OIG, DoD'u On Yılı Aşkın Bir Süredir Siber Güvenlik Önerilerini Yoksaymakla Görevlendiriyor

İç ve dış siber tehditlere karşı en büyük savunma hattımız olan DoD'nin güvenlik açığı dolu ve eskimiş donanım ve yazılımları kritik BT'sinden kaldırmak için düzeltici önlemler alması bir gün, bir saat veya bir dakika sürerse sonuçlar felaket olabilir. altyapı.

RIEGELSVILLE, Pa. (PRWEB) Mayıs 15, 2023

Hollywood, dünyayı kurtarmaya ya da yıkmaya çalışan iyi ve kötü hükümet aktörleri arasındaki savaşın nabız gibi atan sahneleriyle bilgisayar korsanlarının yeraltı dünyasını tasvir ettiğinde, ışık uğursuzdur, güvenlik duvarlarını açarken ve kapatırken parmaklar aynı anda birden çok klavyede zahmetsizce uçar. yıldırım hızında. Ve becerikli federal istihbarat teşkilatları her zaman en son gösterişli, yüksek teknolojili araçlara sahiptir. Ancak gerçeklik nadiren ölçü alır. Savunma Bakanlığı'nın (DoD) karargahı olan Pentagon, ABD'nin askeri gücünün ve gücünün güçlü bir simgesidir. Bununla birlikte, 2014'ten 2022'ye kadar 822 devlet kurumu, yaklaşık 175 milyar dolarlık bir maliyetle yaklaşık 26 milyon devlet kaydını etkileyen siber saldırıların kurbanı oldu.(1) Savunma Bakanlığı, DoD OIG'nin (Genel Müfettişlik Ofisi) gözetimi altındadır. ve en son denetim raporları, ülkenin en büyük devlet kurumunun itibarına gölge düşürüyor. Walt Szablowski, Kurucu ve Yönetim Kurulu Başkanı silinebiliryirmi yılı aşkın bir süredir büyük kurumsal müşterilerinin ağlarına tam görünürlük sağlayan , şu uyarıda bulunuyor: "Dahili ve harici siber tehditlere karşı en büyük savunma hattımız olan Savunma Bakanlığı'nın bir gün, bir saat veya bir güvenlik açığı dolu ve eskimiş donanım ve yazılımları kritik BT altyapısından kaldırmak için düzeltici önlemler almak için çok uzun bir dakika. Sıfır Güven Mimarisi, siber güvenlik araç kutusundaki en büyük ve en etkili araçtır.”

Ocak 2023 gibi yakın bir tarihte, FAA tarafından başlatılan ve tüm uçak kalkış ve inişlerini engelleyen bir yerde durmanın ardından dünya topluca nefesini tuttu. 9 Eylül olaylarından beri bu kadar aşırı önlemler alınmadı. FAA'nın son kararı, hava felaketlerini önlemek için önemli güvenlik bilgileri sağlamaktan sorumlu olan Hava Görevlerine Bildirim (NOTAM) sistemindeki bir kesintinin, rutin bakım sırasında bir dosyanın yanlışlıkla başka bir dosyayla değiştirilmesi nedeniyle tehlikeye atıldığı yönündeydi.(11) Üç hafta sonra, DoD OIG, DoD siber güvenliğine ilişkin sınıflandırılmamış ve sınıflandırılmış raporları ve tanıklıkları özetleyen 2 Temmuz 1'den 2020 Haziran 30'ye Kadar DoD Siber Güvenliğine İlişkin Raporların ve Tanıklıkların Özetini (DODIG-2022-2023) kamuya açıkladı.(047)

OIG raporuna göre, federal kurumların Kritik Altyapı Siber Güvenliğini Geliştirmek için Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Çerçevesinin yönergelerine uyması gerekiyor. Çerçeve, kapsamlı bir risk yönetimi stratejisi olarak birlikte çalışan üst düzey siber güvenlik önlemlerini uygulamak için beş sütunu (Tanımla, Koru, Tespit Et, Yanıt Ver ve Kurtar) içerir. OIG ve diğer DoD gözetim birimleri, öncelikle iki sütuna odaklandı: Tespit Et ve Koru, geri kalan üç unsura daha az vurgu yap: Tespit Et, Yanıt Ver ve Kurtar. Rapor, mevcut ve geçmiş özet raporlarda yer alan siber güvenlikle ilgili 895 tavsiyeden DoD'nin 478'ye kadar uzanan 2012 açık güvenlik sorununa sahip olduğu sonucuna vardı.(3)

Mayıs 2021'de Beyaz Saray, federal kurumların çok faktörlü kimlik doğrulama şifrelemesi kullanma yönergesiyle Sıfır Güven Mimarisini benimseyerek siber güvenliği ve yazılım tedarik zinciri bütünlüğünü geliştirmesini gerektiren 14028: Ulusun Siber Güvenliğini Geliştirme İcra Emri yayınladı. Sıfır Güven, hükümet çapında bir uç nokta algılama ve yanıt sistemini kolaylaştırarak federal ağlardaki kötü amaçlı siber etkinliğin tanımlanmasını geliştirir. Siber güvenlik olay günlüğü gereklilikleri, federal hükümet kurumları arasındaki çapraz iletişimi geliştirmek için tasarlanmıştır.(4)

Sıfır Güven Mimarisi, en temel düzeyde, her zaman ağa yönelik iç ve dış tehditlerin varlığını varsayarak siber güvenlik tedarik zinciri boyunca her bileşenin kararlı şüphecilik ve güvensizlik duruşunu üstlenir. Ancak Sıfır Güven bundan çok daha fazlasıdır.

Sıfır Güven uygulamaları, kuruluşu nihayet şunları yapmaya zorlar:

• Kuruluşun savunulan ağını tanımlayın.
• Ağı koruyan kuruluşa özgü bir süreç ve sistem tasarlayın.
• Sürecin çalıştığından emin olmak için sistemi koruyun, değiştirin ve izleyin.
• Süreci sürekli olarak gözden geçirin ve yeni tanımlanmış riskleri ele almak için değiştirin.

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Sıfır Güven stratejileri ve çözümlerinin geliştirilmesi ve uygulanmasında devlet kurumlarına yardımcı olmak için kendi beş ayağı olan Kimlik, Cihazlar, Ağ, Veri ve Uygulamalar ve İş Yükleri ile bir Sıfır Güven Olgunluk Modeli geliştiriyor. .(5)

Sıfır Güven Mimarisi, Eracent'inki gibi yapılandırılmış ve denetlenebilir bir süreç olmaksızın teorik bir kavram olmaya devam ediyor. ClearArmor Sıfır Güven Kaynak Planlaması (ZTRP) girişimi. Kesintisiz çerçevesi, gerçek zamanlı denetim riski analizi kullanarak tüm bileşenleri, yazılım uygulamalarını, verileri, ağları ve uç noktaları sistematik olarak sentezler. Zero Trust'ın başarılı bir şekilde uygulanması, yazılım tedarik zincirindeki her bileşenin, kendisine güvenilebileceğini ve itimat edilebileceğini şüpheye yer bırakmayacak şekilde kanıtlamasını gerektirir.

Geleneksel güvenlik açığı analizi araçları, güvenlik riski oluşturabilecek eski ve eski kodlar gibi bir uygulamanın tedarik zincirinin tüm bileşenlerini metodik olarak incelemez. Szablowski, bu hükümet girişimlerini kabul ediyor ve alkışlıyor ve şu uyarıda bulunuyor: "Sıfır Güven, açıkça tanımlanmış, yönetilen ve sürekli gelişen bir süreçtir; "bir ve bitti" değildir. İlk adım, ağın boyutunu ve kapsamını tanımlamak ve neyin korunması gerektiğini belirlemektir. En büyük riskler ve öncelikler nelerdir? Ardından, tek bir yönetim ve raporlama platformunda otomatikleştirilmiş, sürekli ve tekrarlanabilir bir yönetim sürecinde öngörülen bir dizi kılavuz oluşturun.”

Eracent Hakkında
Walt Szablowski, Eracent'in Kurucusu ve Yönetim Kurulu Başkanıdır ve Eracent'in yan kuruluşlarının (Eracent SP ZOO, Varşova, Polonya; Bangalore, Hindistan'da Eracent Private LTD ve Eracent Brezilya) Başkanı olarak görev yapmaktadır. Eracent, müşterilerinin günümüzün karmaşık ve gelişen BT ortamlarında BT ağ varlıklarını, yazılım lisanslarını ve siber güvenliği yönetme zorluklarını aşmasına yardımcı olur. Eracent'in kurumsal müşterileri, yıllık yazılım harcamalarında önemli ölçüde tasarruf sağlar, denetim ve güvenlik risklerini azaltır ve daha verimli varlık yönetimi süreçleri oluşturur. Eracent'in müşteri tabanı, dünyanın en büyük kurumsal ve devlet ağlarından bazılarını ve BT ortamlarını içerir. Düzinelerce Fortune 500 şirketi, ağlarını yönetmek ve korumak için Eracent çözümlerine güveniyor. Ziyaret etmek https://eracent.com/. 

Referanslar:
1) Bischoff, P. (2022, 29 Kasım). Devlet ihlalleri – verilerinizle ilgili olarak ABD hükümetine güvenebilir misiniz? Karşılaştırma teknolojisi 28 Nisan 2023 tarihinde comparitech.com/blog/vpn-privacy/us-government-breaches/ adresinden alındı.
2) FAA Notam Beyanı. FAA NOTAM Bildirimi | Federal Havacılık İdaresi. (son). Erişim tarihi: 1 Şubat 2023, from.faa.gov/newsroom/faa-notam-statement
3) 1 Temmuz 2020'den itibaren DOD siber güvenliğine ilişkin raporların ve ifadelerin özeti. Savunma Bakanlığı Genel Müfettiş Ofisi. (2023, 30 Ocak). 28 Nisan 2023 tarihinde dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/ adresinden alındı.
4) 14028 sayılı Kararname: Ülkenin siber güvenliğini geliştirmek. GSA. (2021, 28 Ekim). Erişim tarihi: 29 Mart 2023, gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity adresinden alındı
5) CISA, güncellenmiş Sıfır güven olgunluk modelini yayınladı: CISA. Siber Güvenlik ve Altyapı Güvenliği Ajansı CISA. (2023, 25 Nisan). 28 Nisan 2023 tarihinde cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% adresinden alındı 20genel%20yorum%20dönem

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
• Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
• PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
• Kaynak: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm