundesbehörden verpflichtet, die Richtlinien des National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity zu befolgen. Das Framework umfasst fünf Säulen – Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen – zur Implementierung hochrangiger Cybersicherheitsmaßnahmen, die als umfassende Risikomanagementstrategie zusammenarbeiten. Das OIG und andere Aufsichtsbehörden des Verteidigungsministeriums haben sich hauptsächlich auf zwei Säulen konzentriert – Identifizieren und Schützen –, wobei die verbleibenden drei Säulen – Erkennen, Reagieren und Wiederherstellen – weniger im Vordergrund stehen. Der Bericht kam zu dem Schluss, dass das Verteidigungsministerium von den 895 Empfehlungen zur Cybersicherheit in den aktuellen und früheren zusammenfassenden Berichten noch 478 offene Sicherheitsprobleme aus dem Jahr 2012 hatte.(3)

Im Mai 2021 erließ das Weiße Haus die Executive Order 14028: Improving the Nation's Cyber ​​Security, die Bundesbehörden dazu verpflichtet, die Cybersicherheit und die Integrität der Software-Lieferkette durch die Einführung der Zero-Trust-Architektur zu verbessern, mit der Anweisung, eine Multifaktor-Authentifizierungsverschlüsselung einzusetzen. Zero Trust verbessert die Identifizierung böswilliger Cyberaktivitäten in Bundesnetzwerken, indem es ein regierungsweites Endpunkterkennungs- und Reaktionssystem ermöglicht. Die Anforderungen an Cybersicherheits-Ereignisprotokolle sollen die gegenseitige Kommunikation zwischen Bundesbehörden verbessern.(4)

Auf ihrer grundlegendsten Ebene nimmt die Zero-Trust-Architektur die Haltung entschiedener Skepsis und Misstrauens gegenüber jeder Komponente entlang der Cybersicherheits-Lieferkette ein, indem sie stets die Existenz interner und externer Bedrohungen für das Netzwerk voraussetzt. Aber Zero Trust ist viel mehr als das.

Die Implementierung von Zero Trust zwingt die Organisation dazu, endlich:

• Definieren Sie das Netzwerk der Organisation, das verteidigt wird.
• Entwerfen Sie einen organisationsspezifischen Prozess und ein System, das das Netzwerk schützt.
• Warten, modifizieren und überwachen Sie das System, um sicherzustellen, dass der Prozess funktioniert.
• Überprüfen Sie den Prozess ständig und ändern Sie ihn, um neu definierten Risiken Rechnung zu tragen.

Die Cybersecurity and Infrastructure Security Agency (CISA) entwickelt ein Zero-Trust-Reifemodell mit eigenen fünf Säulen – Identität, Geräte, Netzwerk, Daten sowie Anwendungen und Workloads –, um Regierungsbehörden bei der Entwicklung und Umsetzung von Zero-Trust-Strategien und -Lösungen zu unterstützen .(5)

Zero Trust Architecture bleibt ein theoretisches Konzept ohne einen strukturierten und überprüfbaren Prozess wie den von Eracent ClearArmor Zero Trust Resource Planning (ZTRP)-Initiative. Sein ungekürztes Framework synthetisiert systematisch alle Komponenten, Softwareanwendungen, Daten, Netzwerke und Endpunkte mithilfe einer Echtzeit-Prüfungsrisikoanalyse. Für den erfolgreichen Einsatz von Zero Trust muss jeder Teilnehmer in der Software-Lieferkette zweifelsfrei nachweisen, dass man ihm vertrauen und sich darauf verlassen kann.

Herkömmliche Tools zur Schwachstellenanalyse prüfen nicht alle Komponenten der Lieferkette einer Anwendung methodisch, beispielsweise veralteten und veralteten Code, der ein Sicherheitsrisiko darstellen kann. Szablowski würdigt und begrüßt diese Regierungsinitiativen und warnt: „Zero Trust ist ein klar definierter, verwalteter und sich ständig weiterentwickelnder Prozess; es ist nicht „eins und fertig“. Der erste Schritt besteht darin, die Größe und den Umfang des Netzwerks zu definieren und zu ermitteln, was geschützt werden muss. Was sind die größten Risiken und Prioritäten? Erstellen Sie dann einen vorgeschriebenen Satz von Richtlinien in einem automatisierten, kontinuierlichen und wiederholbaren Managementprozess auf einer einzigen Management- und Berichtsplattform.“

Über Eracent
Walt Szablowski ist Gründer und Executive Chairman von Eracent und fungiert als Vorsitzender der Tochtergesellschaften von Eracent (Eracent SP ZOO, Warschau, Polen; Eracent Private LTD in Bangalore, Indien und Eracent Brasilien). Eracent unterstützt seine Kunden bei der Bewältigung der Herausforderungen bei der Verwaltung von IT-Netzwerkressourcen, Softwarelizenzen und Cybersicherheit in den heutigen komplexen und sich weiterentwickelnden IT-Umgebungen. Die Unternehmenskunden von Eracent sparen erheblich bei ihren jährlichen Softwareausgaben, reduzieren ihre Prüfungs- und Sicherheitsrisiken und etablieren effizientere Asset-Management-Prozesse. Zum Kundenstamm von Eracent gehören einige der weltweit größten Unternehmens- und Regierungsnetzwerke und IT-Umgebungen. Dutzende Fortune-500-Unternehmen verlassen sich bei der Verwaltung und dem Schutz ihrer Netzwerke auf Eracent-Lösungen. Besuchen https://eracent.com/. 

References:
1) Bischoff, P. (2022, 29. November). Verstöße der Regierung – können Sie der US-Regierung Ihre Daten anvertrauen? Comparitech. Abgerufen am 28. April 2023 von comparitech.com/blog/vpn-privacy/us- Government-breaches/
2) Notam-Erklärung der FAA. FAA NOTAM-Erklärung | Föderale Flugverwaltung. (nd). Abgerufen am 1. Februar 2023 unter.faa.gov/newsroom/faa-notam-statement
3) Zusammenfassung der Berichte und Zeugenaussagen zur Cybersicherheit des Verteidigungsministeriums vom 1. Juli 2020 bis. Büro des Generalinspektors des Verteidigungsministeriums. (2023, 30. Januar). Abgerufen am 28. April 2023 von dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Executive Order 14028: Verbesserung der Cybersicherheit des Landes. GSA. (2021, 28. Oktober). Abgerufen am 29. März 2023 von gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA veröffentlicht aktualisiertes Zero-Trust-Reifemodell: CISA. Agentur für Cybersicherheit und Infrastruktursicherheit CISA. (2023, 25. April). Abgerufen am 28. April 2023 von cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20fünf%20pillars%20of%20the,the%202021% 20public%20comment%20period

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
• Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
• Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
• Quelle: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm