Последствия могут быть катастрофическими, если Министерству обороны, нашей самой большой линии защиты от внутренних и внешних киберугроз, потребуется один день, один час или одна минута, чтобы предпринять корректирующие действия для удаления уязвимого и устаревшего оборудования и программного обеспечения из его критически важной ИТ-инфраструктуры. инфраструктура.
РИГЕЛЬСВИЛЬ, Пенсильвания (PRWEB) 15 мая 2023
Когда Голливуд изображает преступный мир компьютерных хакеров, с захватывающими дух сценами битвы между добрыми и злыми правительственными актерами, пытающимися спасти или уничтожить мир, освещение зловещее, пальцы без усилий летают по нескольким клавиатурам одновременно, открывая и закрывая брандмауэры. молниеносно. А у блестящих федеральных спецслужб всегда есть новейшие высокотехнологичные гаджеты. Но реальность редко оправдывает себя. Пентагон, штаб-квартира Министерства обороны (МО), является мощным символом военной мощи и силы Соединенных Штатов. Однако с 2014 по 2022 год 822 правительственных учреждения стали жертвами кибератак, в результате которых пострадало около 175 миллионов государственных документов, что обошлось примерно в 26 миллиардов долларов. (1) Министерство обороны находится под пристальным вниманием OIG Министерства обороны (Управление генерального инспектора). , и их последний аудиторский отчет бросает тень на репутацию крупнейшего государственного агентства страны. Уолт Шабловски, основатель и исполнительный председатель Скрытный, которая обеспечивает полную прозрачность сетей своих крупных корпоративных клиентов на протяжении более двух десятилетий, предупреждает: «Последствия могут быть катастрофическими, если Министерству обороны, нашей самой большой линии защиты от внутренних и внешних киберугроз, потребуется один день, один час или один час». слишком долго, чтобы предпринять корректирующие действия по удалению уязвимого и устаревшего оборудования и программного обеспечения из своей критической ИТ-инфраструктуры. Архитектура нулевого доверия — самый большой и эффективный инструмент в наборе инструментов кибербезопасности».
Совсем недавно, в январе 2023 года, мир затаил дыхание после того, как FAA инициировала наземную остановку, предотвратив вылет и прибытие всех самолетов. После событий 9 сентября такие крайние меры не принимались. Окончательное решение FAA заключалось в том, что сбой в системе уведомлений о воздушных полетах (NOTAM), отвечающей за предоставление важной информации о безопасности полетов для предотвращения авиакатастроф, был скомпрометирован во время планового технического обслуживания, когда один файл был ошибочно заменен другим. (11) Три недели спустя, OIG Министерства обороны США опубликовала сводку отчетов и свидетельств о кибербезопасности Министерства обороны США за период с 2 июля 1 г. по 2020 июня 30 г. (DODIG-2022-2023), в которой обобщаются несекретные и секретные отчеты и свидетельства, касающиеся кибербезопасности Министерства обороны США.(047)
Согласно отчету OIG, федеральные агентства обязаны следовать рекомендациям Национального института стандартов и технологий (NIST) Framework для улучшения кибербезопасности критической инфраструктуры. Эта структура включает в себя пять столпов — «Идентификация», «Защита», «Обнаружение», «Реагирование» и «Восстановление» — для реализации высокоуровневых мер кибербезопасности, которые работают вместе как комплексная стратегия управления рисками. OIG и другие надзорные органы Министерства обороны сосредоточились в основном на двух столпах — выявлении и защите, уделяя меньше внимания остальным трем — обнаружению, реагированию и восстановлению. В отчете сделан вывод о том, что из 895 рекомендаций, связанных с кибербезопасностью, в текущем и прошлом сводных отчетах у Министерства обороны все еще было 478 открытых проблем безопасности, относящихся к 2012 году. (3)
В мае 2021 года Белый дом издал Исполнительный указ 14028: Улучшение национальной кибербезопасности, требующий от федеральных агентств повысить кибербезопасность и целостность цепочки поставок программного обеспечения путем принятия архитектуры нулевого доверия с директивой об использовании многофакторного шифрования аутентификации. Zero Trust улучшает идентификацию вредоносной киберактивности в федеральных сетях, упрощая общегосударственную систему обнаружения конечных точек и реагирования. Требования к журналу событий кибербезопасности предназначены для улучшения взаимного обмена данными между федеральными государственными учреждениями.(4)
Архитектура нулевого доверия на самом базовом уровне предполагает позицию решительного скептицизма и недоверия к каждому компоненту цепочки поставок кибербезопасности, всегда предполагая наличие внутренних и внешних угроз для сети. Но Zero Trust — это гораздо больше.
Реализации Zero Trust вынуждают организацию наконец:
- Определите защищаемую сеть организации.
- Разработайте процесс и систему для конкретной организации, которые защищают сеть.
- Поддерживайте, модифицируйте и контролируйте систему, чтобы убедиться, что процесс работает.
- Постоянно пересматривайте процесс и изменяйте его для устранения вновь выявленных рисков.
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) разрабатывает модель зрелости с нулевым доверием, состоящую из пяти основных компонентов: идентификация, устройства, сеть, данные, приложения и рабочие нагрузки, чтобы помочь государственным учреждениям в разработке и реализации стратегий и решений с нулевым доверием. .(5)
Архитектура с нулевым доверием остается теоретической концепцией без структурированного и проверяемого процесса, такого как Eracent. Инициатива ClearArmor Zero Trust Resource Planning (ZTRP). Его полная структура систематически синтезирует все компоненты, программные приложения, данные, сети и конечные точки, используя анализ аудиторских рисков в режиме реального времени. Успешное развертывание Zero Trust требует, чтобы каждый участник цепочки поставок программного обеспечения убедительно доказал, что ему можно доверять и на него можно положиться.
Обычные инструменты анализа уязвимостей не проводят методичного изучения всех компонентов цепочки поставок приложения, таких как устаревший и устаревший код, который может представлять угрозу безопасности. Шабловски признает и приветствует эти правительственные инициативы, предупреждая: «Нулевое доверие — это четко определенный, управляемый и постоянно развивающийся процесс; это не «один и готово». Первым шагом является определение размера и области действия сети, а также определение того, что необходимо защитить. Каковы самые большие риски и приоритеты? Затем создайте предписанный набор рекомендаций в рамках автоматизированного, непрерывного и воспроизводимого процесса управления на единой платформе управления и отчетности».
О компании
Уолт Шабловски является основателем и исполнительным председателем Eracent, а также председателем дочерних компаний Eracent (Eracent SP ZOO, Варшава, Польша; Eracent Private LTD в Бангалоре, Индия, и Eracent, Бразилия). Eracent помогает своим клиентам решать задачи управления активами ИТ-сетей, лицензиями на программное обеспечение и кибербезопасностью в современных сложных и развивающихся ИТ-средах. Корпоративные клиенты Eracent значительно экономят свои ежегодные расходы на программное обеспечение, снижают риски аудита и безопасности и внедряют более эффективные процессы управления активами. Клиентская база Eracent включает некоторые из крупнейших в мире корпоративных и государственных сетей и ИТ-сред. Десятки компаний из списка Fortune 500 полагаются на решения Eracent для управления и защиты своих сетей. Посещать https://eracent.com/.
Ссылки:
1) Бишофф, П. (2022, 29 ноября). Правительственные нарушения — можете ли вы доверять правительству США свои данные? Сравнитех. Получено 28 апреля 2023 г. с сайта comparitech.com/blog/vpn-privacy/us-government-breaches/.
2) Заявление FAA Notam. Заявление FAA NOTAM | Федеральная авиационная администрация. (й). Получено 1 февраля 2023 г. с сайта .faa.gov/newsroom/faa-notam-statement.
3) Сводка отчетов и свидетельств о кибербезопасности Министерства обороны США с 1 июля 2020 г. по настоящее время. Управление генерального инспектора Министерства обороны. (2023, 30 января). Получено 28 апреля 2023 г. с сайта dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/.
4) Исполнительный указ 14028: Улучшение национальной кибербезопасности. ГСА. (2021, 28 октября). Получено 29 марта 2023 г. с сайта gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity.
5) CISA выпускает обновленную модель зрелости с нулевым доверием: CISA. Агентство кибербезопасности и безопасности инфраструктуры CISA. (2023, 25 апреля). Получено 28 апреля 2023 г. с сайта cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20публичных%20комментариев%20периода
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
- Источник: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm
- :имеет
- :является
- :нет
- ][п
- $UP
- 1
- 15%
- 2012
- 2014
- 2020
- 2021
- 2022
- 2023
- 250
- 28
- 30
- 500
- a
- через
- действия
- деятельность
- актеры
- адрес
- администрация
- Принятие
- затрагивающий
- После
- против
- агентствах
- агентство
- AIR
- самолет
- Все
- вдоль
- всегда
- an
- анализ
- и
- и инфраструктура
- годовой
- Другой
- Приложения
- примерно
- апрель
- архитектура
- МЫ
- AS
- активы
- управление активами
- Активы
- помощь
- At
- аудит
- проверяемый
- Аутентификация
- Автоматизированный
- авиация
- назад
- Использование темпера с изогнутым основанием
- основной
- Боевой
- BE
- было
- не являетесь
- между
- Beyond
- Крупнейшая
- миллиард
- Черный
- Бразилия
- нарушения
- Дыхание
- но
- by
- CAN
- катастрофический
- цепь
- Кресла
- председатель
- проблемы
- классифицированный
- явно
- клиент
- клиентов
- закрытие
- код
- собирательный
- Компании
- полный
- комплекс
- компонент
- компоненты
- комплексный
- Ослабленный
- компьютер
- сама концепция
- в заключении исследования, финансируемого Центрами по контролю и профилактике заболеваний (CDC) и написанного бывшим начальником полиции Вермонта
- постоянно
- составной
- (CIJ)
- непрерывно
- Корпоративное
- Цена
- может
- Создайте
- критической
- Критическая инфраструктура
- решающее значение
- Текущий
- Клиенты
- кибер-
- информационная безопасность
- кибератаки
- Информационная безопасность
- киберугрозы
- данным
- Знакомства
- день
- десятилетия
- Защита
- определенный
- Кафедра
- Министерство обороны
- Отправление
- развертывание
- Проект
- предназначенный
- обнаружение
- развивающийся
- Развитие
- Устройства
- бедствия
- do
- сделанный
- сомневаюсь
- вниз
- множество
- в течение
- Эффективный
- эффективный
- акцент
- шифрование
- Конечная точка
- повышать
- Усиливает
- обеспечивать
- Предприятие
- лиц
- средах
- установить
- События
- События
- Каждая
- развивается
- исполнительный
- распоряжение
- и, что лучший способ
- экстремальный
- Глаза
- FAA
- облегчающий
- далеко
- февраль
- Федеральный
- Федеральное правительство
- Файл
- окончательный
- в заключение
- межсетевые экраны
- Во-первых,
- внимание
- следовать
- Что касается
- Форс-мажор
- Fortune
- основатель
- Рамки
- от
- Общие
- хорошо
- Правительство
- величайший
- земля
- методические рекомендации
- Хакеры
- было
- Аппаратные средства
- Есть
- Штаб-квартира
- Герой
- помогает
- Голливуд
- час
- Вилла / Бунгало
- Однако
- HTTPS
- Идентификация
- определения
- Личность
- if
- изображение
- осуществлять
- реализация
- последствия
- улучшать
- улучшение
- in
- включает в себя
- Индия
- информация
- Инфраструктура
- инициативы
- Институт
- целостность
- Интеллекта
- в нашей внутренней среде,
- в
- Выпущен
- вопросы
- IT
- ЕГО
- январь
- июль
- июнь
- большой
- крупнейших
- новее
- последний
- Меньше
- уровень
- лицензии
- Освещение
- молния
- Скорость молнии
- такое как
- линия
- журнал
- Длинное
- ООО
- поддерживать
- техническое обслуживание
- управлять
- управляемого
- управление
- управления
- Март
- зрелость
- Модель зрелости
- Май..
- меры
- Встречайте
- может быть
- военный
- миллиона
- минут
- миссиях
- недоверие
- модель
- изменять
- монитор
- БОЛЕЕ
- более эффективным
- самых
- много
- многофакторная аутентификация
- с разными
- народ
- национальный
- Наций
- почти
- потребности
- сеть
- сетей
- Новости
- NIST
- Уведомление..
- Ноябрь
- устаревший
- октябрь
- of
- Офис
- on
- консолидировать
- ONE
- открытый
- открытие
- or
- заказ
- организация
- Другое
- наши
- перебой в работе
- за
- надзор
- собственный
- мимо
- пятиугольник
- планирование
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Польша
- мощный
- предотвращать
- предупреждение
- в первую очередь
- частная
- процесс
- Процессы
- для защиты
- защищенный
- Доказывать
- при условии
- обеспечение
- публично
- реального времени
- Реальность
- последний
- недавно
- рекомендаций
- учет
- Recover
- уменьшить
- по
- выпустил
- публикации
- полагаться
- осталось
- остатки
- удаление
- повторяемый
- заменить
- отчету
- Reporting
- Отчеты
- репутация
- обязательный
- Требования
- требуется
- ресурс
- Реагируйте
- ответ
- ответственный
- обзоре
- Снижение
- управление рисками
- рисках,
- s
- Сохранность
- Сохранить
- Сцены
- сфера
- безопасность
- риски безопасности
- служит
- набор
- существенно
- с
- одинарной
- Размер
- Скептицизм
- Software
- Решения
- некоторые
- скорость
- тратить
- стандартов
- заявление
- Области
- Шаг
- По-прежнему
- Stop
- стратегий
- Стратегия
- прочность
- структурированный
- успешный
- такие
- РЕЗЮМЕ
- поставка
- цепочками поставок
- символ
- система
- взять
- принимает
- Сложность задачи
- Технологии
- 10
- чем
- который
- Ассоциация
- мир
- их
- тогда
- теоретический
- Эти
- этой
- угрозы
- три
- Через
- в
- Сегодняшних
- вместе
- слишком
- инструментом
- Ящик для инструментов
- инструменты
- Доверие
- надежных
- два
- под
- Объединенный
- США
- обновление
- на
- us
- правительство США
- через
- жертвы
- видимость
- Войти
- уязвимость
- предупреждает
- Варшава
- законопроект
- Недели
- Что
- когда
- который
- в то время как
- белый
- Белый дом
- без
- Работа
- работать вместе
- работает
- Мир
- мире
- лет
- Ты
- ВАШЕ
- зефирнет
- нуль
- нулевое доверие
- ZOO