The OIG Takes The DoD To Task For Ignoring Cybersecurity Recommendations For Over Ten Years

Újra kiadta Platón

Követő: 0

A következmények katasztrofálisak lehetnek, ha a DoD-nek, a belső és külső kiberfenyegetésekkel szembeni legnagyobb védelmi vonalunknak egy nap, egy óra vagy egy perc túl sokáig tart ahhoz, hogy korrekciós intézkedéseket tegyen a sebezhető pontokkal teli és elavult hardverek és szoftverek eltávolítására kritikus informatikai rendszeréből. infrastruktúra.

RIEGELSVILLE, Pa. (PRWEB) May 15, 2023

Amikor Hollywood a számítógépes hackerek alvilágát ábrázolja, a jó és a gonosz kormányzati szereplők harcának lüktető jeleneteivel, akik megpróbálják megmenteni vagy lerombolni a világot, a világítás baljóslatú, az ujjak könnyedén repkednek egyszerre több billentyűzeten, miközben nyitják és zárják a tűzfalakat. villámgyorsan. A sima szövetségi hírszerző ügynökségek pedig mindig a legfrissebb csúcstechnológiás eszközökkel rendelkeznek. De a valóság ritkán méri fel. A Pentagon, a Védelmi Minisztérium (DoD) központja az Egyesült Államok katonai erejének és erejének erőteljes szimbóluma. 2014 és 2022 között azonban 822 kormányzati ügynökség esett kibertámadások áldozatává, amelyek közel 175 millió kormányzati nyilvántartást érintettek, körülbelül 26 milliárd dollár költséggel.(1) A DoD a DoD OIG (Office of Inspector of General) felügyelete alatt áll. , és legutóbbi ellenőrzési jelentésük fekete szemmel veti az ország legnagyobb kormányzati szervének hírnevét. Walt Szablowski, a társaság alapítója és ügyvezető elnöke Eracent, amely több mint két évtizede teljes rálátást biztosít nagyvállalati ügyfelei hálózataira, figyelmeztet: „A következmények katasztrofálisak lehetnek, ha a DoD, a belső és külső kiberfenyegetésekkel szembeni legnagyobb védelmi vonalunk egy napot, egy órát vagy egy órát vesz igénybe. perc túl hosszú ahhoz, hogy korrekciós intézkedéseket tegyen a sérülékenységgel teli és elavult hardverek és szoftverek eltávolítására a kritikus IT-infrastruktúrából. A Zero Trust Architecture a legnagyobb és leghatékonyabb eszköz a kiberbiztonsági eszköztárban.”

Még 2023 januárjában a világ visszatartotta a lélegzetét, miután az FAA földi megállást kezdeményezett, megakadályozva minden repülőgép indulását és érkezését. A szeptember 9-i események óta nem történt ilyen szélsőséges intézkedés. Az FAA végső ítélete az volt, hogy a légi katasztrófák megelőzése érdekében kulcsfontosságú biztonsági információk nyújtásáért felelős Notice to Air Missions (NOTAM) rendszer kiesése a rutin karbantartás során veszélybe került, amikor az egyik fájlt tévedésből egy másikra cserélték.(11) Három héttel később a A DoD OIG nyilvánosan közzétette a 2. július 1-jétől 2020. június 30-ig terjedő, a DoD kiberbiztonsággal kapcsolatos jelentések és tanúvallomások összefoglalóját (DODIG-2022-2023), amely összefoglalja a nem minősített és minősített jelentéseket és tanúvallomásokat a DoD kiberbiztonsággal kapcsolatban.(047)

Az OIG jelentése szerint a szövetségi ügynökségeknek követniük kell a Nemzeti Szabványügyi és Technológiai Intézet (NIST) keretrendszerének a kritikus infrastruktúrák kiberbiztonságának javítására vonatkozó irányelveit. A keretrendszer öt pillért – az azonosítás, a védelem, az észlelés, a reagálás és a helyreállítás – tartalmaz, amelyek magas szintű kiberbiztonsági intézkedéseket hajtanak végre, amelyek átfogó kockázatkezelési stratégiaként működnek együtt. Az OIG és más DoD felügyeleti entitások elsősorban két pillérre – az azonosításra és a védelemre – összpontosítottak, kevesebb hangsúlyt helyezve a maradék háromra – az észlelésre, válaszadásra és helyreállításra. A jelentés arra a következtetésre jutott, hogy a jelenlegi és a korábbi összefoglaló jelentésekben szereplő 895 kiberbiztonsággal kapcsolatos ajánlás közül a DoD-nak még 478 nyitott biztonsági problémája volt 2012-ig.(3)

2021 májusában a Fehér Ház kiadta az 14028. számú végrehajtási rendeletet: A nemzet kiberbiztonságának javítása, amely előírja a szövetségi ügynökségeknek, hogy fokozzák a kiberbiztonságot és a szoftverellátási lánc integritását azáltal, hogy a Zero Trust Architecture-t elfogadják egy irányelvvel a többtényezős hitelesítési titkosítás alkalmazására. A Zero Trust javítja a rosszindulatú kibertevékenységek azonosítását a szövetségi hálózatokon azáltal, hogy megkönnyíti az egész kormányra kiterjedő végpontészlelési és -válaszrendszert. A kiberbiztonsági eseménynapló-követelmények célja a szövetségi kormányzati szervek közötti keresztkommunikáció javítása.(4)

A Zero Trust Architecture legalapvetőbb szintjén határozott szkepticizmust és bizalmatlanságot feltételez a kiberbiztonsági ellátási lánc minden komponensével szemben, mivel mindig feltételezi a hálózatot fenyegető belső és külső fenyegetések meglétét. De a Zero Trust sokkal több ennél.

A Zero Trust megvalósítása arra kényszeríti a szervezetet, hogy végre:

Határozza meg a szervezet védendő hálózatát.
Tervezzen meg egy szervezet-specifikus folyamatot és rendszert, amely védi a hálózatot.
A folyamat működésének biztosítása érdekében karbantartja, módosítsa és figyelje a rendszert.
Folyamatosan ellenőrizze a folyamatot, és módosítsa az újonnan meghatározott kockázatok kezelése érdekében.

A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) a Zero Trust Maturity Modell kidolgozásán dolgozik saját öt pillérrel – identitás, eszközök, hálózat, adatok, valamint alkalmazások és munkaterhelések –, hogy segítse a kormányzati szerveket a Zero Trust stratégiák és megoldások kidolgozásában és megvalósításában. .(5)

A Zero Trust Architecture továbbra is elméleti koncepció marad olyan strukturált és auditálható folyamat nélkül, mint az Eracenté. ClearArmor Zero Trust Resource Planning (ZTRP) kezdeményezés. A nem rövidített keretrendszer szisztematikusan szintetizálja az összes összetevőt, szoftveralkalmazást, adatot, hálózatot és végpontot valós idejű audit-kockázatelemzés segítségével. A Zero Trust sikeres bevezetése megköveteli, hogy a szoftverellátási lánc minden összetevője minden kétséget kizáróan bizonyítsa, hogy megbízható és megbízható.

A hagyományos sebezhetőségelemző eszközök nem veszik át módszeresen az alkalmazás ellátási láncának minden összetevőjét, például az elavult és elavult kódokat, amelyek biztonsági kockázatot jelenthetnek. Szablowski elismeri és üdvözli ezeket a kormányzati kezdeményezéseket, figyelmeztetve: „A Zero Trust egy világosan meghatározott, irányított és folyamatosan fejlődő folyamat; ez nem „egy és kész”. Az első lépés a hálózat méretének és hatókörének meghatározása, valamint annak meghatározása, hogy mit kell védeni. Melyek a legnagyobb kockázatok és prioritások? Ezután hozzon létre egy előírt iránymutatást egy automatizált, folyamatos és megismételhető irányítási folyamatban, egyetlen irányítási és jelentési platformon.”

Eracentről
Walt Szablowski az Eracent alapítója és ügyvezető elnöke, valamint az Eracent leányvállalatainak elnöke (Eracent SP ZOO, Varsó, Lengyelország; Eracent Private LTD Bangalore-ban, India és Eracent Brazília). Az Eracent segít ügyfeleinek abban, hogy megfeleljenek az IT-hálózati eszközök, a szoftverlicencek és a kiberbiztonság kezelésével kapcsolatos kihívásoknak a mai összetett és fejlődő informatikai környezetekben. Az Eracent vállalati ügyfelei jelentősen megtakarítják éves szoftverköltségeiket, csökkentik az auditálási és biztonsági kockázataikat, és hatékonyabb vagyonkezelési folyamatokat alakítanak ki. Az Eracent ügyfélbázisa magában foglalja a világ legnagyobb vállalati és kormányzati hálózatait és informatikai környezeteit. Több tucat Fortune 500 vállalat támaszkodik az Eracent megoldásaira hálózataik kezelésében és védelmében. Látogatás https://eracent.com/. 

Referenciák:
1) Bischoff, P. (2022, november 29.). Kormányzati jogsértések – rábízhatja adatait az Egyesült Államok kormányára? Comparitech. Letöltve 28. április 2023-án a comparitech.com/blog/vpn-privacy/us-government-breaches/ webhelyről
2) FAA Notam nyilatkozat. FAA NOTAM nyilatkozat | Szövetségi légi irányítás. (nd). Letöltve: 1. február 2023., from.faa.gov/newsroom/faa-notam-statement
3) A DOD kiberbiztonsággal kapcsolatos jelentések és tanúvallomások összefoglalása 1. július 2020-től. Honvédelmi Minisztérium Főfelügyelői Hivatal. (2023, január 30.). Letöltve 28. április 2023-án, innen: dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) 14028. számú végrehajtási rendelet: Az ország kiberbiztonságának javítása. GSA. (2021, október 28.). Letöltve: 29. március 2023. innen: gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) A CISA kiadja a frissített nulla bizalmi lejárati modellt: CISA. Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség, CISA. (2023, április 25.). Letöltve 28. április 2023-án innen: cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20nyilvános%20komment%20időszak