OIG звинувачує Міністерство оборони в ігноруванні рекомендацій щодо кібербезпеки протягом більше десяти років

Наслідки можуть бути катастрофічними, якщо Міністерству оборони, нашій найбільшій лінії захисту від внутрішніх і зовнішніх кіберзагроз, знадобиться один день, одна година або одна хвилина занадто довго, щоб вжити заходів щодо усунення вразливостей і застарілого обладнання та програмного забезпечення зі своєї критично важливої ​​ІТ-служби. інфраструктура.

РІГЕЛСВІЛЛЬ, Пенсильванія (PRWEB) Травень 15, 2023

Коли Голлівуд зображує злочинний світ комп’ютерних хакерів із приголомшливими сценами битви між добрими та злими урядовими діячами, які намагаються врятувати чи знищити світ, освітлення є зловісним, пальці без зусиль літають по кількох клавіатурах одночасно, відкриваючи та закриваючи брандмауери блискавичною швидкістю. А досконалі федеральні спецслужби завжди мають у своєму розпорядженні найновішими яскравими високотехнологічними гаджетами. Але реальність рідко відповідає цьому. Пентагон, штаб-квартира Міністерства оборони (DoD), є потужним символом військової могутності та сили Сполучених Штатів. Проте з 2014 по 2022 рік 822 урядові установи стали жертвами кібератак, що вплинуло на майже 175 мільйонів державних записів на суму приблизно 26 мільярдів доларів США.(1) Міністерство оборони перебуває під пильним оком OIG (Офісу генерального інспектора) Міністерства оборони. , а їхній останній аудиторський звіт – це сіра пляма на репутації найбільшої державної установи країни. Волт Шабловський, засновник і виконавчий голова Ерасент, яка забезпечує повну видимість мереж своїх великих корпоративних клієнтів протягом більше двох десятиліть, попереджає: «Наслідки можуть бути катастрофічними, якщо Міністерству оборони, нашій найбільшій лінії захисту від внутрішніх і зовнішніх кіберзагроз, знадобиться один день, одна година або одна занадто багато хвилини, щоб вжити коригувальних дій для видалення застарілого апаратного та програмного забезпечення з його критичної ІТ-інфраструктури. Архітектура нульової довіри є найбільшим і найефективнішим інструментом у наборі інструментів кібербезпеки».

Нещодавно в січні 2023 року світ затамував подих після того, як FAA ініціювало зупинку на землі, що запобігло вильотам і прильотам усіх літаків. З часів подій 9 вересня таких крайніх заходів не вживали. Остаточне рішення FAA полягало в тому, що збій у системі Notice to Air Missions (NOTAM), відповідальній за надання важливої ​​інформації про безпеку для запобігання повітряним катастрофам, стався під загрозу під час планового технічного обслуговування, коли один файл було помилково замінено іншим.(11) Через три тижні, Міністерство оборони OIG оприлюднило свій підсумок звітів і свідчень щодо кібербезпеки Міністерства оборони за період з 2 липня 1 року по 2020 червня 30 року (DODIG-2022-2023), у якому підсумовано несекретні та секретні звіти та свідчення щодо кібербезпеки Міністерства оборони.(047)

Згідно зі звітом OIG, федеральні агентства зобов’язані дотримуватися вказівок Національного інституту стандартів і технологій (NIST) Framework for Improving Critical Infrastructure Cybersecurity. Структура включає п’ять основних принципів — ідентифікація, захист, виявлення, реагування та відновлення — для реалізації заходів кібербезпеки високого рівня, які працюють разом як комплексна стратегія управління ризиками. OIG та інші наглядові органи Міністерства оборони зосередилися в основному на двох стовпах — виявленні та захисті, з меншим акцентом на решті трьох — виявленні, реагуванні та відновленні. У звіті зроблено висновок, що з 895 рекомендацій, пов’язаних з кібербезпекою в поточних і минулих підсумкових звітах, Міністерство оборони все ще має 478 відкритих питань безпеки, починаючи з 2012 року.(3)

У травні 2021 року Білий дім видав виконавчий наказ 14028: Поліпшення кібербезпеки нації, який вимагає від федеральних відомств підвищити кібербезпеку та цілісність ланцюжка постачання програмного забезпечення шляхом прийняття архітектури нульової довіри з директивою щодо використання шифрування багатофакторної автентифікації. Zero Trust покращує ідентифікацію зловмисної кіберактивності у федеральних мережах, сприяючи загальнодержавній системі виявлення кінцевих точок і реагування. Вимоги до журналу подій кібербезпеки розроблено для покращення перехресного зв’язку між федеральними урядовими установами.(4)

Архітектура нульової довіри на самому базовому рівні приймає позицію рішучого скептицизму та недовіри до кожного компонента вздовж ланцюга поставок кібербезпеки, завжди припускаючи наявність внутрішніх і зовнішніх загроз для мережі. Але Zero Trust — це набагато більше.

Реалізація Zero Trust змушує організацію нарешті:

• Визначте мережу організації, яка захищається.
• Розробити специфічний для організації процес і систему, яка захищає мережу.
• Підтримуйте, змінюйте та контролюйте систему, щоб переконатися, що процес працює.
• Постійно переглядайте процес і змінюйте його для усунення нових визначених ризиків.

Агентство з кібербезпеки та безпеки інфраструктури (CISA) розробляє модель зрілості нульової довіри з власними п’ятьма стовпами — ідентифікація, пристрої, мережа, дані, програми та робочі навантаження — щоб допомогти державним установам у розробці та впровадженні стратегій і рішень Zero Trust. .(5)

Архітектура нульової довіри залишається теоретичною концепцією без структурованого й перевіреного процесу, як у Eracent Ініціатива ClearArmor Zero Trust Resource Planning (ZTRP).. Його повна структура систематично синтезує всі компоненти, програмні додатки, дані, мережі та кінцеві точки за допомогою аналізу ризиків аудиту в реальному часі. Успішне розгортання Zero Trust вимагає від кожного учасника ланцюжка постачання програмного забезпечення, безсумнівно, довести, що йому можна довіряти та на нього можна покластися.

Звичайні інструменти аналізу вразливостей не методично перевіряють усі компоненти ланцюжка поставок програми, наприклад застарілий і застарілий код, який може становити загрозу безпеці. Шабловський визнає та схвалює ці урядові ініціативи, застерігаючи: «Нульова довіра — це чітко визначений, керований процес, який постійно розвивається; це не «один і зроблено». Першим кроком є ​​визначення розміру та сфери дії мережі та визначення того, що потрібно захистити. Які найбільші ризики та пріоритети? Потім створіть встановлений набір інструкцій у автоматизованому, безперервному та повторюваному процесі керування на єдиній платформі управління та звітності».

Про Eracent
Волт Шабловський є засновником і виконавчим головою Eracent, а також є головою дочірніх компаній Eracent (Eracent SP ZOO, Варшава, Польща; Eracent Private LTD в Бангалорі, Індія, і Eracent Бразилія). Eracent допомагає своїм клієнтам вирішувати проблеми управління ІТ-мережевими активами, ліцензіями на програмне забезпечення та кібербезпекою в сучасних складних ІТ-середовищах, що розвиваються. Корпоративні клієнти Eracent суттєво економлять на щорічних витратах на програмне забезпечення, зменшують ризики аудиту та безпеки та встановлюють більш ефективні процеси управління активами. Клієнтська база Eracent включає деякі з найбільших у світі корпоративних і урядових мереж і ІТ-середовища. Десятки компаній зі списку Fortune 500 покладаються на рішення Eracent для керування та захисту своїх мереж. Відвідайте https://eracent.com/. 

Список використаної літератури:
1) Бішофф, П. (2022, 29 листопада). Порушення урядом – чи можете ви довіряти свої дані уряду США? Comparitech. Отримано 28 квітня 2023 року з comparitech.com/blog/vpn-privacy/us-government-breaches/
2) Заява FAA Notam. Заява FAA NOTAM | Федеральне управління авіації. (nd). Отримано 1 лютого 2023 р. з.faa.gov/newsroom/faa-notam-statement
3) Зведення звітів і свідчень щодо кібербезпеки Міністерства оборони з 1 липня 2020 р. Управління генерального інспектора Департаменту оборони. (2023, 30 січня). Отримано 28 квітня 2023 року з dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/
4) Виконавчий наказ 14028: Покращення кібербезпеки нації. GSA. (2021, 28 жовтня). Отримано 29 березня 2023 року з gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity
5) CISA випускає оновлену модель зрілості нульової довіри: CISA. Агентство з кібербезпеки та безпеки інфраструктури CISA. (2023, 25 квітня). Отримано 28 квітня 2023 року з cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20публічний%20коментар%20період

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
• Карбування майбутнього з Адріенн Ешлі. Доступ тут.
• Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
• джерело: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm