The OIG Takes The DoD To Task For Ignoring Cybersecurity Recommendations For Over Ten Years

Republicat de Platon

Urmaritori: 0

Implicațiile ar putea fi catastrofale dacă DoD, cea mai mare linie de apărare a noastră împotriva amenințărilor cibernetice interne și externe, ia o zi, o oră sau un minut prea mult pentru a lua măsuri corective pentru a elimina hardware-ul și software-ul învechit și plin de vulnerabilități din IT-ul său critic. infrastructură.

RIEGELSVILLE, Pa. (PRWEB) 15 Mai, 2023

Când Hollywood înfățișează lumea interlopă a hackerilor de computere, cu scene zguduitoare ale unei bătălii între actori guvernamentali buni și răi care încearcă să salveze sau să doboare lumea, iluminarea este de rău augur, degetele zboară fără efort pe mai multe tastaturi simultan în timp ce deschid și închid firewall-uri. cu viteza fulgerului. Și agențiile federale de informații au întotdeauna cele mai noi în materie de gadgeturi strălucitoare, de înaltă tehnologie. Dar realitatea rareori se ridică la înălțime. Pentagonul, sediul Departamentului de Apărare (DoD), este un simbol puternic al puterii și puterii militare a Statelor Unite. Cu toate acestea, din 2014 până în 2022, 822 de agenții guvernamentale au fost victimele atacurilor cibernetice, afectând aproape 175 de milioane de înregistrări guvernamentale la un cost de aproximativ 26 de miliarde de dolari. , iar cel mai recent raport al lor de audit este un ochi negru asupra reputației celei mai mari agenții guvernamentale a națiunii. Walt Szablowski, fondator și președinte executiv al Eracent, care a oferit vizibilitate completă asupra rețelelor clienților săi mari întreprinderi de peste două decenii, avertizează: „Implicațiile ar putea fi catastrofale dacă DoD, cea mai mare linie de apărare a noastră împotriva amenințărilor cibernetice interne și externe, durează o zi, o oră sau o singură zi. minut prea mult pentru a lua măsuri corective pentru a elimina hardware-ul și software-ul învechit și plin de vulnerabilități din infrastructura sa IT critică. Arhitectura Zero Trust este cel mai mare și mai eficient instrument din setul de instrumente de securitate cibernetică.”

În ianuarie 2023, lumea și-a ținut respirația colectivă după ce FAA a inițiat o oprire la sol, împiedicând toate plecările și sosiri de aeronave. De la evenimentele de la 9 septembrie nu s-au luat măsuri atât de extreme. Hotărârea finală a FAA a fost că o întrerupere a sistemului Notice to Air Missions (NOTAM) responsabil pentru furnizarea de informații esențiale de siguranță pentru a preveni dezastrele aeriene a fost compromisă în timpul întreținerii de rutină, când un fișier a fost înlocuit din greșeală cu altul.(11) Trei săptămâni mai târziu, DoD OIG a lansat public Rezumatul rapoartelor și mărturiilor cu privire la securitatea cibernetică DoD de la 2 iulie 1, până la 2020 iunie 30 (DODIG-2022-2023), auditul care rezumă rapoartele și mărturiile neclasificate și clasificate cu privire la securitatea cibernetică DoD.(047)

Potrivit raportului OIG, agențiile federale sunt obligate să urmeze liniile directoare ale cadrului Institutului Național de Standarde și Tehnologie (NIST) pentru îmbunătățirea securității cibernetice a infrastructurii critice. Cadrul include cinci piloni – Identificare, Protecție, Detectare, Răspuns și Recuperare – pentru a implementa măsuri de securitate cibernetică la nivel înalt care funcționează împreună ca o strategie cuprinzătoare de gestionare a riscurilor. OIG și alte entități de supraveghere ale DoD s-au concentrat în principal pe doi piloni - Identificare și Protecție, cu mai puțin accent pe restul de trei - Detectare, Răspuns și Recuperare. Raportul a concluzionat că dintre cele 895 de recomandări legate de securitatea cibernetică din rapoartele de sinteză actuale și anterioare, DoD avea încă 478 de probleme de securitate deschise începând cu 2012.(3)

În mai 2021, Casa Albă a emis Ordinul Executiv 14028: Îmbunătățirea securității cibernetice a națiunii, solicitând agențiilor federale să îmbunătățească securitatea cibernetică și integritatea lanțului de aprovizionare cu software prin adoptarea Arhitecturii Zero Trust cu o directivă de a folosi criptarea autentificarea multifactorială. Zero Trust îmbunătățește identificarea activităților cibernetice rău intenționate în rețelele federale, facilitând un sistem de detectare și răspuns la nivelul întregului punct final. Cerințele pentru jurnalul de evenimente de securitate cibernetică sunt concepute pentru a îmbunătăți comunicarea încrucișată între agențiile guvernamentale federale.(4)

Arhitectura Zero Trust, la nivelul său cel mai de bază, își asumă postura de scepticism ferm și neîncredere față de fiecare componentă de-a lungul lanțului de aprovizionare a securității cibernetice, presupunând întotdeauna existența amenințărilor interne și externe la adresa rețelei. Dar Zero Trust este mult mai mult decât atât.

Implementările Zero Trust forțează organizația să:

Definiți rețeaua organizației care este apărată.
Proiectați un proces și un sistem specific organizației care protejează rețeaua.
Mențineți, modificați și monitorizați sistemul pentru a vă asigura că procesul funcționează.
Revizuiți în mod constant procesul și modificați-l pentru a aborda riscurile nou definite.

Agenția de securitate cibernetică și a infrastructurii (CISA) dezvoltă un model de maturitate zero încredere cu propriii săi cinci piloni — identitate, dispozitive, rețea, date și aplicații și sarcini de lucru — pentru a ajuta agențiile guvernamentale în dezvoltarea și implementarea strategiilor și soluțiilor Zero Trust. .(5)

Arhitectura Zero Trust rămâne un concept teoretic fără un proces structurat și auditabil precum cel al lui Eracent Inițiativa ClearArmor Zero Trust Resource Planning (ZTRP).. Cadrul său neprelucrat sintetizează sistematic toate componentele, aplicațiile software, datele, rețelele și punctele finale folosind analiza riscului de audit în timp real. Implementarea cu succes a Zero Trust necesită ca fiecare parte din lanțul de aprovizionare software să demonstreze fără îndoială că se poate avea încredere în el.

Instrumentele convenționale de analiză a vulnerabilităților nu examinează metodic toate componentele lanțului de aprovizionare al unei aplicații, cum ar fi codul învechit și învechit, care poate prezenta un risc de securitate. Szablowski recunoaște și aplaudă aceste inițiative guvernamentale, avertizând: „Zero Trust este un proces clar definit, gestionat și în continuă evoluție; nu este „una și gata”. Primul pas este definirea dimensiunii și domeniul de aplicare a rețelei și identificarea a ceea ce trebuie protejat. Care sunt cele mai mari riscuri și priorități? Apoi creați un set prescris de linii directoare într-un proces de management automat, continuu și repetabil pe o singură platformă de management și raportare.”

Despre Eracent
Walt Szablowski este fondatorul și președintele executiv al Eracent și servește ca președinte al filialelor Eracent (Eracent SP ZOO, Varșovia, Polonia; Eracent Private LTD din Bangalore, India și Eracent Brazilia). Eracent își ajută clienții să facă față provocărilor legate de gestionarea activelor rețelei IT, a licențelor software și a securității cibernetice în mediile IT complexe și în evoluție de astăzi. Clienții de întreprindere ai Eracent economisesc semnificativ din cheltuielile lor anuale pentru software, își reduc riscurile de audit și securitate și stabilesc procese mai eficiente de gestionare a activelor. Baza de clienți a lui Eracent include unele dintre cele mai mari rețele corporative și guvernamentale și medii IT din lume. Zeci de companii din Fortune 500 se bazează pe soluțiile Eracent pentru a-și gestiona și proteja rețelele. Vizita https://eracent.com/. 

Referinte:
1) Bischoff, P. (2022 noiembrie 29). Încălcări guvernamentale – poți avea încredere în guvernul SUA cu datele tale? Comparitech. Preluat la 28 aprilie 2023, de pe comparitech.com/blog/vpn-privacy/us-government-breaches/
2) Declarația FAA Notam. Declarație FAA NOTAM | Administrația Federală a Aviației. (nd). Preluat la 1 februarie 2023, de la.faa.gov/newsroom/faa-notam-statement
3) Rezumatul rapoartelor și mărturiilor privind securitatea cibernetică DOD de la 1 iulie 2020 până la. Departamentul Apărării Biroul Inspectorului General. (2023, 30 ianuarie). Preluat la 28 aprilie 2023, de pe dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Ordinul executiv 14028: Îmbunătățirea securității cibernetice a națiunii. GSA. (2021 octombrie 28). Preluat la 29 martie 2023, de pe gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA lansează modelul actualizat cu maturitate zero încredere: CISA. Agenția de Securitate Cibernetică și Securitate a Infrastructurii CISA. (2023, 25 aprilie). Preluat la 28 aprilie 2023, de pe cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20public%20comment%20period