La OIG lleva al DoD a la tarea por ignorar las recomendaciones de seguridad cibernética durante más de diez años

Las implicaciones podrían ser catastróficas si el Departamento de Defensa, nuestra mayor línea de defensa contra las ciberamenazas internas y externas, tarda un día, una hora o un minuto más en tomar medidas correctivas para eliminar el hardware y el software obsoletos y repletos de vulnerabilidades de su TI crítica. infraestructura.

RIEGELSVILLE, Pensilvania (PRWEB) 15 de mayo de 2023

Cuando Hollywood representa el inframundo de los piratas informáticos, con escenas trepidantes de una batalla entre actores gubernamentales buenos y malos que intentan salvar o acabar con el mundo, la iluminación es ominosa, los dedos vuelan sin esfuerzo a través de varios teclados a la vez mientras abren y cierran cortafuegos. a la velocidad del rayo. Y las astutas agencias federales de inteligencia siempre tienen lo último en aparatos llamativos y de alta tecnología. Pero la realidad rara vez está a la altura. El Pentágono, la sede del Departamento de Defensa (DoD), es un poderoso símbolo del poderío militar y la fuerza de los Estados Unidos. Sin embargo, desde 2014 hasta 2022, 822 agencias gubernamentales han sido víctimas de ataques cibernéticos, que afectaron a casi 175 millones de registros gubernamentales a un costo de aproximadamente $26 mil millones.(1) El Departamento de Defensa está bajo la atenta mirada de la OIG (Oficina del Inspector General) del Departamento de Defensa. , y su informe de auditoría más reciente es un ojo morado para la reputación de la agencia gubernamental más grande de la nación. Walt Szablowski, Fundador y Presidente Ejecutivo de eracente, que ha brindado una visibilidad completa de las redes de sus grandes clientes empresariales durante más de dos décadas, advierte: “Las implicaciones podrían ser catastróficas si el Departamento de Defensa, nuestra mayor línea de defensa contra las ciberamenazas internas y externas, demora un día, una hora o una semana”. minuto demasiado largo para tomar acciones correctivas para eliminar el hardware y software obsoleto y repleto de vulnerabilidades de su infraestructura de TI crítica. Zero Trust Architecture es la herramienta más grande y efectiva en la caja de herramientas de ciberseguridad”.

Recientemente, en enero de 2023, el mundo contuvo el aliento después de que la FAA iniciara una parada en tierra, impidiendo todas las salidas y llegadas de aviones. Desde los acontecimientos del 9 de septiembre no se habían tomado medidas tan extremas. El fallo final de la FAA fue que una interrupción en el sistema Notice to Air Missions (NOTAM) responsable de proporcionar información de seguridad crucial para prevenir desastres aéreos se vio comprometida durante el mantenimiento de rutina cuando un archivo se reemplazó por error por otro. (11) Tres semanas después, el DoD OIG publicó públicamente su Resumen de informes y testimonios sobre la ciberseguridad del DoD desde el 2 de julio de 1 hasta el 2020 de junio de 30 (DODIG-2022-2023) auditoría que resume los informes y testimonios no clasificados y clasificados sobre la ciberseguridad del DoD.(047)

Según el informe de la OIG, las agencias federales deben seguir las pautas del Marco del Instituto Nacional de Estándares y Tecnología (NIST) para mejorar la ciberseguridad de la infraestructura crítica. El marco incluye cinco pilares: identificar, proteger, detectar, responder y recuperar, para implementar medidas de ciberseguridad de alto nivel que funcionan juntas como una estrategia integral de gestión de riesgos. La OIG y otras entidades de supervisión del Departamento de Defensa se han centrado principalmente en dos pilares: identificar y proteger, con menos énfasis en los tres restantes: detectar, responder y recuperar. El informe concluyó que de las 895 recomendaciones relacionadas con la seguridad cibernética en los informes resumidos actuales y anteriores, el Departamento de Defensa todavía tenía 478 problemas de seguridad abiertos que se remontan a 2012.(3)

En mayo de 2021, la Casa Blanca emitió la Orden Ejecutiva 14028: Mejora de la seguridad cibernética de la nación, que requiere que las agencias federales mejoren la seguridad cibernética y la integridad de la cadena de suministro de software mediante la adopción de Zero Trust Architecture con una directiva para emplear el cifrado de autenticación multifactor. Zero Trust mejora la identificación de la actividad cibernética maliciosa en las redes federales al facilitar un sistema de detección y respuesta de punto final en todo el gobierno. Los requisitos de registro de eventos de ciberseguridad están diseñados para mejorar la comunicación cruzada entre las agencias del gobierno federal.(4)

Zero Trust Architecture, en su nivel más básico, asume la postura de escepticismo y desconfianza decididos de cada componente a lo largo de la cadena de suministro de ciberseguridad al presuponer siempre la existencia de amenazas internas y externas a la red. Pero Zero Trust es mucho más que eso.

Las implementaciones de Zero Trust obligan a la organización a finalmente:

• Defina la red de la organización que se está defendiendo.
• Diseñe un proceso y un sistema específico de la organización que proteja la red.
• Mantener, modificar y monitorear el sistema para garantizar que el proceso funcione.
• Revise constantemente el proceso y modifíquelo para abordar los riesgos recién definidos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) está desarrollando un Modelo de Madurez de Confianza Cero con sus propios cinco pilares: Identidad, Dispositivos, Red, Datos y Aplicaciones y Cargas de Trabajo, para ayudar a las agencias gubernamentales en el desarrollo e implementación de estrategias y soluciones de Confianza Cero. .(5)

Zero Trust Architecture sigue siendo un concepto teórico sin un proceso estructurado y auditable como el de Eracent Iniciativa ClearArmor Zero Trust Resource Planning (ZTRP). Su marco íntegro sintetiza sistemáticamente todos los componentes, aplicaciones de software, datos, redes y terminales utilizando análisis de riesgo de auditoría en tiempo real. La implementación exitosa de Zero Trust requiere que todos los componentes de la cadena de suministro de software demuestren sin lugar a dudas que se puede confiar en él.

Las herramientas de análisis de vulnerabilidades convencionales no analizan metódicamente todos los componentes de la cadena de suministro de una aplicación, como el código obsoleto y obsoleto que puede representar un riesgo para la seguridad. Szablowski reconoce y aplaude estas iniciativas gubernamentales y advierte: “Zero Trust es un proceso claramente definido, administrado y en constante evolución; no es 'uno y listo'. El primer paso es definir el tamaño y el alcance de la red e identificar qué debe protegerse. ¿Cuáles son los mayores riesgos y prioridades? A continuación, cree un conjunto prescrito de directrices en un proceso de gestión automatizado, continuo y repetible en una única plataforma de gestión y generación de informes”.

Acerca de Eracent
Walt Szablowski es el fundador y presidente ejecutivo de Eracent y se desempeña como presidente de las subsidiarias de Eracent (Eracent SP ZOO, Varsovia, Polonia; Eracent Private LTD en Bangalore, India y Eracent Brasil). Eracent ayuda a sus clientes a enfrentar los desafíos de administrar los activos de red de TI, las licencias de software y la ciberseguridad en los entornos de TI complejos y en evolución de la actualidad. Los clientes empresariales de Eracent ahorran significativamente en su gasto anual de software, reducen sus riesgos de auditoría y seguridad y establecen procesos de gestión de activos más eficientes. La base de clientes de Eracent incluye algunas de las redes corporativas y gubernamentales y entornos de TI más grandes del mundo. Docenas de empresas de Fortune 500 confían en las soluciones de Eracent para administrar y proteger sus redes. Visita https://eracent.com/. 

Referencias:
1) Bischoff, P. (2022, 29 de noviembre). Infracciones gubernamentales: ¿puede confiar sus datos al gobierno de EE. UU.? Comparitech. Recuperado el 28 de abril de 2023 de comparitech.com/blog/vpn-privacy/us-government-breaches/
2) Declaración Notam de la FAA. Declaración FAA NOTAM | Administración Federal de Aviación. (Dakota del Norte). Recuperado el 1 de febrero de 2023, de.faa.gov/newsroom/faa-notam-statement
3) Resumen de informes y testimonios sobre ciberseguridad del DOD desde el 1 de julio de 2020 hasta el . Oficina del Inspector General del Departamento de Defensa. (2023, 30 de enero). Recuperado el 28 de abril de 2023, de dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Decreto Ejecutivo 14028: Mejorar la ciberseguridad de la nación. GSA. (2021, 28 de octubre). Consultado el 29 de marzo de 2023 en gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA lanza el modelo de madurez Zero Trust actualizado: CISA. Agencia de Ciberseguridad y Seguridad de las Infraestructuras CISA. (2023, 25 de abril). Recuperado el 28 de abril de 2023, de cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20público%20comentario%20período

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
• Fuente: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm