L'OIG prende in carico il DoD per aver ignorato le raccomandazioni sulla sicurezza informatica per oltre dieci anni

Le implicazioni potrebbero essere catastrofiche se il DoD, la nostra più grande linea di difesa contro le minacce informatiche interne ed esterne, impiegasse un giorno, un'ora o un minuto di troppo per intraprendere azioni correttive per rimuovere hardware e software ricchi di vulnerabilità e obsoleti dal suo IT critico infrastruttura.

RIEGELSVILLE, Pennsylvania (PRWEB) 15 Maggio 2023

Quando Hollywood ritrae il mondo sotterraneo degli hacker, con scene al cardiopalma di una battaglia tra attori governativi buoni e cattivi che cercano di salvare o abbattere il mondo, l'illuminazione è minacciosa, le dita volano senza sforzo su più tastiere contemporaneamente mentre si aprono e si chiudono i firewall alla velocità della luce. E le eleganti agenzie di intelligence federali hanno sempre gli ultimi gadget appariscenti e high-tech. Ma la realtà raramente è all'altezza. Il Pentagono, il quartier generale del Dipartimento della Difesa (DoD), è un potente simbolo della potenza militare e della forza degli Stati Uniti. Tuttavia, dal 2014 al 2022, 822 agenzie governative sono state vittime di attacchi informatici, interessando quasi 175 milioni di documenti governativi per un costo di circa 26 miliardi di dollari.(1) Il DoD è sotto l'occhio vigile del DoD OIG (Office of Inspector General) , e il loro rapporto di audit più recente è un occhio nero per la reputazione della più grande agenzia governativa della nazione. Walt Szablowski, fondatore e presidente esecutivo di Eracente, che da oltre vent'anni fornisce visibilità completa alle reti dei suoi grandi clienti aziendali, avverte: "Le implicazioni potrebbero essere catastrofiche se il DoD, la nostra più grande linea di difesa contro le minacce informatiche interne ed esterne, impiega un giorno, un'ora o un'ora troppo tempo per intraprendere azioni correttive per rimuovere hardware e software obsoleti e ricchi di vulnerabilità dalla sua infrastruttura IT critica. Zero Trust Architecture è lo strumento più grande ed efficace nella cassetta degli attrezzi per la sicurezza informatica.”

Non più tardi del gennaio 2023, il mondo ha trattenuto il respiro collettivo dopo che la FAA ha avviato un arresto a terra, impedendo tutte le partenze e gli arrivi degli aerei. Era dai tempi dell'9 settembre che non venivano prese misure così estreme. Il giudizio finale della FAA è stato che un'interruzione del sistema NOTAM (Notam to Air Missions) responsabile di fornire informazioni cruciali sulla sicurezza per prevenire i disastri aerei è stata compromessa durante la manutenzione ordinaria quando un file è stato erroneamente sostituito con un altro.(11) Tre settimane dopo, il DoD OIG ha pubblicato pubblicamente il suo riepilogo dei rapporti e delle testimonianze riguardanti la sicurezza informatica del Dipartimento della Difesa dal 2° luglio 1 al 2020 giugno 30 (DODIG-2022-2023), che riassume i rapporti e le testimonianze non classificati e classificati riguardanti la sicurezza informatica del Dipartimento della Difesa.(047)

Secondo il rapporto dell'OIG, le agenzie federali sono tenute a seguire le linee guida del National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity. Il framework comprende cinque pilastri (identificazione, protezione, rilevamento, risposta e ripristino) per implementare misure di sicurezza informatica di alto livello che lavorano insieme come una strategia completa di gestione del rischio. L'OIG e altre entità di supervisione del Dipartimento della Difesa si sono concentrate principalmente su due pilastri: identificare e proteggere, con meno enfasi sui restanti tre: rilevare, rispondere e recuperare. Il rapporto ha concluso che delle 895 raccomandazioni relative alla sicurezza informatica contenute nei rapporti di sintesi attuali e passati, il DoD aveva ancora 478 questioni di sicurezza aperte risalenti al 2012.(3)

Nel maggio 2021, la Casa Bianca ha emesso l'Executive Order 14028: Miglioramento della sicurezza informatica della nazione, richiedendo alle agenzie federali di migliorare la sicurezza informatica e l'integrità della catena di fornitura del software adottando l'architettura Zero Trust con una direttiva per utilizzare la crittografia dell'autenticazione a più fattori. Zero Trust migliora l'identificazione di attività informatiche dannose sulle reti federali facilitando un sistema di rilevamento e risposta degli endpoint a livello di governo. I requisiti del registro degli eventi di sicurezza informatica sono progettati per migliorare la comunicazione incrociata tra le agenzie del governo federale.(4)

L'Architettura Zero Trust, al suo livello più elementare, assume la posizione di risoluto scetticismo e sfiducia di ogni componente lungo la catena di approvvigionamento della sicurezza informatica presupponendo sempre l'esistenza di minacce interne ed esterne alla rete. Ma Zero Trust è molto di più.

Le implementazioni di Zero Trust costringono l'organizzazione a:

• Definire la rete dell'organizzazione che viene difesa.
• Progettare un processo e un sistema specifici dell'organizzazione che protegga la rete.
• Mantenere, modificare e monitorare il sistema per garantire che il processo funzioni.
• Rivedere costantemente il processo e modificarlo per affrontare i nuovi rischi definiti.

La Cybersecurity and Infrastructure Security Agency (CISA) sta sviluppando un modello di maturità Zero Trust con i suoi cinque pilastri: identità, dispositivi, rete, dati, applicazioni e carichi di lavoro, per assistere le agenzie governative nello sviluppo e nell'implementazione di strategie e soluzioni Zero Trust .(5)

Zero Trust Architecture rimane un concetto teorico senza un processo strutturato e verificabile come quello di Eracent Iniziativa ClearArmor Zero Trust Resource Planning (ZTRP).. Il suo framework integrale sintetizza sistematicamente tutti i componenti, le applicazioni software, i dati, le reti e gli endpoint utilizzando l'analisi del rischio di audit in tempo reale. Il successo dell'implementazione di Zero Trust richiede che ogni componente della catena di fornitura del software dimostri oltre ogni dubbio che può essere affidabile e affidabile.

Gli strumenti di analisi delle vulnerabilità convenzionali non esaminano metodicamente tutti i componenti della catena di fornitura di un'applicazione, come il codice obsoleto e obsoleto che può rappresentare un rischio per la sicurezza. Szablowski riconosce e plaude a queste iniziative del governo, avvertendo: “Zero Trust è un processo chiaramente definito, gestito e in continua evoluzione; non è "uno e fatto". Il primo passaggio consiste nel definire le dimensioni e l'ambito della rete e identificare ciò che deve essere protetto. Quali sono i rischi e le priorità maggiori? Quindi creare una serie prescritta di linee guida in un processo di gestione automatizzato, continuo e ripetibile su un'unica piattaforma di gestione e reporting".

A proposito di Eracent
Walt Szablowski è il fondatore e presidente esecutivo di Eracent e ricopre il ruolo di presidente delle filiali di Eracent (Eracent SP ZOO, Varsavia, Polonia; Eracent Private LTD a Bangalore, India ed Eracent Brasile). Eracent aiuta i suoi clienti ad affrontare le sfide della gestione delle risorse di rete IT, delle licenze software e della sicurezza informatica negli ambienti IT complessi e in continua evoluzione di oggi. I clienti aziendali di Eracent risparmiano in modo significativo sulla spesa annuale per il software, riducono i rischi di audit e sicurezza e stabiliscono processi di gestione delle risorse più efficienti. La base di clienti di Eracent comprende alcune delle più grandi reti aziendali e governative e ambienti IT del mondo. Decine di aziende Fortune 500 si affidano alle soluzioni Eracent per gestire e proteggere le proprie reti. Visita https://eracent.com/. 

Riferimenti:
1) Bischoff, P. (2022, 29 novembre). Violazioni del governo: puoi fidarti del governo degli Stati Uniti con i tuoi dati? Comparitech. Estratto il 28 aprile 2023 da comparitech.com/blog/vpn-privacy/us-government-breaches/
2) Dichiarazione Notam della FAA. Dichiarazione FAA NOTAM | Amministrazione federale dell'aviazione. (nd). Estratto il 1° febbraio 2023 da.faa.gov/newsroom/faa-notam-statement
3) Riepilogo dei rapporti e delle testimonianze riguardanti la sicurezza informatica DOD dal 1 luglio 2020 in poi. Ufficio dell'ispettore generale del Dipartimento della difesa. (2023, 30 gennaio). Estratto il 28 aprile 2023 da dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Ordine esecutivo 14028: miglioramento della sicurezza informatica della nazione. GSA. (2021, 28 ottobre). Estratto il 29 marzo 2023 da gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA rilascia il modello di maturità Zero trust aggiornato: CISA. Agenzia per la sicurezza informatica e delle infrastrutture CISA. (2023, 25 aprile). Estratto il 28 aprile 2023 da cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20pubblico%20commento%20periodo

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
• Coniare il futuro con Adryenn Ashley. Accedi qui.
• Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
• Fonte: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm