Наслідки можуть бути катастрофічними, якщо Міністерству оборони, нашій найбільшій лінії захисту від внутрішніх і зовнішніх кіберзагроз, знадобиться один день, одна година або одна хвилина занадто довго, щоб вжити заходів щодо усунення вразливостей і застарілого обладнання та програмного забезпечення зі своєї критично важливої ІТ-служби. інфраструктура.
РІГЕЛСВІЛЛЬ, Пенсильванія (PRWEB) Травень 15, 2023
Коли Голлівуд зображує злочинний світ комп’ютерних хакерів із приголомшливими сценами битви між добрими та злими урядовими діячами, які намагаються врятувати чи знищити світ, освітлення є зловісним, пальці без зусиль літають по кількох клавіатурах одночасно, відкриваючи та закриваючи брандмауери блискавичною швидкістю. А досконалі федеральні спецслужби завжди мають у своєму розпорядженні найновішими яскравими високотехнологічними гаджетами. Але реальність рідко відповідає цьому. Пентагон, штаб-квартира Міністерства оборони (DoD), є потужним символом військової могутності та сили Сполучених Штатів. Проте з 2014 по 2022 рік 822 урядові установи стали жертвами кібератак, що вплинуло на майже 175 мільйонів державних записів на суму приблизно 26 мільярдів доларів США.(1) Міністерство оборони перебуває під пильним оком OIG (Офісу генерального інспектора) Міністерства оборони. , а їхній останній аудиторський звіт – це сіра пляма на репутації найбільшої державної установи країни. Волт Шабловський, засновник і виконавчий голова Ерасент, яка забезпечує повну видимість мереж своїх великих корпоративних клієнтів протягом більше двох десятиліть, попереджає: «Наслідки можуть бути катастрофічними, якщо Міністерству оборони, нашій найбільшій лінії захисту від внутрішніх і зовнішніх кіберзагроз, знадобиться один день, одна година або одна занадто багато хвилини, щоб вжити коригувальних дій для видалення застарілого апаратного та програмного забезпечення з його критичної ІТ-інфраструктури. Архітектура нульової довіри є найбільшим і найефективнішим інструментом у наборі інструментів кібербезпеки».
Нещодавно в січні 2023 року світ затамував подих після того, як FAA ініціювало зупинку на землі, що запобігло вильотам і прильотам усіх літаків. З часів подій 9 вересня таких крайніх заходів не вживали. Остаточне рішення FAA полягало в тому, що збій у системі Notice to Air Missions (NOTAM), відповідальній за надання важливої інформації про безпеку для запобігання повітряним катастрофам, стався під загрозу під час планового технічного обслуговування, коли один файл було помилково замінено іншим.(11) Через три тижні, Міністерство оборони OIG оприлюднило свій підсумок звітів і свідчень щодо кібербезпеки Міністерства оборони за період з 2 липня 1 року по 2020 червня 30 року (DODIG-2022-2023), у якому підсумовано несекретні та секретні звіти та свідчення щодо кібербезпеки Міністерства оборони.(047)
Згідно зі звітом OIG, федеральні агентства зобов’язані дотримуватися вказівок Національного інституту стандартів і технологій (NIST) Framework for Improving Critical Infrastructure Cybersecurity. Структура включає п’ять основних принципів — ідентифікація, захист, виявлення, реагування та відновлення — для реалізації заходів кібербезпеки високого рівня, які працюють разом як комплексна стратегія управління ризиками. OIG та інші наглядові органи Міністерства оборони зосередилися в основному на двох стовпах — виявленні та захисті, з меншим акцентом на решті трьох — виявленні, реагуванні та відновленні. У звіті зроблено висновок, що з 895 рекомендацій, пов’язаних з кібербезпекою в поточних і минулих підсумкових звітах, Міністерство оборони все ще має 478 відкритих питань безпеки, починаючи з 2012 року.(3)
У травні 2021 року Білий дім видав виконавчий наказ 14028: Поліпшення кібербезпеки нації, який вимагає від федеральних відомств підвищити кібербезпеку та цілісність ланцюжка постачання програмного забезпечення шляхом прийняття архітектури нульової довіри з директивою щодо використання шифрування багатофакторної автентифікації. Zero Trust покращує ідентифікацію зловмисної кіберактивності у федеральних мережах, сприяючи загальнодержавній системі виявлення кінцевих точок і реагування. Вимоги до журналу подій кібербезпеки розроблено для покращення перехресного зв’язку між федеральними урядовими установами.(4)
Архітектура нульової довіри на самому базовому рівні приймає позицію рішучого скептицизму та недовіри до кожного компонента вздовж ланцюга поставок кібербезпеки, завжди припускаючи наявність внутрішніх і зовнішніх загроз для мережі. Але Zero Trust — це набагато більше.
Реалізація Zero Trust змушує організацію нарешті:
- Визначте мережу організації, яка захищається.
- Розробити специфічний для організації процес і систему, яка захищає мережу.
- Підтримуйте, змінюйте та контролюйте систему, щоб переконатися, що процес працює.
- Постійно переглядайте процес і змінюйте його для усунення нових визначених ризиків.
Агентство з кібербезпеки та безпеки інфраструктури (CISA) розробляє модель зрілості нульової довіри з власними п’ятьма стовпами — ідентифікація, пристрої, мережа, дані, програми та робочі навантаження — щоб допомогти державним установам у розробці та впровадженні стратегій і рішень Zero Trust. .(5)
Архітектура нульової довіри залишається теоретичною концепцією без структурованого й перевіреного процесу, як у Eracent Ініціатива ClearArmor Zero Trust Resource Planning (ZTRP).. Його повна структура систематично синтезує всі компоненти, програмні додатки, дані, мережі та кінцеві точки за допомогою аналізу ризиків аудиту в реальному часі. Успішне розгортання Zero Trust вимагає від кожного учасника ланцюжка постачання програмного забезпечення, безсумнівно, довести, що йому можна довіряти та на нього можна покластися.
Звичайні інструменти аналізу вразливостей не методично перевіряють усі компоненти ланцюжка поставок програми, наприклад застарілий і застарілий код, який може становити загрозу безпеці. Шабловський визнає та схвалює ці урядові ініціативи, застерігаючи: «Нульова довіра — це чітко визначений, керований процес, який постійно розвивається; це не «один і зроблено». Першим кроком є визначення розміру та сфери дії мережі та визначення того, що потрібно захистити. Які найбільші ризики та пріоритети? Потім створіть встановлений набір інструкцій у автоматизованому, безперервному та повторюваному процесі керування на єдиній платформі управління та звітності».
Про Eracent
Волт Шабловський є засновником і виконавчим головою Eracent, а також є головою дочірніх компаній Eracent (Eracent SP ZOO, Варшава, Польща; Eracent Private LTD в Бангалорі, Індія, і Eracent Бразилія). Eracent допомагає своїм клієнтам вирішувати проблеми управління ІТ-мережевими активами, ліцензіями на програмне забезпечення та кібербезпекою в сучасних складних ІТ-середовищах, що розвиваються. Корпоративні клієнти Eracent суттєво економлять на щорічних витратах на програмне забезпечення, зменшують ризики аудиту та безпеки та встановлюють більш ефективні процеси управління активами. Клієнтська база Eracent включає деякі з найбільших у світі корпоративних і урядових мереж і ІТ-середовища. Десятки компаній зі списку Fortune 500 покладаються на рішення Eracent для керування та захисту своїх мереж. Відвідайте https://eracent.com/.
Список використаної літератури:
1) Бішофф, П. (2022, 29 листопада). Порушення урядом – чи можете ви довіряти свої дані уряду США? Comparitech. Отримано 28 квітня 2023 року з comparitech.com/blog/vpn-privacy/us-government-breaches/
2) Заява FAA Notam. Заява FAA NOTAM | Федеральне управління авіації. (nd). Отримано 1 лютого 2023 р. з.faa.gov/newsroom/faa-notam-statement
3) Зведення звітів і свідчень щодо кібербезпеки Міністерства оборони з 1 липня 2020 р. Управління генерального інспектора Департаменту оборони. (2023, 30 січня). Отримано 28 квітня 2023 року з dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Виконавчий наказ 14028: Покращення кібербезпеки нації. GSA. (2021, 28 жовтня). Отримано 29 березня 2023 року з gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA випускає оновлену модель зрілості нульової довіри: CISA. Агентство з кібербезпеки та безпеки інфраструктури CISA. (2023, 25 квітня). Отримано 28 квітня 2023 року з cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20публічний%20коментар%20період
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm
- : має
- :є
- : ні
- ][стор
- $UP
- 1
- 15%
- 2012
- 2014
- 2020
- 2021
- 2022
- 2023
- 250
- 28
- 30
- 500
- a
- через
- дії
- діяльність
- актори
- адреса
- адміністрація
- Прийняття
- зачіпає
- після
- проти
- агентства
- агентство
- AIR
- літак
- ВСІ
- по
- завжди
- an
- аналіз
- та
- та інфраструктури
- щорічний
- Інший
- застосування
- приблизно
- квітня
- архітектура
- ЕСТЬ
- AS
- активи
- управління активами
- Активи
- допомогу
- At
- аудит
- підлягає аудиту
- Authentication
- Автоматизований
- авіація
- назад
- база
- основний
- Бій
- BE
- було
- буття
- між
- За
- найбільший
- Мільярд
- Black
- Brazil
- порушення
- дихання
- але
- by
- CAN
- катастрофічний
- ланцюг
- Крісло
- голова
- проблеми
- класифікований
- очевидно
- клієнт
- клієнтів
- закриття
- код
- Collective
- Компанії
- повний
- комплекс
- компонент
- Компоненти
- всеосяжний
- Компрометація
- комп'ютер
- концепція
- уклали
- постійно
- складовою
- безперервний
- постійно
- Корпоративний
- Коштувати
- може
- створювати
- критичний
- Критична інфраструктура
- вирішальне значення
- Поточний
- Клієнти
- кібер-
- кібер-безпеки
- кібератаки
- Кібербезпека
- кіберзагрози
- дані
- датування
- день
- десятиліття
- оборони
- певний
- відділ
- департамент оборони
- вильоти
- розгортання
- дизайн
- призначений
- Виявлення
- розвивається
- розробка
- прилади
- лиха
- do
- зроблений
- сумніваюся
- вниз
- безліч
- під час
- Ефективний
- ефективний
- акцент
- шифрування
- Кінцева точка
- підвищувати
- Підсилює
- забезпечувати
- підприємство
- юридичні особи
- середовищах
- встановити
- Event
- Події
- Кожен
- еволюціонує
- виконавчий
- розпорядження
- зовнішній
- екстремальний
- очей
- FAA
- сприяння
- далеко
- лютого
- Федеральний
- Федеральний уряд
- філе
- остаточний
- в кінці кінців
- міжмережеві екрани
- Перший
- увагу
- стежити
- для
- Примусово
- стан
- засновник
- Рамки
- від
- Загальне
- добре
- Уряд
- найбільший
- Земля
- керівні вказівки
- хакери
- було
- апаратні засоби
- Мати
- Штаб-квартира
- Герой
- допомагає
- Голлівуд
- годину
- будинок
- Однак
- HTTPS
- Ідентифікація
- ідентифікувати
- Особистість
- if
- зображення
- здійснювати
- реалізація
- наслідки
- удосконалювати
- поліпшення
- in
- includes
- Індію
- інформація
- Інфраструктура
- ініціативи
- Інститут
- цілісність
- Інтелект
- внутрішній
- в
- Випущений
- питання
- IT
- ЙОГО
- січня
- липень
- червень
- великий
- найбільших
- пізніше
- останній
- менше
- рівень
- ліцензії
- Освітлення
- блискавка
- Швидкість блискавки
- як
- Лінія
- журнал
- Довго
- ТОВ
- підтримувати
- обслуговування
- управляти
- вдалося
- управління
- управління
- березня
- зрілість
- Модель зрілості
- Може..
- заходи
- Зустрічатися
- може бути
- військовий
- мільйона
- хвилин
- місіях
- недовіра
- модель
- змінювати
- монітор
- більше
- більш ефективний
- найбільш
- багато
- багатофакторна аутентифікація
- множинний
- народ
- National
- націй
- майже
- потреби
- мережу
- мереж
- новини
- nist
- Зверніть увагу..
- Листопад
- застарілий
- жовтень
- of
- Office
- on
- один раз
- ONE
- відкрити
- відкриття
- or
- порядок
- організація
- Інше
- наші
- відключення
- над
- Нагляд
- власний
- Минуле
- п'ятикутник
- планування
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- Польща
- потужний
- запобігати
- попередження
- в першу чергу
- приватний
- процес
- процеси
- захист
- захищений
- Доведіть
- за умови
- забезпечення
- публічно
- реального часу
- Реальність
- останній
- нещодавно
- рекомендації
- облік
- Відновлювати
- зменшити
- про
- випущений
- Релізи
- покладатися
- решті
- залишається
- видаляти
- повторюваний
- замінити
- звітом
- Звітність
- Звіти
- репутація
- вимагається
- Вимога
- Вимагається
- ресурс
- Реагувати
- відповідь
- відповідальний
- огляд
- Risk
- управління ризиками
- ризики
- s
- Безпека
- зберегти
- сцени
- сфера
- безпеку
- ризики для безпеки
- служить
- комплект
- істотно
- з
- один
- Розмір
- Скептицизм
- Софтвер
- Рішення
- деякі
- швидкість
- витрачати
- стандартів
- Заява
- Штати
- Крок
- Як і раніше
- Стоп
- стратегії
- Стратегія
- сила
- структурований
- успішний
- такі
- РЕЗЮМЕ
- поставка
- ланцюжка поставок
- символ
- система
- Приймати
- приймає
- Завдання
- Технологія
- десять
- ніж
- Що
- Команда
- світ
- їх
- потім
- теоретичний
- Ці
- це
- загрози
- три
- через
- до
- сьогоднішній
- разом
- занадто
- інструмент
- Інструменти
- інструменти
- Довіряйте
- Довірений
- два
- при
- United
- Сполучені Штати
- оновлений
- на
- us
- нас уряд
- використання
- жертви
- видимість
- візит
- вразливість
- Попереджає
- Варшава
- було
- тижня
- Що
- коли
- який
- в той час як
- білий
- Білий дім
- з
- без
- Work
- працювати разом
- робочий
- світ
- світі
- років
- Ти
- вашу
- зефірнет
- нуль
- нульова довіра
- ZOO