OIG обвиняет Министерство обороны в игнорировании рекомендаций по кибербезопасности более десяти лет

Последствия могут быть катастрофическими, если Министерству обороны, нашей самой большой линии защиты от внутренних и внешних киберугроз, потребуется один день, один час или одна минута, чтобы предпринять корректирующие действия для удаления уязвимого и устаревшего оборудования и программного обеспечения из его критически важной ИТ-инфраструктуры. инфраструктура.

РИГЕЛЬСВИЛЬ, Пенсильвания (PRWEB) 15 мая 2023

Когда Голливуд изображает преступный мир компьютерных хакеров, с захватывающими дух сценами битвы между добрыми и злыми правительственными актерами, пытающимися спасти или уничтожить мир, освещение зловещее, пальцы без усилий летают по нескольким клавиатурам одновременно, открывая и закрывая брандмауэры. молниеносно. А у блестящих федеральных спецслужб всегда есть новейшие высокотехнологичные гаджеты. Но реальность редко оправдывает себя. Пентагон, штаб-квартира Министерства обороны (МО), является мощным символом военной мощи и силы Соединенных Штатов. Однако с 2014 по 2022 год 822 правительственных учреждения стали жертвами кибератак, в результате которых пострадало около 175 миллионов государственных документов, что обошлось примерно в 26 миллиардов долларов. (1) Министерство обороны находится под пристальным вниманием OIG Министерства обороны (Управление генерального инспектора). , и их последний аудиторский отчет бросает тень на репутацию крупнейшего государственного агентства страны. Уолт Шабловски, основатель и исполнительный председатель Скрытный, которая обеспечивает полную прозрачность сетей своих крупных корпоративных клиентов на протяжении более двух десятилетий, предупреждает: «Последствия могут быть катастрофическими, если Министерству обороны, нашей самой большой линии защиты от внутренних и внешних киберугроз, потребуется один день, один час или один час». слишком долго, чтобы предпринять корректирующие действия по удалению уязвимого и устаревшего оборудования и программного обеспечения из своей критической ИТ-инфраструктуры. Архитектура нулевого доверия — самый большой и эффективный инструмент в наборе инструментов кибербезопасности».

Совсем недавно, в январе 2023 года, мир затаил дыхание после того, как FAA инициировала наземную остановку, предотвратив вылет и прибытие всех самолетов. После событий 9 сентября такие крайние меры не принимались. Окончательное решение FAA заключалось в том, что сбой в системе уведомлений о воздушных полетах (NOTAM), отвечающей за предоставление важной информации о безопасности полетов для предотвращения авиакатастроф, был скомпрометирован во время планового технического обслуживания, когда один файл был ошибочно заменен другим. (11) Три недели спустя, OIG Министерства обороны США опубликовала сводку отчетов и свидетельств о кибербезопасности Министерства обороны США за период с 2 июля 1 г. по 2020 июня 30 г. (DODIG-2022-2023), в которой обобщаются несекретные и секретные отчеты и свидетельства, касающиеся кибербезопасности Министерства обороны США.(047)

Согласно отчету OIG, федеральные агентства обязаны следовать рекомендациям Национального института стандартов и технологий (NIST) Framework для улучшения кибербезопасности критической инфраструктуры. Эта структура включает в себя пять столпов — «Идентификация», «Защита», «Обнаружение», «Реагирование» и «Восстановление» — для реализации высокоуровневых мер кибербезопасности, которые работают вместе как комплексная стратегия управления рисками. OIG и другие надзорные органы Министерства обороны сосредоточились в основном на двух столпах — выявлении и защите, уделяя меньше внимания остальным трем — обнаружению, реагированию и восстановлению. В отчете сделан вывод о том, что из 895 рекомендаций, связанных с кибербезопасностью, в текущем и прошлом сводных отчетах у Министерства обороны все еще было 478 открытых проблем безопасности, относящихся к 2012 году. (3)

В мае 2021 года Белый дом издал Исполнительный указ 14028: Улучшение национальной кибербезопасности, требующий от федеральных агентств повысить кибербезопасность и целостность цепочки поставок программного обеспечения путем принятия архитектуры нулевого доверия с директивой об использовании многофакторного шифрования аутентификации. Zero Trust улучшает идентификацию вредоносной киберактивности в федеральных сетях, упрощая общегосударственную систему обнаружения конечных точек и реагирования. Требования к журналу событий кибербезопасности предназначены для улучшения взаимного обмена данными между федеральными государственными учреждениями.(4)

Архитектура нулевого доверия на самом базовом уровне предполагает позицию решительного скептицизма и недоверия к каждому компоненту цепочки поставок кибербезопасности, всегда предполагая наличие внутренних и внешних угроз для сети. Но Zero Trust — это гораздо больше.

Реализации Zero Trust вынуждают организацию наконец:

• Определите защищаемую сеть организации.
• Разработайте процесс и систему для конкретной организации, которые защищают сеть.
• Поддерживайте, модифицируйте и контролируйте систему, чтобы убедиться, что процесс работает.
• Постоянно пересматривайте процесс и изменяйте его для устранения вновь выявленных рисков.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) разрабатывает модель зрелости с нулевым доверием, состоящую из пяти основных компонентов: идентификация, устройства, сеть, данные, приложения и рабочие нагрузки, чтобы помочь государственным учреждениям в разработке и реализации стратегий и решений с нулевым доверием. .(5)

Архитектура с нулевым доверием остается теоретической концепцией без структурированного и проверяемого процесса, такого как Eracent. Инициатива ClearArmor Zero Trust Resource Planning (ZTRP). Его полная структура систематически синтезирует все компоненты, программные приложения, данные, сети и конечные точки, используя анализ аудиторских рисков в режиме реального времени. Успешное развертывание Zero Trust требует, чтобы каждый участник цепочки поставок программного обеспечения убедительно доказал, что ему можно доверять и на него можно положиться.

Обычные инструменты анализа уязвимостей не проводят методичного изучения всех компонентов цепочки поставок приложения, таких как устаревший и устаревший код, который может представлять угрозу безопасности. Шабловски признает и приветствует эти правительственные инициативы, предупреждая: «Нулевое доверие — это четко определенный, управляемый и постоянно развивающийся процесс; это не «один и готово». Первым шагом является определение размера и области действия сети, а также определение того, что необходимо защитить. Каковы самые большие риски и приоритеты? Затем создайте предписанный набор рекомендаций в рамках автоматизированного, непрерывного и воспроизводимого процесса управления на единой платформе управления и отчетности».

О компании
Уолт Шабловски является основателем и исполнительным председателем Eracent, а также председателем дочерних компаний Eracent (Eracent SP ZOO, Варшава, Польша; Eracent Private LTD в Бангалоре, Индия, и Eracent, Бразилия). Eracent помогает своим клиентам решать задачи управления активами ИТ-сетей, лицензиями на программное обеспечение и кибербезопасностью в современных сложных и развивающихся ИТ-средах. Корпоративные клиенты Eracent значительно экономят свои ежегодные расходы на программное обеспечение, снижают риски аудита и безопасности и внедряют более эффективные процессы управления активами. Клиентская база Eracent включает некоторые из крупнейших в мире корпоративных и государственных сетей и ИТ-сред. Десятки компаний из списка Fortune 500 полагаются на решения Eracent для управления и защиты своих сетей. Посещать https://eracent.com/. 

Ссылки:
1) Бишофф, П. (2022, 29 ноября). Правительственные нарушения — можете ли вы доверять правительству США свои данные? Сравнитех. Получено 28 апреля 2023 г. с сайта comparitech.com/blog/vpn-privacy/us-government-breaches/.
2) Заявление FAA Notam. Заявление FAA NOTAM | Федеральная авиационная администрация. (й). Получено 1 февраля 2023 г. с сайта .faa.gov/newsroom/faa-notam-statement.
3) Сводка отчетов и свидетельств о кибербезопасности Министерства обороны США с 1 июля 2020 г. по настоящее время. Управление генерального инспектора Министерства обороны. (2023, 30 января). Получено 28 апреля 2023 г. с сайта dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/.
4) Исполнительный указ 14028: Улучшение национальной кибербезопасности. ГСА. (2021, 28 октября). Получено 29 марта 2023 г. с сайта gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity.
5) CISA выпускает обновленную модель зрелости с нулевым доверием: CISA. Агентство кибербезопасности и безопасности инфраструктуры CISA. (2023, 25 апреля). Получено 28 апреля 2023 г. с сайта cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20публичных%20комментариев%20периода

• SEO-контент и PR-распределение. Получите усиление сегодня.
• ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
• Чеканка будущего с Эдриенн Эшли. Доступ здесь.
• Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
• Источник: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm