Το OIG αναλαμβάνει το Υπουργείο Εξωτερικών να αγνοήσει τις συστάσεις για την κυβερνοασφάλεια για πάνω από δέκα χρόνια

Το OIG αναλαμβάνει το Υπουργείο Εξωτερικών να αγνοήσει τις συστάσεις για την κυβερνοασφάλεια για πάνω από δέκα χρόνια

Χρονική σήμανση: 14 Μαΐου 2023 8:00 μ.μ.
Νέα ειδήσεων

Οι συνέπειες θα μπορούσαν να είναι καταστροφικές εάν το Υπουργείο Άμυνας, η μεγαλύτερη γραμμή άμυνάς μας ενάντια σε εσωτερικές και εξωτερικές απειλές στον κυβερνοχώρο, χρειαστεί μία ημέρα, μία ώρα ή ένα λεπτό πάρα πολύ για να λάβει διορθωτικά μέτρα για να αφαιρέσει το γεμάτο ευπάθειες και απαρχαιωμένο υλικό και λογισμικό από το κρίσιμο IT του υποδομή.

RIEGELSVILLE, Pa. (PRWEB) 15 Μαΐου 2023

Όταν το Χόλιγουντ απεικονίζει τον υπόκοσμο των χάκερ υπολογιστών, με συγκλονιστικές σκηνές μάχης μεταξύ καλών και κακών κυβερνητικών παραγόντων που προσπαθούν να σώσουν ή να καταρρίψουν τον κόσμο, ο φωτισμός είναι δυσοίωνος, τα δάχτυλα πετούν αβίαστα σε πολλά πληκτρολόγια ταυτόχρονα ενώ ανοίγουν και κλείνουν τα τείχη προστασίας με αστραπιαία ταχύτητα. Και οι κομψές ομοσπονδιακές υπηρεσίες πληροφοριών έχουν πάντα την πιο πρόσφατη φανταχτερή, υψηλής τεχνολογίας gadget. Αλλά η πραγματικότητα σπάνια ανταποκρίνεται. Το Πεντάγωνο, η έδρα του Υπουργείου Άμυνας (DoD), είναι ένα ισχυρό σύμβολο της στρατιωτικής ισχύος και δύναμης των Ηνωμένων Πολιτειών. Ωστόσο, από το 2014 έως το 2022, 822 κυβερνητικές υπηρεσίες έχουν πέσει θύματα κυβερνοεπιθέσεων, επηρεάζοντας σχεδόν 175 εκατομμύρια κρατικά αρχεία με κόστος περίπου 26 δισεκατομμύρια δολάρια. , και η πιο πρόσφατη έκθεση ελέγχου τους είναι ένα μαύρο μάτι στη φήμη της μεγαλύτερης κυβερνητικής υπηρεσίας της χώρας. Walt Szablowski, Ιδρυτής και Εκτελεστικός Πρόεδρος της Eracent, η οποία παρέχει πλήρη ορατότητα στα δίκτυα μεγάλων επιχειρήσεων πελατών της για περισσότερες από δύο δεκαετίες, προειδοποιεί: «Οι συνέπειες θα μπορούσαν να είναι καταστροφικές εάν το Υπουργείο Εξωτερικών, η μεγαλύτερη γραμμή άμυνάς μας έναντι εσωτερικών και εξωτερικών απειλών στον κυβερνοχώρο, διαρκέσει μία ημέρα, μία ώρα ή μία Πολύ παρατεταμένο λεπτό για τη λήψη διορθωτικών ενεργειών για την εξάλειψη του εξοπλισμού και του λογισμικού που είναι γεμάτο ευπάθειες και απαρχαιωμένο από την κρίσιμη υποδομή πληροφορικής του. Το Zero Trust Architecture είναι το μεγαλύτερο και πιο αποτελεσματικό εργαλείο στην εργαλειοθήκη της κυβερνοασφάλειας».

Μόλις τον Ιανουάριο του 2023, ο κόσμος κράτησε τη συλλογική του ανάσα μετά την έναρξη μιας επίγειας στάσης από την FAA, αποτρέποντας όλες τις αναχωρήσεις και αφίξεις αεροσκαφών. Δεν έχουν ληφθεί τέτοια ακραία μέτρα από τα γεγονότα της 9ης Σεπτεμβρίου. Η τελική κρίση της FAA ήταν ότι μια διακοπή λειτουργίας του συστήματος Notice to Air Missions (NOTAM) που είναι υπεύθυνο για την παροχή ζωτικής σημασίας πληροφοριών ασφάλειας για την πρόληψη αεροπορικών καταστροφών παραβιάστηκε κατά τη διάρκεια της τακτικής συντήρησης όταν ένα αρχείο αντικαταστάθηκε κατά λάθος με ένα άλλο.(11) Τρεις εβδομάδες αργότερα, το Το DoD OIG δημοσίευσε δημόσια τη Σύνοψη Αναφορών και Μαρτυριών Αναφορικά με την Κυβερνοασφάλεια του Υπουργείου Άμυνας από την 2η Ιουλίου 1 έως τις 2020 Ιουνίου 30 (DODIG-2022-2023) συνοψίζοντας τις μη ταξινομημένες και διαβαθμισμένες αναφορές και μαρτυρίες σχετικά με την ασφάλεια στον κυβερνοχώρο του Υπουργείου Άμυνας (047).

Σύμφωνα με την έκθεση OIG, οι ομοσπονδιακές υπηρεσίες υποχρεούνται να ακολουθούν τις οδηγίες του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (NIST) Framework for Improving Critical Infrastructure Cybersecurity. Το πλαίσιο περιλαμβάνει πέντε πυλώνες — Προσδιορισμός, Προστασία, Ανίχνευση, Απόκριση και Ανάκτηση — για την εφαρμογή μέτρων κυβερνοασφάλειας υψηλού επιπέδου που συνεργάζονται ως μια ολοκληρωμένη στρατηγική διαχείρισης κινδύνου. Η OIG και άλλες εποπτικές οντότητες του Υπουργείου Άμυνας έχουν επικεντρωθεί κυρίως σε δύο πυλώνες — Προσδιορισμός και προστασία, με λιγότερη έμφαση στους υπόλοιπους τρεις — Ανίχνευση, Απόκριση και Ανάκτηση. Η έκθεση κατέληξε στο συμπέρασμα ότι από τις 895 συστάσεις που σχετίζονται με την κυβερνοασφάλεια στις τρέχουσες και προηγούμενες συνοπτικές εκθέσεις, το Υπουργείο Εξωτερικών εξακολουθούσε να έχει 478 ανοιχτά ζητήματα ασφάλειας που χρονολογούνται από το 2012.(3).

Τον Μάιο του 2021, ο Λευκός Οίκος εξέδωσε το Εκτελεστικό Διάταγμα 14028: Βελτίωση της Κυβερνοασφάλειας του Έθνους, απαιτώντας από τις ομοσπονδιακές υπηρεσίες να ενισχύσουν την ασφάλεια στον κυβερνοχώρο και την ακεραιότητα της εφοδιαστικής αλυσίδας λογισμικού υιοθετώντας το Zero Trust Architecture με οδηγία για χρήση κρυπτογράφησης ελέγχου ταυτότητας πολλαπλών παραγόντων. Το Zero Trust ενισχύει την αναγνώριση κακόβουλης διαδικτυακής δραστηριότητας σε ομοσπονδιακά δίκτυα διευκολύνοντας ένα σύστημα εντοπισμού και απόκρισης τελικών σημείων σε όλη την κυβέρνηση. Οι απαιτήσεις καταγραφής συμβάντων κυβερνοασφάλειας έχουν σχεδιαστεί για να βελτιώσουν τη διασταυρούμενη επικοινωνία μεταξύ ομοσπονδιακών κυβερνητικών υπηρεσιών.(4)

Η Zero Trust Architecture, στο πιο βασικό της επίπεδο, αναλαμβάνει τη στάση του αποφασιστικού σκεπτικισμού και της δυσπιστίας για κάθε στοιχείο κατά μήκος της αλυσίδας εφοδιασμού της κυβερνοασφάλειας, προϋποθέτοντας πάντα την ύπαρξη εσωτερικών και εξωτερικών απειλών για το δίκτυο. Αλλά το Zero Trust είναι πολύ περισσότερο από αυτό.

Οι εφαρμογές του Zero Trust αναγκάζουν τον οργανισμό να επιτέλους:

  • Καθορίστε το δίκτυο του οργανισμού που υπερασπίζεται.
  • Σχεδιάστε μια συγκεκριμένη διαδικασία και σύστημα για τον οργανισμό που προστατεύει το δίκτυο.
  • Διατηρήστε, τροποποιήστε και παρακολουθήστε το σύστημα για να βεβαιωθείτε ότι η διαδικασία λειτουργεί.
  • Να επανεξετάζετε συνεχώς τη διαδικασία και να την τροποποιείτε για την αντιμετώπιση νέων κινδύνων.

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) αναπτύσσει ένα μοντέλο μηδενικής εμπιστοσύνης με τους δικούς της πέντε πυλώνες — Ταυτότητα, Συσκευές, Δίκτυο, Δεδομένα και Εφαρμογές και Φόρτος εργασίας — για να βοηθήσει τις κυβερνητικές υπηρεσίες στην ανάπτυξη και εφαρμογή στρατηγικών και λύσεων Zero Trust .(5)

Το Zero Trust Architecture παραμένει μια θεωρητική ιδέα χωρίς μια δομημένη και ελεγχόμενη διαδικασία όπως αυτή της Eracent Πρωτοβουλία ClearArmor Zero Trust Resource Planning (ZTRP).. Το μη συντομευμένο πλαίσιο συνθέτει συστηματικά όλα τα στοιχεία, τις εφαρμογές λογισμικού, τα δεδομένα, τα δίκτυα και τα τελικά σημεία χρησιμοποιώντας ανάλυση κινδύνου ελέγχου σε πραγματικό χρόνο. Η επιτυχής ανάπτυξη του Zero Trust απαιτεί από κάθε συστατικό στην αλυσίδα εφοδιασμού λογισμικού να αποδείξει χωρίς αμφιβολία ότι μπορεί να είναι αξιόπιστο και να το βασιστείτε.

Τα συμβατικά εργαλεία ανάλυσης τρωτών σημείων δεν εξετάζουν μεθοδικά όλα τα στοιχεία της αλυσίδας εφοδιασμού μιας εφαρμογής, όπως ο απαρχαιωμένος και απαρχαιωμένος κώδικας που μπορεί να θέσει σε κίνδυνο την ασφάλεια. Ο Szablowski αναγνωρίζει και επικροτεί αυτές τις κυβερνητικές πρωτοβουλίες, προειδοποιώντας: «Η μηδενική εμπιστοσύνη είναι μια σαφώς καθορισμένη, διαχειριζόμενη και συνεχώς εξελισσόμενη διαδικασία. δεν είναι «ένα και τελειωμένο». Το πρώτο βήμα είναι να καθοριστεί το μέγεθος και το εύρος του δικτύου και να προσδιοριστεί τι πρέπει να προστατευτεί. Ποιοι είναι οι μεγαλύτεροι κίνδυνοι και προτεραιότητες; Στη συνέχεια, δημιουργήστε ένα προδιαγεγραμμένο σύνολο κατευθυντήριων γραμμών σε μια αυτοματοποιημένη, συνεχή και επαναλαμβανόμενη διαδικασία διαχείρισης σε μια ενιαία πλατφόρμα διαχείρισης και αναφοράς.»

Σχετικά με το Eracent
Ο Walt Szablowski είναι ο Ιδρυτής και Εκτελεστικός Πρόεδρος της Eracent και υπηρετεί ως Πρόεδρος των θυγατρικών της Eracent (Eracent SP ZOO, Βαρσοβία, Πολωνία, Eracent Private LTD στη Μπανγκαλόρ, Ινδία και Eracent Βραζιλία). Η Eracent βοηθά τους πελάτες της να ανταποκριθούν στις προκλήσεις της διαχείρισης περιουσιακών στοιχείων δικτύου πληροφορικής, αδειών λογισμικού και ασφάλειας στον κυβερνοχώρο στα σημερινά πολύπλοκα και εξελισσόμενα περιβάλλοντα πληροφορικής. Οι εταιρικοί πελάτες της Eracent εξοικονομούν σημαντικά τις ετήσιες δαπάνες λογισμικού τους, μειώνουν τους κινδύνους ελέγχου και ασφάλειας και καθιερώνουν πιο αποτελεσματικές διαδικασίες διαχείρισης περιουσιακών στοιχείων. Η βάση πελατών της Eracent περιλαμβάνει μερικά από τα μεγαλύτερα εταιρικά και κυβερνητικά δίκτυα και περιβάλλοντα πληροφορικής στον κόσμο. Δεκάδες εταιρείες του Fortune 500 βασίζονται σε λύσεις Eracent για τη διαχείριση και την προστασία των δικτύων τους. Επίσκεψη https://eracent.com/. 

αναφορές:
1) Bischoff, P. (2022, 29 Νοεμβρίου). Κυβερνητικές παραβιάσεις – μπορείτε να εμπιστευτείτε την κυβέρνηση των ΗΠΑ με τα δεδομένα σας; Comparitech. Ανακτήθηκε στις 28 Απριλίου 2023, από comparitech.com/blog/vpn-privacy/us-government-breaches/
2) Δήλωση Notam της FAA. Δήλωση FAA NOTAM | Ομοσπονδιακή Διοίκηση Αεροπορίας. (ν). Ανακτήθηκε 1 Φεβρουαρίου 2023, από.faa.gov/newsroom/faa-notam-statement
3) Σύνοψη αναφορών και μαρτυριών σχετικά με την κυβερνοασφάλεια του DOD από την 1η Ιουλίου 2020 έως. Τμήμα Άμυνας Γραφείο Γενικού Επιθεωρητή. (2023, 30 Ιανουαρίου). Ανακτήθηκε στις 28 Απριλίου 2023, από dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-relating-dod-cybersecurity-from-july-1-2020/
4) Εκτελεστικό διάταγμα 14028: Βελτίωση της κυβερνοασφάλειας του έθνους. GSA. (2021, 28 Οκτωβρίου). Ανακτήθηκε στις 29 Μαρτίου 2023, από το gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) Η CISA κυκλοφορεί το ενημερωμένο μοντέλο ωριμότητας Zero trust: CISA. Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών CISA. (2023, 25 Απριλίου). Ανακτήθηκε στις 28 Απριλίου 2023, από cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20δημόσια%20σχόλιο%20περίοδος

Σφραγίδα ώρας:

Περισσότερα από Ασφάλεια του υπολογιστή