OIG võtab DoD ülesandeks küberturvalisuse soovituste eiramiseks üle kümne aasta

Taasavaldanud Platon

järgijaid: 0

Tagajärjed võivad olla katastroofilised, kui DoD-l, meie suurimal kaitseliinal sisemiste ja väliste küberohtude vastu, kulub üks päev, üks tund või minut liiga kaua aega, et võtta parandusmeetmeid, et eemaldada haavatavustest pakitud ja vananenud riist- ja tarkvara oma kriitilisest IT-st. infrastruktuuri.

RIEGELSVILLE, Pa. (PRWEB) Võib 15 2023

Kui Hollywood kujutab arvutihäkkerite allilma pulseerivate stseenidega võitlusest heade ja kurjade valitsusosaliste vahel, kes üritavad maailma päästa või maha võtta, on valgustus kurjakuulutav, sõrmed lendavad tulemüüri avades ja sulgedes pingevabalt üle mitme klaviatuuri korraga. välgukiirusel. Ja libedatel föderaalsetel luureagentuuridel on alati uusim toretsev kõrgtehnoloogiline tehnika. Kuid tegelikkus mõõdab harva. Pentagon, kaitseministeeriumi (DoD) peakorter, on Ameerika Ühendriikide sõjalise võimsuse ja tugevuse võimas sümbol. Aastatel 2014–2022 on aga küberrünnakute ohvriks langenud 822 valitsusasutust, mis on mõjutanud peaaegu 175 miljonit valitsuse dokumenti, mille maksumus on ligikaudu 26 miljardit dollarit.(1) DoD on DoD OIG (Office of General Inspector Office) valvsa pilgu all. ja nende viimane auditiaruanne on riigi suurima valitsusasutuse maine must silm. Walt Szablowski, asutaja ja tegevjuht Eratsentne, mis on üle kahe aastakümne pakkunud täielikku nähtavust oma suurettevõtete klientide võrkudesse, hoiatab: "Tagajärjed võivad olla katastroofilised, kui DoD, meie suurim kaitseliin sisemiste ja väliste küberohtude vastu, võtab aega ühe päeva, ühe tunni või ühe liiga kaua aega, et võtta parandusmeetmeid, et eemaldada oma kriitilisest IT-infrastruktuurist haavatavusest pakatav ja vananenud riist- ja tarkvara. Zero Trust Architecture on küberturvalisuse tööriistakasti suurim ja tõhusaim tööriist.

Veel 2023. aasta jaanuaris hoidis maailm pärast FAA algatatud maapealset peatust kinni, mis takistas kõigi lennukite väljumisi ja saabumisi. Pärast 9. septembri sündmustest pole nii äärmuslikke meetmeid rakendatud. FAA lõplik otsus oli see, et õhuõnnetuste ärahoidmiseks olulise ohutusteabe andmise eest vastutava süsteemi Notice to Air Missions (NOTAM) katkestus sattus tavapärase hoolduse käigus ohtu, kui üks fail asendati ekslikult teisega.(11) Kolm nädalat hiljem, DoD OIG avaldas 2. juulist 1 kuni 2020. juunini 30 (DODIG-2022-2023) avalikult oma aruannete ja tunnistuste kokkuvõtte seoses DoD küberturvalisusega (DODIG-047-3), milles tehti kokkuvõte DoD küberturvalisusega seotud salastamata ja salastatud aruannetest ja tunnistustest.(XNUMX)

OIG raporti kohaselt peavad föderaalasutused järgima riikliku standardite ja tehnoloogia instituudi (NIST) raamistiku juhiseid kriitilise infrastruktuuri küberturvalisuse parandamiseks. Raamistik sisaldab viit sammast – tuvastamine, kaitsmine, tuvastamine, reageerimine ja taastamine –, et rakendada kõrgetasemelisi küberturvalisuse meetmeid, mis toimivad koos tervikliku riskijuhtimisstrateegiana. OIG ja teised DoD järelevalveüksused on keskendunud peamiselt kahele sambale - tuvastamine ja kaitsmine, vähem rõhku ülejäänud kolmele - tuvastamine, reageerimine ja taastamine. Aruandes jõuti järeldusele, et praegustes ja varasemates kokkuvõtlikes aruannetes esitatud 895 küberjulgeolekuga seotud soovitusest oli kaitseministeeriumil veel 478 lahtist turvaprobleemi, mis pärinevad 2012. aastast.(3)

2021. aasta mais andis Valge Maja välja täitevkorralduse 14028: Riigi küberturvalisuse parandamine, millega nõutakse, et föderaalasutused suurendaksid küberturvalisust ja tarkvara tarneahela terviklikkust, võttes kasutusele Zero Trust Architecture'i koos direktiiviga kasutada mitmefaktorilise autentimise krüptimist. Zero Trust parandab pahatahtliku kübertegevuse tuvastamist föderaalvõrkudes, hõlbustades kogu valitsust hõlmavat lõpp-punkti tuvastamise ja reageerimise süsteemi. Küberturvalisuse sündmuste logi nõuded on loodud selleks, et parandada föderaalvalitsusasutuste vahelist suhtlust.(4)

Nullusaldusarhitektuur oma kõige elementaarsemal tasemel eeldab otsustavat skeptitsismi ja umbusku küberturvalisuse tarneahela iga komponendi suhtes, eeldades alati võrgu sisemiste ja väliste ohtude olemasolu. Kuid Zero Trust on palju enamat.

Zero Trusti juurutused sunnivad organisatsiooni lõpuks:

Määratlege organisatsiooni võrgustik, mida kaitstakse.
Looge organisatsioonispetsiifiline protsess ja süsteem, mis kaitseb võrku.
Hooldage, muutke ja jälgige süsteemi, et tagada protsessi toimimine.
Vaadake protsess pidevalt üle ja muutke seda äsja määratletud riskide käsitlemiseks.

Küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) töötab välja null usaldusküpsuse mudelit, millel on oma viis sammast – identiteet, seadmed, võrk, andmed ning rakendused ja töökoormused –, et aidata valitsusasutusi nullusaldusstrateegiate ja -lahenduste väljatöötamisel ja rakendamisel. .(5)

Zero Trust Architecture jääb teoreetiliseks kontseptsiooniks ilma struktureeritud ja auditeeritava protsessita nagu Eracent ClearArmor Zero Trust Resource Planning (ZTRP) algatus. Selle lühendamata raamistik sünteesib süstemaatiliselt kõik komponendid, tarkvararakendused, andmed, võrgud ja lõpp-punktid, kasutades reaalajas auditi riskianalüüsi. Zero Trusti edukas kasutuselevõtt nõuab, et kõik tarkvara tarneahela koostisosad tõestaksid kahtlusteta, et seda saab usaldada ja sellele loota.

Tavapärased haavatavuse analüüsi tööriistad ei kontrolli metoodiliselt kõiki rakenduse tarneahela komponente, näiteks aegunud ja aegunud koodi, mis võib tekitada turvariski. Szablowski tunnustab ja kiidab neid valitsuse algatusi, hoiatades: „Zero Trust on selgelt määratletud, juhitud ja pidevalt arenev protsess; see ei ole "üks ja tehtud". Esimene samm on määratleda võrgu suurus ja ulatus ning teha kindlaks, mida tuleb kaitsta. Millised on suurimad riskid ja prioriteedid? Seejärel looge ühtsel haldus- ja aruandlusplatvormil automatiseeritud, pidevas ja korratavas haldusprotsessis ettenähtud juhiste kogum.

Eracenti kohta
Walt Szablowski on Eracenti asutaja ja tegevjuht ning juhib Eracenti tütarettevõtteid (Eracent SP ZOO, Varssavi, Poola; Eracent Private LTD Bangalores, Indias ja Eracent Brasiilia). Eracent aitab oma klientidel vastata väljakutsetele, mis on seotud IT-võrgu varade, tarkvaralitsentside ja küberturvalisuse haldamisega tänapäeva keerukates ja arenevates IT-keskkondades. Eracenti ärikliendid säästavad märkimisväärselt oma iga-aastaseid tarkvarakulusid, vähendavad auditi- ja turvariske ning loovad tõhusamad varahaldusprotsessid. Eracenti kliendibaas hõlmab mõningaid maailma suurimaid ettevõtete ja valitsusasutuste võrke ning IT-keskkondi. Kümned Fortune 500 ettevõtted kasutavad oma võrkude haldamisel ja kaitsmisel Eracenti lahendusi. Külastage https://eracent.com/. 

viited:
1) Bischoff, P. (2022, 29. november). Valitsuse rikkumised – kas saate oma andmeid USA valitsusele usaldada? Comparitech. Laaditi 28. aprillil 2023 saidilt comparitech.com/blog/vpn-privacy/us-government-breaches/
2) FAA notami avaldus. FAA NOTAM-i avaldus | Föderaalne Lennuamet. (nd). Laaditi 1. veebruaril 2023 aadressilt.faa.gov/newsroom/faa-notam-statement
3) DOD-i küberturvalisuse aruannete ja tunnistuste kokkuvõte alates 1. juulist 2020 kuni. Kaitseministeeriumi peainspektori büroo. (2023, 30. jaanuar). Laaditud 28. aprillil 2023 saidilt dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Täitevkorraldus 14028: Riigi küberjulgeoleku parandamine. GSA. (2021, 28. oktoober). Laaditi 29. märtsil 2023 saidilt gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA annab välja uuendatud Zero usaldusküpsuse mudeli: CISA. Küberturvalisuse ja infrastruktuuri turvaagentuur CISA. (2023, 25. aprill). Laaditi 28. aprillil 2023 saidilt cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20avalik%20kommentaar%20periood