The OIG Takes The DoD To Task For Ignoring Cybersecurity Recommendations For Over Ten Years

بازنشر افلاطون

دنبال: 0

اگر وزارت دفاع آمریکا، بزرگترین خط دفاعی ما در برابر تهدیدات سایبری داخلی و خارجی، یک روز، یک ساعت یا یک دقیقه طول بکشد تا اقدامات اصلاحی را برای حذف سخت‌افزار و نرم‌افزار پر از آسیب‌پذیری و منسوخ از فناوری اطلاعات حیاتی خود انجام دهد، پیامدهای آن می‌تواند فاجعه‌بار باشد. زیر ساخت.

ریگلز ویل، پا. (PRWEB) ممکن است 15، 2023

وقتی هالیوود دنیای زیرزمینی هکرهای کامپیوتری را با صحنه‌های تپنده نبض از نبرد بین بازیگران دولتی خوب و بد به تصویر می‌کشد که تلاش می‌کنند دنیا را نجات دهند یا از بین ببرند، نورپردازی شوم است، انگشت‌ها بدون هیچ زحمتی روی چند صفحه کلید همزمان می‌چرخند و دیوارهای آتش را باز و بسته می‌کنند. با سرعت رعد و برق و آژانس های اطلاعاتی فدرال شیک همیشه جدیدترین ابزارهای پر زرق و برق و با تکنولوژی بالا را دارند. اما واقعیت به ندرت اندازه گیری می شود. پنتاگون، مقر وزارت دفاع (DoD)، نماد قدرتمندی از قدرت نظامی و قدرت ایالات متحده است. با این حال، از سال 2014 تا 2022، 822 سازمان دولتی قربانی حملات سایبری شده‌اند که نزدیک به 175 میلیون سوابق دولتی را با هزینه تقریباً 26 میلیارد دلار تحت تأثیر قرار داده‌اند. و جدیدترین گزارش حسابرسی آنها چشمانی سیاه به شهرت بزرگترین سازمان دولتی کشور است. والت سابلوسکی، بنیانگذار و رئیس اجرایی Eacentکه بیش از دو دهه است که شبکه‌های مشتریان سازمانی بزرگ خود را کاملاً مشاهده کرده است، هشدار می‌دهد: «اگر وزارت دفاع، بزرگترین خط دفاعی ما در برابر تهدیدات سایبری داخلی و خارجی، یک روز، یک ساعت یا یک ساعت طول بکشد، پیامدهای آن می‌تواند فاجعه‌بار باشد. چند دقیقه برای انجام اقدامات اصلاحی برای حذف سخت‌افزار و نرم‌افزار مملو از آسیب‌پذیری و منسوخ از زیرساخت IT حیاتی آن بسیار طولانی است. Zero Trust Architecture بزرگترین و موثرترین ابزار در جعبه ابزار امنیت سایبری است.

در ژانویه 2023، پس از آغاز توقف زمینی توسط FAA، جهان نفس جمعی خود را حفظ کرد و از خروج و ورود همه هواپیماها جلوگیری کرد. از زمان حوادث 9 سپتامبر چنین اقدامات افراطی انجام نشده است. قضاوت نهایی FAA این بود که یک اختلال در سیستم Notice to Air Missions (NOTAM) که مسئول ارائه اطلاعات ایمنی حیاتی برای جلوگیری از بلایای هوایی است، در طول تعمیر و نگهداری معمول زمانی که یک فایل به اشتباه با فایل دیگری جایگزین شد، به خطر افتاد.(11) سه هفته بعد، وزارت دفاع OIG خلاصه گزارش‌ها و شهادت‌های خود را در رابطه با امنیت سایبری وزارت دفاع از 2 ژوئیه 1 تا 2020 ژوئن 30 (DODIG-2022-2023) به طور عمومی منتشر کرد و گزارش‌ها و شهادت‌های طبقه‌بندی‌نشده و طبقه‌بندی‌شده و شواهد مربوط به امنیت سایبری وزارت دفاع را خلاصه کرد.

طبق گزارش OIG، آژانس‌های فدرال ملزم به پیروی از دستورالعمل‌های چارچوب موسسه ملی استاندارد و فناوری (NIST) برای بهبود امنیت سایبری زیرساخت‌های حیاتی هستند. این چارچوب شامل پنج ستون است - شناسایی، محافظت، شناسایی، پاسخ و بازیابی - برای اجرای اقدامات امنیت سایبری سطح بالا که با هم به عنوان یک استراتژی مدیریت ریسک جامع کار می کنند. OIG و سایر نهادهای نظارتی وزارت دفاع عمدتاً بر دو رکن متمرکز شده اند - شناسایی و محافظت، با تأکید کمتر بر سه مورد باقی مانده - شناسایی، پاسخ و بازیابی. این گزارش به این نتیجه رسید که از 895 توصیه مربوط به امنیت سایبری در گزارش‌های خلاصه فعلی و گذشته، وزارت دفاع هنوز 478 مشکل امنیتی باز دارد که قدمت آن به سال 2012 باز می‌گردد.(3).

در ماه مه سال 2021، کاخ سفید دستور اجرایی 14028 را صادر کرد: بهبود امنیت سایبری کشور، که از آژانس‌های فدرال می‌خواهد امنیت سایبری و یکپارچگی زنجیره تامین نرم‌افزار را با اتخاذ Zero Trust Architecture با دستورالعملی برای استفاده از رمزگذاری احراز هویت چندعاملی افزایش دهند. Zero Trust شناسایی فعالیت‌های سایبری مخرب در شبکه‌های فدرال را با تسهیل یک سیستم تشخیص و پاسخ در سراسر دولت افزایش می‌دهد. الزامات گزارش رویداد امنیت سایبری برای بهبود ارتباطات متقابل بین سازمان های دولت فدرال طراحی شده است.(4)

Zero Trust Architecture، در ابتدایی‌ترین سطح خود، با فرض وجود تهدیدهای داخلی و خارجی برای شبکه، حالت شک و بی‌اعتمادی قاطع را نسبت به هر مؤلفه در طول زنجیره تأمین امنیت سایبری در نظر می‌گیرد. اما Zero Trust بسیار بیشتر از این است.

پیاده سازی Zero Trust سازمان را مجبور می کند در نهایت:

شبکه سازمانی که از آن دفاع می شود را تعریف کنید.
یک فرآیند و سیستم خاص سازمان را طراحی کنید که از شبکه محافظت کند.
سیستم را نگهداری، اصلاح و نظارت کنید تا مطمئن شوید که فرآیند کار می کند.
به طور مداوم فرآیند را بررسی کنید و آن را برای رسیدگی به خطرات جدید تعریف شده اصلاح کنید.

آژانس امنیت سایبری و امنیت زیرساخت (CISA) در حال توسعه یک مدل بلوغ اعتماد صفر با پنج ستون خاص خود است - هویت، دستگاه‌ها، شبکه، داده‌ها، و برنامه‌ها و حجم کاری - برای کمک به سازمان‌های دولتی در توسعه و اجرای استراتژی‌ها و راه‌حل‌های Zero Trust. .(5)

معماری Zero Trust یک مفهوم تئوریک بدون فرآیند ساختاریافته و قابل ممیزی مانند Eracent باقی می ماند. طرح ClearArmor Zero Trust Resource Planning (ZTRP).. چارچوب خلاصه نشده آن به طور سیستماتیک تمام اجزا، برنامه های کاربردی نرم افزار، داده ها، شبکه ها و نقاط پایانی را با استفاده از تجزیه و تحلیل ریسک حسابرسی بلادرنگ ترکیب می کند. استقرار موفقیت آمیز Zero Trust مستلزم آن است که هر مؤلفه در زنجیره تأمین نرم افزار بدون شک ثابت کند که می توان به آن اعتماد کرد و به آن اعتماد کرد.

ابزارهای متداول تجزیه و تحلیل آسیب پذیری به طور روشمند همه اجزای زنجیره تامین یک برنامه را بررسی نمی کنند، مانند کدهای قدیمی و منسوخ شده که می تواند خطر امنیتی ایجاد کند. Szablowski این ابتکارات دولت را تأیید و تحسین می کند و هشدار می دهد: «اعتماد صفر فرآیندی است که به وضوح تعریف شده، مدیریت شده و به طور مداوم در حال تکامل است. این "یک و تمام" نیست. اولین قدم این است که اندازه و وسعت شبکه را تعریف کنید و مشخص کنید چه چیزی باید محافظت شود. بزرگترین خطرات و اولویت ها چیست؟ سپس مجموعه ای از دستورالعمل ها را در یک فرآیند مدیریت خودکار، مستمر و تکرارپذیر در یک پلت فرم مدیریت و گزارش ایجاد کنید.

درباره Eracent
Walt Szablowski بنیانگذار و رئیس اجرایی Eracent است و به عنوان رئیس شرکت های تابعه Eracent (Eracent SP ZOO، ورشو، لهستان؛ Eracent Private LTD در بنگلور، هند و Eracent برزیل) فعالیت می کند. Eracent به مشتریان خود کمک می‌کند تا با چالش‌های مدیریت دارایی‌های شبکه فناوری اطلاعات، مجوزهای نرم‌افزار و امنیت سایبری در محیط‌های پیچیده و در حال تحول فناوری اطلاعات امروزی مقابله کنند. مشتریان سازمانی Eracent به طور قابل توجهی در هزینه های نرم افزاری سالانه خود صرفه جویی می کنند، خطرات حسابرسی و امنیتی خود را کاهش می دهند و فرآیندهای مدیریت دارایی کارآمدتری را ایجاد می کنند. پایگاه مشتری Eracent شامل برخی از بزرگترین شبکه های شرکتی و دولتی و محیط های IT در جهان است. ده ها شرکت Fortune 500 برای مدیریت و محافظت از شبکه های خود به راه حل های Eracent متکی هستند. بازدید کنید https://eracent.com/. 

منابع:
1) بیشوف، پی (2022، 29 نوامبر). نقض های دولتی - آیا می توانید به دولت ایالات متحده در مورد داده های خود اعتماد کنید؟ Comparitech. بازیابی شده در 28 آوریل 2023، از comparitech.com/blog/vpn-privacy/us-government-breaches/
2) بیانیه FAA Notam. بیانیه FAA NOTAM | اداره هوانوردی فدرال. (دوم). بازیابی شده در 1 فوریه 2023، from.faa.gov/newsroom/faa-notam-statement
3) خلاصه گزارش ها و شهادت ها در مورد امنیت سایبری وزارت دفاع از 1 جولای 2020 تا کنون. دفتر بازرسی کل وزارت دفاع. (2023، 30 ژانویه). بازیابی شده در 28 آوریل 2023، از dodig.mil/reports.html/Article/3284561/خلاصه-گزارش-ها-و-شهادت-ها-درخصوص-امنیت-سایبری-داد-از-1-ژوئیه-2020/
4) فرمان اجرایی 14028: ارتقای امنیت سایبری کشور. GSA (2021، 28 اکتبر). بازیابی شده در 29 مارس 2023، از gsa.gov/technology/technology-products-services/it-security/executive-order-14028-inproving-the-nations-cybersecurity
5) CISA مدل بلوغ اعتماد صفر به روز شده را منتشر می کند: CISA. آژانس امنیت سایبری و امنیت زیرساخت CISA. (2023، 25 آوریل). بازیابی شده در 28 آوریل 2023، از cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% دوره 20 عمومی% 20 نظر% 20