L'OIG reproche au DoD d'avoir ignoré les recommandations en matière de cybersécurité pendant plus de dix ans

Les implications pourraient être catastrophiques si le DoD, notre plus grande ligne de défense contre les cybermenaces internes et externes, prend un jour, une heure ou une minute de trop pour prendre des mesures correctives pour supprimer le matériel et les logiciels obsolètes et bourrés de vulnérabilités de son infrastructure informatique critique. Infrastructure.

RIEGELSVILLE, Pennsylvanie (PRWEB) 15 mai 2023

Quand Hollywood dépeint le monde souterrain des pirates informatiques, avec des scènes palpitantes d'une bataille entre des acteurs gouvernementaux bons et mauvais essayant de sauver ou de détruire le monde, l'éclairage est inquiétant, les doigts volent sans effort sur plusieurs claviers à la fois tout en ouvrant et en fermant les pare-feu à la vitesse de l'éclair. Et les agences de renseignement fédérales astucieuses ont toujours les derniers gadgets flashy et high-tech. Mais la réalité est rarement à la hauteur. Le Pentagone, siège du Département de la Défense (DoD), est un puissant symbole de la puissance et de la force militaires des États-Unis. Cependant, de 2014 à 2022, 822 agences gouvernementales ont été victimes de cyberattaques, affectant près de 175 millions de documents gouvernementaux pour un coût d'environ 26 milliards de dollars.(1) Le DoD est sous l'œil vigilant du DoD OIG (Office of Inspector General) , et leur rapport d'audit le plus récent est un œil au beurre noir sur la réputation de la plus grande agence gouvernementale du pays. Walt Szablowski, fondateur et président exécutif de Éracent, qui fournit une visibilité complète sur les réseaux de ses grandes entreprises clientes depuis plus de deux décennies, prévient : « Les implications pourraient être catastrophiques si le DoD, notre plus grande ligne de défense contre les cybermenaces internes et externes, prend un jour, une heure ou un minute trop longue pour prendre des mesures correctives pour supprimer le matériel et les logiciels vulnérables et obsolètes de son infrastructure informatique critique. L'architecture Zero Trust est l'outil le plus important et le plus efficace de la boîte à outils de cybersécurité. »

Pas plus tard qu'en janvier 2023, le monde a retenu son souffle collectif après qu'un arrêt au sol a été initié par la FAA, empêchant tous les départs et arrivées d'avions. Jamais depuis les événements du 9 septembre des mesures aussi extrêmes n'ont été prises. Le jugement final de la FAA a été qu'une panne du système d'avis aux missions aériennes (NOTAM) chargé de fournir des informations de sécurité cruciales pour prévenir les catastrophes aériennes a été compromise lors de l'entretien de routine lorsqu'un fichier a été remplacé par erreur par un autre.(11) Trois semaines plus tard, le Le DoD OIG a publié son résumé des rapports et témoignages concernant la cybersécurité du DoD du 2er juillet 1 au 2020 juin 30 (DODIG-2022-2023) résumant les rapports et témoignages non classifiés et classifiés concernant la cybersécurité du DoD.(047)

Selon le rapport de l'OIG, les agences fédérales sont tenues de suivre les directives du cadre du National Institute of Standards and Technology (NIST) pour l'amélioration de la cybersécurité des infrastructures critiques. Le cadre comprend cinq piliers - Identifier, Protéger, Détecter, Répondre et Récupérer - pour mettre en œuvre des mesures de cybersécurité de haut niveau qui fonctionnent ensemble comme une stratégie globale de gestion des risques. L'OIG et d'autres entités de surveillance du DoD se sont principalement concentrées sur deux piliers - Identifier et Protéger, avec moins d'emphase sur les trois autres - Détecter, Répondre et Récupérer. Le rapport a conclu que sur les 895 recommandations liées à la cybersécurité dans les rapports de synthèse actuels et passés, le DoD avait encore 478 problèmes de sécurité ouverts remontant à 2012.(3)

En mai 2021, la Maison Blanche a publié le décret exécutif 14028 : Améliorer la cybersécurité de la nation, exigeant des agences fédérales qu'elles améliorent la cybersécurité et l'intégrité de la chaîne d'approvisionnement des logiciels en adoptant l'architecture Zero Trust avec une directive pour utiliser le cryptage d'authentification multifacteur. Zero Trust améliore l'identification des cyberactivités malveillantes sur les réseaux fédéraux en facilitant un système de détection et de réponse des terminaux à l'échelle du gouvernement. Les exigences du journal des événements de cybersécurité sont conçues pour améliorer la communication croisée entre les organismes gouvernementaux fédéraux.(4)

L'architecture Zero Trust, à son niveau le plus élémentaire, adopte une position de scepticisme et de méfiance résolus à l'égard de chaque composant de la chaîne d'approvisionnement de la cybersécurité en présupposant toujours l'existence de menaces internes et externes au réseau. Mais Zero Trust est bien plus que cela.

Les implémentations de Zero Trust obligent l'organisation à finalement :

• Définir le réseau de l'organisation qui est défendu.
• Concevoir un processus et un système spécifiques à l'organisation qui protègent le réseau.
• Maintenir, modifier et surveiller le système pour s'assurer que le processus fonctionne.
• Revoyez constamment le processus et modifiez-le pour faire face aux risques nouvellement définis.

L'Agence de cybersécurité et de sécurité des infrastructures (CISA) développe un modèle de maturité Zero Trust avec ses cinq piliers - Identité, Appareils, Réseau, Données et Applications et charges de travail - pour aider les agences gouvernementales dans le développement et la mise en œuvre de stratégies et de solutions Zero Trust. .(5)

L'architecture Zero Trust reste un concept théorique sans processus structuré et auditable comme celui d'Eracent Initiative ClearArmor Zero Trust Resource Planning (ZTRP). Son cadre intégral synthétise systématiquement tous les composants, applications logicielles, données, réseaux et terminaux à l'aide d'une analyse des risques d'audit en temps réel. Un déploiement réussi de Zero Trust nécessite que chaque élément de la chaîne d'approvisionnement logicielle prouve sans aucun doute qu'il est fiable et digne de confiance.

Les outils d'analyse de vulnérabilité conventionnels n'examinent pas méthodiquement tous les composants de la chaîne d'approvisionnement d'une application, tels que le code obsolète et obsolète qui peut poser un risque de sécurité. Szablowski reconnaît et applaudit ces initiatives gouvernementales, avertissant : « Zero Trust est un processus clairement défini, géré et en constante évolution ; ce n'est pas 'un et fait.' La première étape consiste à définir la taille et la portée du réseau et à identifier ce qui doit être protégé. Quels sont les principaux risques et priorités ? Créez ensuite un ensemble prescrit de directives dans un processus de gestion automatisé, continu et reproductible sur une seule plateforme de gestion et de reporting.

À propos d'Eracent
Walt Szablowski est le fondateur et président exécutif d'Eracent et préside les filiales d'Eracent (Eracent SP ZOO, Varsovie, Pologne ; Eracent Private LTD à Bangalore, Inde, et Eracent Brésil). Eracent aide ses clients à relever les défis de la gestion des actifs du réseau informatique, des licences logicielles et de la cybersécurité dans les environnements informatiques complexes et évolutifs d'aujourd'hui. Les entreprises clientes d'Eracent économisent considérablement sur leurs dépenses annuelles en logiciels, réduisent leurs risques d'audit et de sécurité et établissent des processus de gestion des actifs plus efficaces. La clientèle d'Eracent comprend certains des plus grands réseaux et environnements informatiques d'entreprise et gouvernementaux au monde. Des dizaines d'entreprises du Fortune 500 font confiance aux solutions Eracent pour gérer et protéger leurs réseaux. Visite https://eracent.com/. 

Références:
1) Bischoff, P. (2022, 29 novembre). Violations du gouvernement - pouvez-vous faire confiance au gouvernement américain avec vos données ? Comparitech. Extrait le 28 avril 2023 de comparitech.com/blog/vpn-privacy/us-government-breaches/
2) Déclaration notam de la FAA. Déclaration NOTAM de la FAA | Administration fédérale de l'aviation. (sd). Extrait le 1er février 2023 de.faa.gov/newsroom/faa-notam-statement
3) Résumé des rapports et des témoignages concernant la cybersécurité du DOD du 1er juillet 2020 à. Bureau de l'inspecteur général du ministère de la Défense. (2023, 30 janvier). Extrait le 28 avril 2023 de dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Décret exécutif 14028 : Améliorer la cybersécurité de la nation. GSA. (2021, 28 octobre). Extrait le 29 mars 2023 de gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA publie un modèle de maturité Zero Trust mis à jour : CISA. Agence de cybersécurité et de sécurité des infrastructures CISA. (2023, 25 avril). Extrait le 28 avril 2023 de cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20public%20commentaire%20période

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
• La source: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm