The OIG Takes The DoD To Task For Ignoring Cybersecurity Recommendations For Over Ten Years

Ponovno objavil Platon

Spremljevalci: 0

Posledice so lahko katastrofalne, če Ministrstvo za obrambo, naša največja obrambna linija pred notranjimi in zunanjimi kibernetskimi grožnjami, potrebuje en dan, eno uro ali minuto predolgo, da sprejme popravne ukrepe za odstranitev zastarele strojne in programske opreme, polne ranljivosti, iz svojega kritičnega IT-ja. infrastrukturo.

RIEGELSVILLE, Pa. (PRWEB) Maj 15, 2023

Ko Hollywood prikazuje podzemlje računalniških hekerjev, z utripajočimi prizori bitke med dobrimi in zlimi vladnimi akterji, ki poskušajo rešiti ali uničiti svet, je osvetlitev zlovešča, prsti lahkotno letijo po več tipkovnicah hkrati, medtem ko odpirajo in zapirajo požarne zidove. z bliskovito hitrostjo. In prefinjene zvezne obveščevalne agencije imajo vedno najnovejše bleščeče, visokotehnološke pripomočke. Toda realnost le redko ustreza. Pentagon, sedež Ministrstva za obrambo (DoD), je močan simbol vojaške moči in moči Združenih držav. Vendar pa je bilo od leta 2014 do leta 2022 822 vladnih agencij žrtev kibernetskih napadov, ki so prizadeli skoraj 175 milijonov vladnih zapisov s stroški približno 26 milijard USD.(1) Ministrstvo za obrambo je pod budnim očesom Ministrstva za obrambo OIG (Urad generalnega inšpektorja). , njihovo najnovejše revizijsko poročilo pa je črno oko ugledu največje državne agencije v državi. Walt Szablowski, ustanovitelj in izvršni predsednik Eracent, ki že več kot dve desetletji zagotavlja popolno preglednost omrežij svojih velikih poslovnih strank, opozarja: »Posledice bi lahko bile katastrofalne, če bi ministrstvo za obrambo, naša največja obrambna linija pred notranjimi in zunanjimi kibernetskimi grožnjami, potrebovalo en dan, eno uro ali eno minuto predolgo za sprejetje korektivnih ukrepov za odstranitev zastarele strojne in programske opreme, polne ranljivosti, iz svoje kritične infrastrukture IT. Zero Trust Architecture je največje in najučinkovitejše orodje v kompletu orodij za kibernetsko varnost.«

Šele januarja 2023 je svet kolektivno zastal dih, potem ko je FAA sprožila zaustavitev na tleh, ki je preprečila vse odhode in prihode letal. Od dogodkov 9. septembra še nikoli niso bili sprejeti tako skrajni ukrepi. Končna sodba FAA je bila, da je bil izpad v sistemu obvestil o letalskih misijah (NOTAM), ki je odgovoren za zagotavljanje ključnih varnostnih informacij za preprečevanje letalskih nesreč, ogrožen med rutinskim vzdrževanjem, ko je bila ena datoteka pomotoma zamenjana z drugo. (11) Tri tedne pozneje je Ministrstvo za obrambo OIG je javno objavilo svoj povzetek poročil in pričevanj o kibernetski varnosti Ministrstva za obrambo od 2. julija 1 do 2020. junija 30 (DODIG-2022-2023), ki povzema nerazvrščena in tajna poročila in pričevanja glede kibernetske varnosti Ministrstva za obrambo. (047)

V skladu s poročilom OIG morajo zvezne agencije upoštevati smernice okvira Nacionalnega inštituta za standarde in tehnologijo (NIST) za izboljšanje kibernetske varnosti kritične infrastrukture. Okvir vključuje pet stebrov – Prepoznavanje, Zaščita, Zaznavanje, Odzivanje in Obnova – za izvajanje ukrepov kibernetske varnosti na visoki ravni, ki delujejo skupaj kot celovita strategija obvladovanja tveganja. OIG in drugi nadzorni organi Ministrstva za obrambo so se osredotočili predvsem na dva stebra — Prepoznavanje in Zaščita, z manjšim poudarkom na preostalih treh — Odkrivanje, Odzivanje in Obnova. Poročilo ugotavlja, da ima Ministrstvo za obrambo od 895 priporočil, povezanih s kibernetsko varnostjo v trenutnem in preteklih zbirnih poročilih, še vedno 478 odprtih varnostnih vprašanj, ki izvirajo iz leta 2012. (3)

Maja 2021 je Bela hiša izdala izvršilno odredbo 14028: Izboljšanje kibernetske varnosti države, ki od zveznih agencij zahteva, da izboljšajo kibernetsko varnost in celovitost dobavne verige programske opreme s sprejetjem arhitekture ničelnega zaupanja z direktivo za uporabo šifriranja večfaktorske avtentikacije. Zero Trust izboljšuje identifikacijo zlonamerne kibernetske dejavnosti v zveznih omrežjih tako, da omogoča sistem za odkrivanje in odziv na končne točke za celotno državo. Zahteve za dnevnik dogodkov kibernetske varnosti so zasnovane za izboljšanje navzkrižne komunikacije med zveznimi vladnimi agencijami.(4)

Arhitektura ničelnega zaupanja na svoji najosnovnejši ravni prevzema držo odločnega skepticizma in nezaupanja do vsake komponente vzdolž dobavne verige kibernetske varnosti, tako da vedno predpostavlja obstoj notranjih in zunanjih groženj omrežju. Toda Zero Trust je veliko več kot to.

Izvedbe Zero Trust prisilijo organizacijo, da končno:

Določite omrežje organizacije, ki se brani.
Oblikujte proces in sistem, specifičen za organizacijo, ki ščiti omrežje.
Vzdržujte, spreminjajte in spremljajte sistem, da zagotovite, da proces deluje.
Nenehno pregledujte proces in ga spreminjajte, da bo obravnaval novo opredeljena tveganja.

Agencija za kibernetsko varnost in infrastrukturno varnost (CISA) razvija model Zero Trust Maturity Model z lastnimi petimi stebri – identiteto, napravami, omrežjem, podatki ter aplikacijami in delovnimi obremenitvami – za pomoč vladnim agencijam pri razvoju in izvajanju strategij in rešitev ničelnega zaupanja. .(5)

Arhitektura ničelnega zaupanja ostaja teoretičen koncept brez strukturiranega in revizijskega procesa, kot je Eracentov Pobuda ClearArmor Zero Trust Resource Planning (ZTRP).. Njegov neskrajšan okvir sistematično sintetizira vse komponente, programske aplikacije, podatke, omrežja in končne točke z uporabo analize revizijskega tveganja v realnem času. Uspešna uvedba Zero Trust zahteva, da vsak sestavni del dobavne verige programske opreme nedvomno dokaže, da mu lahko zaupamo in se nanj lahko zanesemo.

Konvencionalna orodja za analizo ranljivosti ne pregledujejo metodično vseh komponent dobavne verige aplikacije, kot je zastarela in zastarela koda, ki lahko predstavlja varnostno tveganje. Szablowski priznava in pozdravlja te vladne pobude ter opozarja: »Ničelno zaupanje je jasno opredeljen, upravljan in nenehno razvijajoč se proces; ni "eno in končano". Prvi korak je opredelitev velikosti in obsega omrežja ter ugotovitev, kaj je treba zaščititi. Katera so največja tveganja in prioritete? Nato ustvarite predpisan nabor smernic v avtomatiziranem, neprekinjenem in ponovljivem procesu upravljanja na eni sami platformi za upravljanje in poročanje.«

O Eracentu
Walt Szablowski je ustanovitelj in izvršni predsednik Eracenta in je predsednik Eracentovih podružnic (Eracent SP ZOO, Varšava, Poljska; Eracent Private LTD v Bangaloreju, Indija, in Eracent Brazilija). Eracent pomaga svojim strankam pri soočanju z izzivi upravljanja omrežnih sredstev IT, licenc programske opreme in kibernetske varnosti v današnjih zapletenih in razvijajočih se okoljih IT. Eracentove poslovne stranke znatno prihranijo pri letni porabi programske opreme, zmanjšajo revizijska in varnostna tveganja ter vzpostavijo učinkovitejše procese upravljanja sredstev. Eracentova baza strank vključuje nekatera največja svetovna korporativna in vladna omrežja ter IT okolja. Več deset podjetij s seznama Fortune 500 se pri upravljanju in zaščiti svojih omrežij zanaša na rešitve Eracent. Obisk https://eracent.com/. 

Reference:
1) Bischoff, P. (2022, 29. november). Vladne kršitve – ali lahko vladi ZDA zaupate svoje podatke? Comparitech. Pridobljeno 28. aprila 2023 s comparitech.com/blog/vpn-privacy/us-government-breaches/
2) Izjava FAA Notam. Izjava FAA NOTAM | Zvezna uprava za letalstvo. (nd). Pridobljeno 1. februarja 2023 iz.faa.gov/newsroom/faa-notam-statement
3) Povzetek poročil in pričevanj v zvezi s kibernetsko varnostjo Ministrstva za obrambo od 1. julija 2020 do. Urad generalnega inšpektorja ministrstva za obrambo. (2023, 30. januar). Pridobljeno 28. aprila 2023 iz dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Izvršni ukaz 14028: Izboljšanje kibernetske varnosti države. GSA. (2021, 28. oktober). Pridobljeno 29. marca 2023 z gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA izda posodobljen model zrelosti brez zaupanja: CISA. Agencija za kibernetsko varnost in varnost infrastrukture CISA. (2023, 25. april). Pridobljeno 28. aprila 2023 s cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20javni%20komentar%20pika