OIG ottaa DoD:n vastuulleen kyberturvallisuussuositusten huomiotta jättämisestä yli kymmenen vuoden ajan

Seuraukset voivat olla katastrofaalisia, jos DoD:llä, suurin puolustuslinjamme sisäisiä ja ulkoisia kyberuhkia vastaan, kestää yhden päivän, tunnin tai minuutin liian kauan korjatakseen toimenpiteitä haavoittuvuuksien täynnä olevan ja vanhentuneen laitteiston ja ohjelmiston poistamiseksi kriittisestä IT-järjestelmästään. infrastruktuuria.

RIEGELSVILLE, Pa. (PRWEB) Voi 15, 2023

Kun Hollywood kuvaa tietokonehakkereiden alamaailmaa sykkivien kohtausten kanssa taistelusta hyvien ja pahojen hallituksen toimijoiden välillä, jotka yrittävät pelastaa tai kaataa maailman, valaistus on pahaenteinen, sormet lentävät vaivattomasti useiden näppäimistöjen poikki samalla kun palomuurit avataan ja suljetaan. salaman nopeudella. Ja sulavilla liittovaltion tiedustelupalveluilla on aina uusimmat huipputekniset laitteet. Mutta todellisuus harvoin mittaa. Pentagon, puolustusministeriön (DoD) päämaja, on voimakas symboli Yhdysvaltojen sotilaallisesta voimasta ja voimasta. Vuosina 2014–2022 822 valtion virastoa on kuitenkin joutunut kyberhyökkäysten uhriksi, mikä on vaikuttanut lähes 175 miljoonaan hallituksen asiakirjoihin noin 26 miljardin dollarin kustannuksin.(1) DoD on DoD OIG:n (Office of Inspector General) valvovan silmän alainen. , ja heidän viimeisin tarkastusraporttinsa on musta silmä maan suurimman valtion viraston maineelle. Walt Szablowski, perustaja ja hallituksen puheenjohtaja Eracent, joka on tarjonnut täydellisen näkyvyyden suuryritysasiakkaiden verkostoihin yli kahden vuosikymmenen ajan, varoittaa: "Seuraukset voivat olla katastrofaalisia, jos DoD, suurin puolustuslinjamme sisäisiä ja ulkoisia kyberuhkia vastaan, kestää yhden päivän, tunnin tai yhden. minuutti liian kauan korjaavien toimenpiteiden toteuttamiseen haavoittuvuuksien täynnä olevan ja vanhentuneen laitteiston ja ohjelmiston poistamiseksi sen kriittisestä IT-infrastruktuurista. Zero Trust Architecture on kyberturvallisuuden työkalupakin suurin ja tehokkain työkalu.

Vielä tammikuussa 2023 maailma pidätti kollektiivista hengitystään FAA:n käynnistämän maapysähdyksen jälkeen, joka esti kaikkien lentokoneiden lähdön ja saapumisen. Näin äärimmäisiin toimenpiteisiin ei ole ryhdytty 9/11:n tapahtumien jälkeen. FAA:n lopullinen tuomio oli, että lentokatastrofien estämiseksi tärkeiden turvallisuustietojen antamisesta vastaavan Notice to Air Missions (NOTAM) -järjestelmän katkos vaarantui rutiinihuollon aikana, kun tiedosto korvattiin vahingossa toisella.(2) Kolme viikkoa myöhemmin DoD OIG julkaisi julkisesti DoD-kyberturvallisuutta koskevien raporttien ja todisteiden yhteenvedon 1. heinäkuuta 2020 ja 30. kesäkuuta 2022 välisenä aikana (DODIG-2023-047), joka sisältää yhteenvedon DoD:n kyberturvallisuutta koskevista luokittelemattomista ja luokitelluista raporteista ja todistuksista.(3)

OIG:n raportin mukaan liittovaltion virastojen on noudatettava National Institute of Standards and Technology (NIST) -kehyksen ohjeita kriittisen infrastruktuurin kyberturvallisuuden parantamiseksi. Viitekehys sisältää viisi pilaria – Tunnista, Suojaa, Havaitse, Vastaa ja Palauta – korkean tason kyberturvallisuustoimenpiteiden toteuttamiseksi, jotka toimivat yhdessä kattavana riskinhallintastrategiana. OIG ja muut DoD-valvontayksiköt ovat keskittyneet ensisijaisesti kahteen pilariin - tunnistamiseen ja suojaamiseen, mutta vähemmän painottaen kolmea jäljellä - havaitsemista, vastaamista ja palauttamista. Raportissa todettiin, että nykyisten ja aiempien yhteenvetoraporttien 895 kyberturvallisuuteen liittyvästä suosituksesta DoD:llä oli edelleen 478 avointa tietoturvaongelmaa vuoteen 2012 asti.(3)

Toukokuussa 2021 Valkoinen talo antoi toimeenpanomääräyksen 14028: Kansakunnan kyberturvallisuuden parantaminen, jossa vaaditaan liittovaltion virastoja parantamaan kyberturvallisuutta ja ohjelmistojen toimitusketjun eheyttä ottamalla käyttöön Zero Trust Architecture, jossa on direktiivi käyttää monitekijätodennussalausta. Zero Trust parantaa haitallisen kybertoiminnan tunnistamista liittovaltion verkoissa helpottamalla hallituksen laajuista päätepisteiden tunnistus- ja vastausjärjestelmää. Kyberturvallisuuden tapahtumalokivaatimukset on suunniteltu parantamaan liittovaltion viranomaisten välistä ristiinviestintää.(4)

Zero Trust Architecture omaksuu yksinkertaisimmalla tasollaan päättäväisen skeptisyyden ja epäluottamuksen jokaista kyberturvallisuuden toimitusketjun komponenttia kohtaan olettamalla aina verkkoon kohdistuvien sisäisten ja ulkoisten uhkien olemassaolon. Mutta Zero Trust on paljon enemmän.

Zero Trustin toteutukset pakottavat organisaation lopulta:

• Määrittele organisaation verkosto, jota puolustetaan.
• Suunnittele organisaatiokohtainen prosessi ja järjestelmä, joka suojaa verkkoa.
• Ylläpidä, muokkaa ja valvo järjestelmää varmistaaksesi, että prosessi toimii.
• Tarkista prosessi jatkuvasti ja muokkaa sitä vastaamaan äskettäin määriteltyjä riskejä.

Cybersecurity and Infrastructure Security Agency (CISA) kehittää Zero Trust Maturity -mallia, jossa on oma viisi pilaria – identiteetti, laitteet, verkko, data sekä sovellukset ja työmäärät – auttaakseen valtion virastoja kehittämään ja toteuttamaan Zero Trust -strategioita ja -ratkaisuja. .(5)

Zero Trust Architecture on edelleen teoreettinen konsepti ilman Eracentin kaltaista jäsenneltyä ja tarkastettavaa prosessia. ClearArmor Zero Trust Resource Planning (ZTRP) -aloite. Sen lyhentämätön kehys syntetisoi järjestelmällisesti kaikki komponentit, ohjelmistosovellukset, tiedot, verkot ja päätepisteet käyttämällä reaaliaikaista auditointiriskianalyysiä. Zero Trustin onnistunut käyttöönotto edellyttää, että jokainen ohjelmiston toimitusketjun osatekijä todistaa kiistattomasti, että siihen voidaan luottaa ja luottaa.

Perinteiset haavoittuvuusanalyysityökalut eivät tarkasta järjestelmällisesti kaikkia sovelluksen toimitusketjun osia, kuten vanhentunutta ja vanhentunutta koodia, joka voi aiheuttaa turvallisuusriskin. Szablowski tunnustaa ja kehuu näitä hallituksen aloitteita ja varoittaa: "Zero Trust on selkeästi määritelty, hallittu ja jatkuvasti kehittyvä prosessi; se ei ole "yksi ja tehty". Ensimmäinen askel on määrittää verkon koko ja laajuus ja tunnistaa, mitä on suojattava. Mitkä ovat suurimmat riskit ja prioriteetit? Luo sitten määrätyt ohjeet automatisoidussa, jatkuvassa ja toistettavassa hallintaprosessissa yhdellä hallinta- ja raportointialustalla."

Tietoja Eracentista
Walt Szablowski on Eracentin perustaja ja pääjohtaja ja toimii puheenjohtajana Eracentin tytäryhtiöissä (Eracent SP ZOO, Varsova, Puola; Eracent Private LTD Bangaloressa, Intia ja Eracent Brasilia). Eracent auttaa asiakkaitaan vastaamaan IT-verkkoresurssien, ohjelmistolisenssien ja kyberturvallisuuden hallinnan haasteisiin nykypäivän monimutkaisissa ja kehittyvissä IT-ympäristöissä. Eracentin yritysasiakkaat säästävät merkittävästi vuosittaisissa ohjelmistokuluissaan, vähentävät auditointi- ja tietoturvariskejä ja luovat tehokkaampia omaisuudenhallintaprosesseja. Eracentin asiakaskuntaan kuuluu joitakin maailman suurimmista yritys- ja hallintoverkostoista ja IT-ympäristöistä. Kymmenet Fortune 500 -yritykset luottavat Eracent-ratkaisuihin verkkojensa hallintaan ja suojaamiseen. Vierailla https://eracent.com/. 

Viitteet:
1) Bischoff, P. (2022, 29. marraskuuta). Hallituksen loukkaukset – voitko luottaa tietosi Yhdysvaltain hallitukseen? Comparitech. Haettu 28. huhtikuuta 2023 osoitteesta comparitech.com/blog/vpn-privacy/us-government-breaches/
2) FAA:n Notam-lausunto. FAA:n NOTAM-lausunto | Liittovaltion ilmailuhallinto. (nd). Haettu 1. helmikuuta 2023, from.faa.gov/newsroom/faa-notam-statement
3) Yhteenveto DOD-kyberturvallisuutta koskevista raporteista ja todistuksista 1 alkaen. Puolustusministeriön kansliapäällikkö. (2020, 2023. tammikuuta). Haettu 30. huhtikuuta 28 osoitteesta dodig.mil/reports.html/Article/2023/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-3284561-1/
4) Toimeenpanomääräys 14028: Kansakunnan kyberturvallisuuden parantaminen. GSA. (2021, 28. lokakuuta). Haettu 29. maaliskuuta 2023 osoitteesta gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA julkaisee päivitetyn Zero trust maturity -mallin: CISA. Kyberturvallisuuden ja infrastruktuurin turvallisuusvirasto CISA. (2023, 25. huhtikuuta). Haettu 28. huhtikuuta 2023 osoitteesta cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20julkinen%20kommentti%20jakso

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
• Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
• Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
• Lähde: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm