ה-OIG לוקח את ה-DoD למשימה להתעלם מהמלצות אבטחת סייבר במשך למעלה מעשר שנים

ה-OIG לוקח את ה-DoD למשימה להתעלם מהמלצות אבטחת סייבר במשך למעלה מעשר שנים

חותמת זמן: 14 במאי 2023 8:00
תמונת חדשות

ההשלכות עלולות להיות קטסטרופליות אם ל-DoD, קו ההגנה הגדול ביותר שלנו מפני איומי סייבר פנימיים וחיצוניים, ייקח יום, שעה או דקה יותר מדי לבצע פעולות מתקנות כדי להסיר חומרה ותוכנה עמוסות פגיעות ומיושנות מה-IT הקריטי שלה. תַשׁתִית.

RIEGELSVILLE, פא. (PRWEB) מאי 15, 2023

כשהוליווד מתארת ​​את העולם התחתון של האקרים למחשבים, עם סצנות דופקות של קרב בין שחקני ממשל טובים ורעים המנסים להציל או להפיל את העולם, התאורה מבשרת רעות, האצבעות עפות ללא מאמץ על פני מספר מקלדות בו-זמנית תוך פתיחה וסגירה של חומות אש. במהירות הבזק. ולסוכנויות מודיעין פדרליות חלקלק יש תמיד את החידושים האחרונים בגאדג'טים נוצצים והייטקיים. אבל המציאות רק לעתים נדירות עומדת בקנה אחד. הפנטגון, המטה של ​​משרד ההגנה (DoD), הוא סמל רב עוצמה לעוצמתה ולעוצמתה הצבאית של ארצות הברית. עם זאת, מ-2014 עד 2022, 822 סוכנויות ממשלתיות היו קורבנות למתקפות סייבר, והשפיעו על כמעט 175 מיליון רשומות ממשלתיות בעלות של כ-26 מיליארד דולר.(1) ה-DoD נמצא תחת העין הפקוחה של DoD OIG (משרד המפקח הכללי) , ודו"ח הביקורת האחרון שלהם הוא עין שחורה למוניטין של הסוכנות הממשלתית הגדולה ביותר במדינה. וולט שבלובסקי, מייסד ויו"ר בכיר של ארסנט, אשר סיפקה נראות מלאה לרשתות הלקוחות הארגוניים הגדולים שלה במשך יותר משני עשורים, מזהירה, "ההשלכות עלולות להיות קטסטרופליות אם ה-DoD, קו ההגנה הגדול ביותר שלנו מפני איומי סייבר פנימיים וחיצוניים, ייקח יום אחד, שעה או אחד דקה ארוכה מדי לנקוט בפעולות מתקנות כדי להסיר חומרה ותוכנה עמוסות נקודות תורפה ומיושנות מתשתית ה-IT הקריטית שלה. Zero Trust Architecture הוא הכלי הגדול והיעיל ביותר בארגז הכלים של אבטחת סייבר".

רק בינואר 2023, העולם עצר את נשימתו הקולקטיבית לאחר עצירה קרקעית שיזמה ה-FAA, שמנעה את כל היציאות וההגעות של המטוסים. לא מאז אירועי ה-9 בספטמבר ננקטו צעדים כה קיצוניים. פסק הדין הסופי של ה-FAA היה כי הפסקה במערכת ההודעה למשימות אוויריות (NOTAM) האחראית על מתן מידע בטיחותי חיוני למניעת אסונות אוויר נפגעה במהלך תחזוקה שוטפת כאשר תיק אחד הוחלף בטעות באחר.(11) שלושה שבועות לאחר מכן, DoD OIG פרסם בפומבי את סיכום הדוחות והעדויות שלו בנוגע לאבטחת סייבר של DoD מה-2 ביולי 1, ועד ה-2020 ביוני 30 (DODIG-2022-2023) ביקורת המסכמת את הדוחות והעדויות הלא מסווגים והמסווגים לגבי אבטחת סייבר של DoD.(047)

על פי דוח ה-OIG, סוכנויות פדרליות נדרשות לפעול לפי ההנחיות של מסגרת המכון הלאומי לתקנים וטכנולוגיה (NIST) לשיפור אבטחת הסייבר של תשתיות קריטיות. המסגרת כוללת חמישה עמודי תווך - זיהוי, הגנה, זיהוי, תגובה ושחזור - ליישום אמצעי אבטחת סייבר ברמה גבוהה הפועלים יחד כאסטרטגיית ניהול סיכונים מקיפה. ה-OIG וגופי פיקוח אחרים של DoD התמקדו בעיקר בשני עמודי התווך - זיהוי והגנה, עם פחות דגש על שלושת הנותרים - זיהוי, תגובה ושחזור. הדוח הגיע למסקנה שמתוך 895 ההמלצות הקשורות לאבטחת סייבר בדוחות הסיכום הנוכחיים והקודמים, ל-DoD עדיין היו 478 בעיות אבטחה פתוחות החל משנת 2012.(3)

במאי 2021, הבית הלבן הוציא צו ביצוע 14028: שיפור אבטחת הסייבר של המדינה, המחייב סוכנויות פדרליות לשפר את אבטחת הסייבר ואת שלמות שרשרת אספקת התוכנה על ידי אימוץ ארכיטקטורת אפס אמון עם הנחיה להשתמש בהצפנת אימות רב-גורמי. Zero Trust משפר את הזיהוי של פעילות סייבר זדונית ברשתות פדרליות על ידי הקלה על מערכת זיהוי ותגובה של נקודות קצה ממשלתיות. דרישות יומן אירועי אבטחת סייבר נועדו לשפר תקשורת צולבת בין סוכנויות ממשלתיות פדרליות.(4)

ארכיטקטורת אפס אמון, ברמה הבסיסית ביותר, נוקטת בעמדה של ספקנות נחרצת וחוסר אמון בכל מרכיב בשרשרת האספקה ​​של אבטחת הסייבר, על ידי הנחה תמידית מקיומם של איומים פנימיים וחיצוניים על הרשת. אבל אפס אמון הוא הרבה יותר מזה.

הטמעות של Zero Trust מאלצות את הארגון לבסוף:

  • הגדירו את רשת הארגון המוגנת.
  • תכנן תהליך ומערכת ספציפיים לארגון המגנים על הרשת.
  • תחזוק, שנה ופיקוח על המערכת כדי לוודא שהתהליך פועל.
  • סקור כל הזמן את התהליך ושנה אותו כדי לתת מענה לסיכונים שהוגדרו לאחרונה.

הסוכנות לאבטחת סייבר ותשתיות (CISA) מפתחת מודל בשלות אמון עם חמשת עמודי התווך שלה - זהות, התקנים, רשת, נתונים ויישומים ועומסי עבודה - כדי לסייע לסוכנויות ממשלתיות בפיתוח ויישום של אסטרטגיות ופתרונות אמון אפס. .(5)

Zero Trust Architecture נשאר מושג תיאורטי ללא תהליך מובנה וניתן לביקורת כמו זה של ארסנט יוזמת ClearArmor Zero Trust Resource Planning (ZTRP).. המסגרת הבלתי מקוצרת שלו מסנתזת באופן שיטתי את כל הרכיבים, יישומי התוכנה, הנתונים, הרשתות ונקודות הקצה תוך שימוש בניתוח סיכונים ביקורת בזמן אמת. פריסה מוצלחת של Zero Trust מחייבת כל מרכיב בשרשרת אספקת התוכנה להוכיח מעל לכל ספק שניתן לסמוך עליו ולסמוך עליו.

כלי ניתוח פגיעות קונבנציונליים אינם בודקים באופן שיטתי את כל מרכיבי שרשרת האספקה ​​של אפליקציה, כגון קוד מיושן ומיושן שיכול להוות סיכון אבטחה. שבלובסקי מודה ומריע ליוזמות ממשלתיות אלה, ומזהיר, "אפס אמון הוא תהליך מוגדר, מנוהל ומתפתח ללא הרף; זה לא 'אחד ונעשה'. השלב הראשון הוא להגדיר את הגודל וההיקף של הרשת ולזהות מה צריך להגן. מהם הסיכונים וסדרי העדיפויות הגדולים ביותר? לאחר מכן צור קבוצה קבועה של קווים מנחים בתהליך ניהול אוטומטי, רציף וניתן לחזור על עצמו בפלטפורמת ניהול ודיווח אחת".

על ארסנט
וולט שבלובסקי הוא המייסד והיו"ר הבכיר של Eracent ומכהן כיו"ר החברות הבנות של Eracent (Eracent SP ZOO, ורשה, פולין; Eracent Private LTD בבנגלור, הודו, ו-Eracent Brazil). Eracent עוזרת ללקוחותיה לעמוד באתגרים של ניהול נכסי רשתות IT, רישיונות תוכנה ואבטחת סייבר בסביבות ה-IT המורכבות והמתפתחות של ימינו. הלקוחות הארגוניים של Eracent חוסכים משמעותית בהוצאות התוכנה השנתיות שלהם, מפחיתים את סיכוני הביקורת והאבטחה שלהם ומבססים תהליכי ניהול נכסים יעילים יותר. בסיס הלקוחות של Eracent כולל כמה מהרשתות הארגוניות והממשלתיות הגדולות בעולם וסביבות IT. עשרות חברות Fortune 500 מסתמכות על פתרונות Eracent כדי לנהל ולהגן על הרשתות שלהן. לְבַקֵר https://eracent.com/. 

הפניות:
1) בישוף, פ' (2022, 29 בנובמבר). הפרות ממשלתיות - האם אתה יכול לסמוך על ממשלת ארה"ב עם הנתונים שלך? Comparitech. אוחזר ב-28 באפריל, 2023, מאת comparitech.com/blog/vpn-privacy/us-government-breaches/
2) הצהרת FAA Notam. הצהרת FAA NOTAM | מינהל התעופה הפדרלי. (נד). אוחזר ב-1 בפברואר 2023 מ.faa.gov/newsroom/faa-notam-statement
3) סיכום דוחות ועדויות בנוגע לאבטחת סייבר של DOD מה-1 ביולי 2020, ועד. משרד המפקח הכללי של משרד ההגנה. (2023, 30 בינואר). אוחזר ב-28 באפריל, 2023, מ-dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimony-regarding-dod-cybersecurity-from-july-1-2020/
4) צו ביצוע 14028: שיפור אבטחת הסייבר של המדינה. GSA. (2021, 28 באוקטובר). אוחזר ב-29 במרץ 2023 מ-gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nationals-cybersecurity
5) CISA משחררת מודל בגרות אפס אמון מעודכן: CISA. סוכנות אבטחת סייבר ותשתיות CISA. (2023, 25 באפריל). אוחזר ב-28 באפריל 2023 מ-cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20ציבור%20הערה%20תקופה

בול זמן:

עוד מ אבטחת מחשב