OIG ने दस वर्षों से अधिक के लिए साइबर सुरक्षा अनुशंसाओं को अनदेखा करने के लिए DoD को कार्य के लिए लिया

OIG ने दस वर्षों से अधिक के लिए साइबर सुरक्षा अनुशंसाओं को अनदेखा करने के लिए DoD को कार्य के लिए लिया

समय टिकट: 14 मई, 2023 8:00 PM
समाचार छवि

आंतरिक और बाहरी साइबर खतरों के खिलाफ रक्षा की हमारी सबसे बड़ी पंक्ति, यदि डीओडी अपने महत्वपूर्ण आईटी से भेद्यता से भरे और अप्रचलित हार्डवेयर और सॉफ्टवेयर को हटाने के लिए सुधारात्मक कार्रवाई करने में एक दिन, एक घंटा, या एक मिनट का समय लेती है, तो इसके निहितार्थ विनाशकारी हो सकते हैं। आधारभूत संरचना।

रीगल्सविल, पीए (पीआरवेब) 15 मई 2023

जब हॉलीवुड कंप्यूटर हैकर्स के अंडरवर्ल्ड को दिखाता है, दुनिया को बचाने या नीचे ले जाने की कोशिश कर रहे अच्छे और बुरे सरकारी अभिनेताओं के बीच लड़ाई के पल्स-पाउंडिंग दृश्यों के साथ, प्रकाश अशुभ है, फायरवॉल खोलते और बंद करते समय एक साथ कई कीबोर्ड पर उंगलियां आसानी से उड़ती हैं बिजली की गति से। और चालाक संघीय खुफिया एजेंसियों के पास आकर्षक, हाई-टेक गैजेटरी में हमेशा नवीनतम होते हैं। लेकिन वास्तविकता शायद ही कभी मापती है। पेंटागन, रक्षा विभाग (डीओडी) का मुख्यालय, संयुक्त राज्य अमेरिका की सैन्य ताकत और ताकत का एक शक्तिशाली प्रतीक है। हालांकि, 2014 से 2022 तक, 822 सरकारी एजेंसियां ​​साइबर हमले की शिकार हुई हैं, जिससे लगभग 175 बिलियन डॉलर की लागत से लगभग 26 मिलियन सरकारी रिकॉर्ड प्रभावित हुए हैं। (1) DoD, DoD OIG (महानिरीक्षक कार्यालय) की निगरानी में है। , और उनकी सबसे हालिया ऑडिट रिपोर्ट देश की सबसे बड़ी सरकारी एजेंसी की प्रतिष्ठा पर काली नजर है। वॉल्ट ज़ाब्लोव्स्की, के संस्थापक और कार्यकारी अध्यक्ष एरासेंट, जिसने दो दशकों से अधिक समय से अपने बड़े उद्यम ग्राहकों के नेटवर्क में पूर्ण दृश्यता प्रदान की है, चेतावनी देता है, “यदि डीओडी, आंतरिक और बाहरी साइबर खतरों के खिलाफ हमारी सबसे बड़ी रक्षा पंक्ति, एक दिन, एक घंटा, या एक भेद्यता से भरे और अप्रचलित हार्डवेयर और सॉफ्टवेयर को अपने महत्वपूर्ण आईटी बुनियादी ढांचे से हटाने के लिए सुधारात्मक कार्रवाई करने के लिए बहुत लंबा समय। ज़ीरो ट्रस्ट आर्किटेक्चर साइबर सुरक्षा टूलबॉक्स में सबसे बड़ा और सबसे प्रभावी उपकरण है।

हाल ही में जनवरी 2023 तक, एफएए द्वारा सभी विमानों के प्रस्थान और आगमन को रोकने के लिए ग्राउंड स्टॉप शुरू करने के बाद दुनिया ने अपनी सामूहिक सांस रोक रखी थी। 9/11 की घटनाओं के बाद से इस तरह के चरम उपाय नहीं किए गए हैं। FAA का अंतिम निर्णय यह था कि हवाई आपदाओं को रोकने के लिए महत्वपूर्ण सुरक्षा जानकारी प्रदान करने के लिए जिम्मेदार नोटिस टू एयर मिशन (NOTAM) प्रणाली में एक आउटेज नियमित रखरखाव के दौरान समझौता किया गया था जब एक फ़ाइल गलती से दूसरी के साथ बदल दी गई थी। (2) तीन सप्ताह बाद, DoD OIG ने 1 जुलाई, 2020 से 30 जून, 2022 (DODIG-2023-047) के माध्यम से DoD साइबर सुरक्षा के संबंध में अपनी रिपोर्ट और गवाहियों का सारांश सार्वजनिक रूप से जारी किया, जिसमें DoD साइबर सुरक्षा के बारे में अवर्गीकृत और वर्गीकृत रिपोर्ट और गवाही का सारांश है। (3)

OIG की रिपोर्ट के अनुसार, संघीय एजेंसियों को क्रिटिकल इन्फ्रास्ट्रक्चर साइबर सुरक्षा में सुधार के लिए राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) फ्रेमवर्क के दिशानिर्देशों का पालन करना आवश्यक है। व्यापक जोखिम प्रबंधन रणनीति के रूप में एक साथ काम करने वाले उच्च-स्तरीय साइबर सुरक्षा उपायों को लागू करने के लिए ढांचे में पांच स्तंभ शामिल हैं - पहचानें, सुरक्षा करें, पता लगाएं, प्रतिक्रिया दें और पुनर्प्राप्त करें। OIG और अन्य DoD निरीक्षण संस्थाओं ने मुख्य रूप से दो स्तंभों पर ध्यान केंद्रित किया है - पहचान और सुरक्षा, शेष तीन पर कम जोर - पता लगाएँ, प्रतिक्रिया दें और पुनर्प्राप्त करें। रिपोर्ट ने निष्कर्ष निकाला कि वर्तमान और पिछली सारांश रिपोर्टों में 895 साइबर सुरक्षा से संबंधित सिफारिशों में, DoD के पास अभी भी 478 तक 2012 खुले सुरक्षा मुद्दे थे। (3)

मई 2021 में, व्हाइट हाउस ने कार्यकारी आदेश 14028 जारी किया: राष्ट्र की साइबर सुरक्षा में सुधार, बहु-कारक प्रमाणीकरण एन्क्रिप्शन को नियोजित करने के निर्देश के साथ जीरो ट्रस्ट आर्किटेक्चर को अपनाकर साइबर सुरक्षा और सॉफ़्टवेयर आपूर्ति श्रृंखला अखंडता को बढ़ाने के लिए संघीय एजेंसियों की आवश्यकता। ज़ीरो ट्रस्ट सरकार-व्यापी समापन बिंदु पहचान और प्रतिक्रिया प्रणाली की सुविधा के द्वारा संघीय नेटवर्क पर दुर्भावनापूर्ण साइबर गतिविधि की पहचान को बढ़ाता है। साइबर सुरक्षा इवेंट लॉग आवश्यकताओं को संघीय सरकारी एजेंसियों के बीच क्रॉस-कम्युनिकेशन को बेहतर बनाने के लिए डिज़ाइन किया गया है। (4)

ज़ीरो ट्रस्ट आर्किटेक्चर, अपने सबसे बुनियादी स्तर पर, हमेशा नेटवर्क के लिए आंतरिक और बाहरी खतरों के अस्तित्व को मानते हुए साइबर सुरक्षा आपूर्ति श्रृंखला के साथ हर घटक के दृढ़ संदेह और अविश्वास की मुद्रा को मानता है। लेकिन जीरो ट्रस्ट इससे कहीं ज्यादा है।

जीरो ट्रस्ट के कार्यान्वयन ने संगठन को अंतत: बाध्य किया:

  • उस संगठन के नेटवर्क को परिभाषित करें जिसका बचाव किया जा रहा है।
  • एक संगठन-विशिष्ट प्रक्रिया और सिस्टम डिज़ाइन करें जो नेटवर्क की सुरक्षा करता है।
  • प्रक्रिया काम कर रही है यह सुनिश्चित करने के लिए सिस्टम को बनाए रखें, संशोधित करें और निगरानी करें।
  • नए परिभाषित जोखिमों को दूर करने के लिए प्रक्रिया की लगातार समीक्षा करें और इसे संशोधित करें।

साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) अपने स्वयं के पांच स्तंभों - पहचान, उपकरण, नेटवर्क, डेटा और एप्लिकेशन और वर्कलोड के साथ एक जीरो ट्रस्ट मैच्योरिटी मॉडल विकसित कर रही है - जीरो ट्रस्ट रणनीतियों और समाधानों के विकास और कार्यान्वयन में सरकारी एजेंसियों की सहायता करने के लिए (5)

जीरो ट्रस्ट आर्किटेक्चर एरासेंट जैसी संरचित और श्रव्य प्रक्रिया के बिना एक सैद्धांतिक अवधारणा बनी हुई है ClearArmor जीरो ट्रस्ट रिसोर्स प्लानिंग (ZTRP) पहल. इसका विस्तृत ढांचा रीयल-टाइम ऑडिट-जोखिम विश्लेषण का उपयोग करके सभी घटकों, सॉफ़्टवेयर अनुप्रयोगों, डेटा, नेटवर्क और अंतिम बिंदुओं को व्यवस्थित रूप से संश्लेषित करता है। ज़ीरो ट्रस्ट के सफल परिनियोजन के लिए सॉफ़्टवेयर आपूर्ति श्रृंखला में प्रत्येक घटक को संदेह से परे साबित करने की आवश्यकता होती है कि उस पर भरोसा किया जा सकता है और उस पर भरोसा किया जा सकता है।

पारंपरिक भेद्यता विश्लेषण उपकरण किसी एप्लिकेशन की आपूर्ति श्रृंखला के सभी घटकों की व्यवस्थित रूप से जांच नहीं करते हैं, जैसे पुराना और अप्रचलित कोड जो सुरक्षा जोखिम पैदा कर सकता है। शाब्लोस्की इन सरकारी पहलों को स्वीकार करता है और उनकी सराहना करता है, चेतावनी देता है, “ज़ीरो ट्रस्ट एक स्पष्ट रूप से परिभाषित, प्रबंधित और लगातार विकसित होने वाली प्रक्रिया है; यह 'एक और किया' नहीं है। पहला कदम नेटवर्क के आकार और दायरे को परिभाषित करना है और यह पहचानना है कि किस चीज को संरक्षित करने की जरूरत है। सबसे बड़ा जोखिम और प्राथमिकताएं क्या हैं? फिर एक एकल प्रबंधन और रिपोर्टिंग प्लेटफ़ॉर्म पर एक स्वचालित, निरंतर और दोहराने योग्य प्रबंधन प्रक्रिया में दिशानिर्देशों का एक निर्धारित सेट बनाएं।

Eracent के बारे में
वॉल्ट ज़ाब्लोव्स्की एरासेंट के संस्थापक और कार्यकारी अध्यक्ष हैं और एरासेंट की सहायक कंपनियों (एरासेंट एसपी ज़ू, वारसॉ, पोलैंड; बेंगलुरु, भारत में एरासेंट प्राइवेट लिमिटेड और एरासेंट ब्राज़ील) के अध्यक्ष के रूप में कार्य करते हैं। Eracent अपने ग्राहकों को आज के जटिल और विकसित होते IT वातावरण में IT नेटवर्क संपत्तियों, सॉफ़्टवेयर लाइसेंस और साइबर सुरक्षा के प्रबंधन की चुनौतियों का सामना करने में मदद करता है। Eracent के उद्यम ग्राहक अपने वार्षिक सॉफ्टवेयर खर्च पर काफी बचत करते हैं, अपने ऑडिट और सुरक्षा जोखिमों को कम करते हैं, और अधिक कुशल संपत्ति प्रबंधन प्रक्रियाएँ स्थापित करते हैं। Eracent के क्लाइंट बेस में दुनिया के कुछ सबसे बड़े कॉर्पोरेट और सरकारी नेटवर्क और आईटी वातावरण शामिल हैं। दर्जनों फॉर्च्यून 500 कंपनियां अपने नेटवर्क के प्रबंधन और सुरक्षा के लिए एरासेंट समाधानों पर भरोसा करती हैं। मिलने जाना https://eracent.com/. 

सन्दर्भ:
1) बिस्चॉफ, पी. (2022, 29 नवंबर)। सरकारी उल्लंघन - क्या आप अपने डेटा को लेकर अमेरिकी सरकार पर भरोसा कर सकते हैं? कंपैरिटेक। Comparitech.com/blog/vpn-privacy/us-government-breaches/ से 28 अप्रैल, 2023 को लिया गया
2) एफएए नोटम स्टेटमेंट। एफएए नोटम स्टेटमेंट | संघीय विमानन प्रशासन। (रा)। 1 फरवरी, 2023 को faa.gov/newsroom/faa-notam-statement से लिया गया
3) 1 जुलाई, 2020 से DOD साइबर सुरक्षा के बारे में रिपोर्ट और गवाहियों का सारांश। रक्षा विभाग महानिरीक्षक कार्यालय। (2023, 30 जनवरी)। 28 अप्रैल, 2023 को dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/ से लिया गया
4) कार्यकारी आदेश 14028: देश की साइबर सुरक्षा में सुधार। जीएसए। (2021, 28 अक्टूबर)। 29 मार्च, 2023 को gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity से लिया गया
5) सीआईएसए ने अपडेटेड जीरो ट्रस्ट मैच्योरिटी मॉडल जारी किया: सीआईएसए। साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी CISA। (2023, 25 अप्रैल)। 28 अप्रैल, 2023 को cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% से लिया गया 20सार्वजनिक%20टिप्पणी%20अवधि

समय टिकट:

से अधिक कंप्यूटर सुरक्षा