OIG는 XNUMX년 넘게 사이버 보안 권장 사항을 무시한 DoD를 과제로 삼았습니다.

내부 및 외부 사이버 위협에 대한 가장 큰 방어선인 DoD가 중요한 IT에서 취약성이 가득하고 쓸모 없는 하드웨어 및 소프트웨어를 제거하기 위해 시정 조치를 취하는 데 하루, 한 시간 또는 XNUMX분이 너무 오래 걸린다면 그 의미는 재앙이 될 수 있습니다. 하부 구조.

리겔스빌, 펜실베니아 (PRWEB) 2023 년 5 월 15 일

헐리우드가 컴퓨터 해커의 암흑세계를 묘사할 때 세상을 구하거나 무너뜨리려는 선과 악 정부 행위자들 사이의 전투 장면이 맥박이 뛰는 장면과 함께 불길한 조명, 방화벽을 열고 닫는 동안 손가락이 한 번에 여러 키보드를 쉽게 넘나듭니다. 빛의 속도로. 그리고 매끄러운 연방 정보 기관은 항상 최신의 화려한 하이테크 장치를 가지고 있습니다. 그러나 현실은 거의 측정되지 않습니다. 국방부(DoD)의 본부인 펜타곤은 미국의 군사력과 힘의 강력한 상징입니다. 그러나 2014년부터 2022년까지 822개의 정부 기관이 사이버 공격의 피해자가 되어 약 175억 달러의 비용으로 약 26억 1만 개의 정부 기록에 영향을 미쳤습니다.(XNUMX) DoD는 DoD OIG(Office of Inspector General)의 감시하에 있습니다. , 그리고 가장 최근의 감사 보고서는 미국 최대 정부 기관의 명성에 눈이 멀었습니다. Walt Szablowski, 창립자 겸 회장 에라센트XNUMX년 이상 대기업 고객의 네트워크에 대한 완전한 가시성을 제공해 온 는 다음과 같이 경고합니다. 중요한 IT 인프라에서 취약성이 가득하고 사용되지 않는 하드웨어 및 소프트웨어를 제거하기 위한 시정 조치를 취하기에는 너무 오래 걸립니다. 제로 트러스트 아키텍처는 사이버 보안 도구 상자에서 가장 크고 효과적인 도구입니다.”

2023년 9월까지만 해도 FAA가 모든 항공기의 이착륙을 금지하는 지상 정지 조치를 취한 후 세계는 숨을 죽였습니다. 11/2 사건 이후로 그런 극단적인 조치가 취해진 적이 없습니다. FAA의 최종 판단은 항공 재해를 방지하기 위해 중요한 안전 정보를 제공하는 NOTAM(Notice to Air Missions) 시스템의 정전이 일상적인 유지 관리 중에 한 파일이 다른 파일로 실수로 교체되어 손상되었다는 것입니다.(1) 2020주 후, DoD OIG는 30년 2022월 2023일부터 047년 3월 XNUMX일까지 DoD 사이버 보안에 관한 보고서 및 증언 요약(DODIG-XNUMX-XNUMX) 감사를 공개하여 DoD 사이버 보안에 관한 미분류 및 기밀 보고서 및 증언을 요약했습니다.(XNUMX)

OIG 보고서에 따르면 연방 기관은 중요 인프라 사이버 보안 개선을 위한 NIST(National Institute of Standards and Technology) 프레임워크의 지침을 따라야 합니다. 이 프레임워크에는 포괄적인 위험 관리 전략으로 함께 작동하는 높은 수준의 사이버 보안 조치를 구현하기 위한 식별, 보호, 탐지, 대응 및 복구의 895가지 기둥이 포함되어 있습니다. OIG 및 기타 DoD 감독 기관은 식별 및 보호라는 두 가지 기둥에 주로 초점을 맞추었고 나머지 세 가지인 감지, 대응 및 복구는 덜 강조했습니다. 이 보고서는 현재 및 과거 요약 보고서의 478개 사이버 보안 관련 권장 사항 중 DoD가 2012년까지 거슬러 올라가는 3개의 공개 보안 문제를 가지고 있다고 결론지었습니다.(XNUMX)

2021년 14028월 백악관은 행정 명령 4: 국가 사이버 보안 개선을 발표하여 연방 기관이 다단계 인증 암호화를 사용하라는 지침과 함께 제로 트러스트 아키텍처를 채택하여 사이버 보안 및 소프트웨어 공급망 무결성을 강화하도록 요구했습니다. 제로 트러스트는 정부 차원의 엔드포인트 탐지 및 대응 시스템을 촉진하여 연방 네트워크에서 악의적인 사이버 활동 식별을 향상시킵니다. 사이버 보안 이벤트 로그 요구 사항은 연방 정부 기관 간의 상호 통신을 개선하도록 설계되었습니다.(XNUMX)

가장 기본적인 수준에서 제로 트러스트 아키텍처는 네트워크에 대한 내부 및 외부 위협의 존재를 항상 전제함으로써 사이버 보안 공급망을 따라 모든 구성 요소에 대한 단호한 회의론과 불신의 자세를 취합니다. 그러나 제로 트러스트는 그 이상입니다.

제로 트러스트를 구현하면 조직은 최종적으로 다음을 수행해야 합니다.

• 방어 중인 조직의 네트워크를 정의합니다.
• 네트워크를 보호하는 조직별 프로세스 및 시스템을 설계합니다.
• 프로세스가 작동하는지 확인하기 위해 시스템을 유지 관리, 수정 및 모니터링합니다.
• 프로세스를 지속적으로 검토하고 새로 정의된 위험을 처리하도록 수정하십시오.

CISA(Cybersecurity and Infrastructure Security Agency)는 제로 트러스트 전략 및 솔루션의 개발 및 구현에서 정부 기관을 지원하기 위해 ID, 장치, 네트워크, 데이터, 애플리케이션 및 워크로드의 5가지 기둥으로 제로 트러스트 성숙도 모델을 개발하고 있습니다. .(XNUMX)

제로 트러스트 아키텍처는 Eracent와 같이 구조화되고 감사 가능한 프로세스가 없는 이론적 개념으로 남아 있습니다. ZTRP(ClearArmor Zero Trust Resource Planning) 이니셔티브. 요약되지 않은 프레임워크는 실시간 감사 위험 분석을 사용하여 모든 구성 요소, 소프트웨어 애플리케이션, 데이터, 네트워크 및 엔드포인트를 체계적으로 합성합니다. 제로 트러스트를 성공적으로 구축하려면 소프트웨어 공급망의 모든 구성원이 신뢰할 수 있고 신뢰할 수 있음을 의심할 여지 없이 증명해야 합니다.

기존의 취약성 분석 도구는 보안 위험을 초래할 수 있는 오래되고 사용되지 않는 코드와 같은 애플리케이션 공급망의 모든 구성 요소를 체계적으로 조사하지 않습니다. Szablowski는 이러한 정부 이니셔티브를 인정하고 찬사를 보냅니다. “제로 트러스트는 명확하게 정의되고 관리되며 지속적으로 발전하는 프로세스입니다. 그것은 '하나로 끝났다'가 아닙니다. 첫 번째 단계는 네트워크의 크기와 범위를 정의하고 무엇을 보호해야 하는지 식별하는 것입니다. 가장 큰 위험과 우선 순위는 무엇입니까? 그런 다음 단일 관리 및 보고 플랫폼에서 자동화되고 지속적이며 반복 가능한 관리 프로세스로 규정된 지침 세트를 만듭니다.”

에라센트 소개
Walt Szablowski는 Eracent의 창립자이자 회장이며 Eracent 자회사(폴란드 바르샤바의 Eracent SP ZOO, 인도 방갈로르의 Eracent Private LTD, 브라질 Eracent)의 회장직을 맡고 있습니다. Eracent는 고객이 오늘날의 복잡하고 진화하는 IT 환경에서 IT 네트워크 자산, 소프트웨어 라이센스 및 사이버 보안을 관리하는 문제를 해결할 수 있도록 지원합니다. Eracent의 기업 고객은 연간 소프트웨어 지출을 크게 절감하고 감사 및 보안 위험을 줄이며 보다 효율적인 자산 관리 프로세스를 구축합니다. Eracent의 클라이언트 기반에는 세계 최대 기업 및 정부 네트워크와 IT 환경이 포함됩니다. Fortune지 선정 500대 기업 중 수십 곳이 Eracent 솔루션을 사용하여 네트워크를 관리하고 보호합니다. 방문하다 https://eracent.com/. 

참조 :
1) Bischoff, P. (2022년 29월 28일). 정부 침해 – 미국 정부의 데이터를 신뢰할 수 있습니까? 비교기술 2023년 XNUMX월 XNUMX일 comparitech.com/blog/vpn-privacy/us-government-breaches/에서 검색함
2) FAA 노탐 성명. FAA NOTAM 성명서 | 미국 연방 항공국. (일차). 1년 2023월 XNUMX일 검색, from.faa.gov/newsroom/faa-notam-statement
3) 1년 2020월 2023일부터 국방부 사이버 보안에 관한 보고서 및 증언 요약. 국방부 감찰실. (30년 28월 2023일). 3284561년 1월 2020일 dodig.mil/reports.html/Article/XNUMX/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-XNUMX-XNUMX/에서 검색함
4) 행정 명령 14028: 국가의 사이버 보안 개선. GSA. (2021년 28월 29일). 2023년 14028월 XNUMX일 gsa.gov/technology/technology-products-services/it-security/executive-order-XNUMX-improving-the-nations-cybersecurity에서 검색함
5) CISA는 업데이트된 제로 트러스트 성숙도 모델인 CISA를 출시합니다. 사이버 보안 및 인프라 보안 기관 CISA. (2023년 25월 28일). 2023년 20월 20일 검색, cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%202021of%20the,the%20% 20공개%XNUMX댓글%XNUMX기간

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
• PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
• 출처: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm