OIG دس سال سے زیادہ عرصے سے سائبرسیکیوریٹی کی سفارشات کو نظر انداز کرنے کے لیے ڈی او ڈی کو کام پر لے گیا

افلاطون کے ذریعہ دوبارہ شائع کیا گیا۔

فالونگ: 0

مضمرات تباہ کن ہو سکتے ہیں اگر DoD، اندرونی اور بیرونی سائبر خطرات کے خلاف ہماری سب سے بڑی لائن آف ڈیفنس، کمزوریوں سے بھرے اور فرسودہ ہارڈ ویئر اور سافٹ ویئر کو اپنے اہم IT سے ہٹانے کے لیے اصلاحی اقدامات کرنے میں ایک دن، ایک گھنٹہ، یا ایک منٹ زیادہ وقت لے۔ بنیادی ڈھانچہ

RIEGELSVILLE، Pa. (PRWEB) 15 فرمائے، 2023

جب ہالی ووڈ کمپیوٹر ہیکرز کی انڈرورلڈ کی تصویر کشی کرتا ہے، جس میں اچھے اور برے حکومتی اداکاروں کے درمیان لڑائی کے پلس پاؤنڈنگ مناظر دنیا کو بچانے یا نیچے لے جانے کی کوشش کرتے ہیں، تو لائٹنگ ناگوار ہوتی ہے، فائر وال کھولتے اور بند کرتے وقت انگلیاں ایک ہی وقت میں متعدد کی بورڈز پر آسانی سے اڑ جاتی ہیں۔ بجلی کی رفتار سے. اور ہوشیار وفاقی انٹیلی جنس ایجنسیوں کے پاس ہمیشہ چمکدار، ہائی ٹیک گیجٹری میں تازہ ترین ہوتی ہے۔ لیکن حقیقت شاذ و نادر ہی پیمائش کرتی ہے۔ پینٹاگون، محکمہ دفاع (DoD) کا ہیڈکوارٹر، ریاستہائے متحدہ کی فوجی طاقت اور طاقت کی ایک طاقتور علامت ہے۔ تاہم، 2014 سے 2022 تک، 822 سرکاری ایجنسیاں سائبر حملوں کا شکار ہوئیں، جس سے تقریباً 175 بلین ڈالر کی لاگت سے تقریباً 26 ملین سرکاری ریکارڈ متاثر ہوئے۔ (1) DoD OIG (انسپکٹر جنرل کے دفتر) کی نگرانی میں ہے۔ ، اور ان کی تازہ ترین آڈٹ رپورٹ ملک کی سب سے بڑی سرکاری ایجنسی کی ساکھ پر سیاہ آنکھ ہے۔ والٹ سابلوسکی، بانی اور ایگزیکٹو چیئرمین Eracentجس نے دو دہائیوں سے اپنے بڑے انٹرپرائز کلائنٹس کے نیٹ ورکس میں مکمل مرئیت فراہم کی ہے، خبردار کرتا ہے، "مضمرات تباہ کن ہوسکتے ہیں اگر DoD، اندرونی اور بیرونی سائبر خطرات کے خلاف دفاع کی ہماری سب سے بڑی لائن، ایک دن، ایک گھنٹہ، یا ایک دن لے۔ کمزوری سے بھرے اور متروک ہارڈ ویئر اور سافٹ ویئر کو اس کے اہم آئی ٹی انفراسٹرکچر سے ہٹانے کے لیے اصلاحی اقدامات کرنے کے لیے بہت لمبا ہے۔ زیرو ٹرسٹ آرکیٹیکچر سائبر سیکیورٹی ٹول باکس میں سب سے بڑا اور موثر ٹول ہے۔

جیسا کہ حال ہی میں جنوری 2023 میں، FAA کی طرف سے زمینی سٹاپ کے آغاز کے بعد، تمام طیاروں کی روانگی اور آمد کو روکنے کے بعد دنیا نے اپنی اجتماعی سانسیں روک لیں۔ نائن الیون کے واقعات کے بعد سے ایسے انتہائی اقدامات نہیں کیے گئے ہیں۔ FAA کا حتمی فیصلہ یہ تھا کہ نوٹس ٹو ایئر مشنز (NOTAM) سسٹم میں بندش جو فضائی آفات کو روکنے کے لیے اہم حفاظتی معلومات فراہم کرنے کے لیے ذمہ دار تھی، معمول کی دیکھ بھال کے دوران اس وقت سمجھوتہ کیا گیا جب ایک فائل کو غلطی سے دوسری فائل سے تبدیل کر دیا گیا۔ (9) تین ہفتے بعد، DoD OIG نے 11 جولائی 2 سے 1 جون 2020 (DODIG-30-2022) آڈٹ کے ذریعے DoD سائبرسیکیوریٹی کے حوالے سے اپنی رپورٹوں اور شہادتوں کا خلاصہ عوامی طور پر جاری کیا جس میں DoD cybersecur سے متعلق غیر مرتب شدہ اور درجہ بند رپورٹس اور شہادتوں کا خلاصہ کیا گیا۔

OIG کی رپورٹ کے مطابق، وفاقی ایجنسیوں سے ضروری ہے کہ وہ نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی (NIST) کے فریم ورک برائے اہم انفراسٹرکچر سائبرسیکیوریٹی کو بہتر بنانے کے رہنما اصولوں پر عمل کریں۔ فریم ورک میں پانچ ستون شامل ہیں — شناخت کریں، حفاظت کریں، پتہ لگائیں، جواب دیں، اور بازیافت کریں — اعلیٰ سطح کے سائبر سیکیورٹی اقدامات کو نافذ کرنے کے لیے جو ایک جامع رسک مینجمنٹ حکمت عملی کے طور پر مل کر کام کرتے ہیں۔ OIG اور دیگر DoD کی نگرانی کرنے والے اداروں نے بنیادی طور پر دو ستونوں پر توجہ مرکوز کی ہے — شناخت اور تحفظ، باقی تین پر کم زور دیتے ہوئے — کھوج لگائیں، جواب دیں اور بازیافت کریں۔ رپورٹ میں یہ نتیجہ اخذ کیا گیا کہ موجودہ اور ماضی کی سمری رپورٹس میں سائبر سیکیورٹی سے متعلق 895 سفارشات میں سے، DoD کے پاس اب بھی 478 تک کے 2012 کھلے سیکیورٹی مسائل تھے۔(3)

مئی 2021 میں، وائٹ ہاؤس نے ایگزیکٹیو آرڈر 14028 جاری کیا: قوم کی سائبر سیکیورٹی کو بہتر بنانا، جس میں وفاقی ایجنسیوں سے سائبر سیکیورٹی اور سافٹ ویئر سپلائی چین کی سالمیت کو بڑھانے کے لیے زیرو ٹرسٹ آرکیٹیکچر کو استعمال کرنے کی ہدایت کے ساتھ ملٹی فیکٹر تصدیقی خفیہ کاری کو استعمال کرنے کی ضرورت ہے۔ زیرو ٹرسٹ وفاقی نیٹ ورکس پر بدنیتی پر مبنی سائبر سرگرمی کی شناخت کو حکومتی سطح پر اختتامی نقطہ کا پتہ لگانے اور رسپانس سسٹم کی سہولت فراہم کرتا ہے۔ سائبرسیکیوریٹی ایونٹ لاگ کے تقاضے وفاقی حکومت کے اداروں کے درمیان باہمی رابطے کو بہتر بنانے کے لیے بنائے گئے ہیں۔(4)

زیرو ٹرسٹ آرکیٹیکچر، اپنی سب سے بنیادی سطح پر، ہمیشہ نیٹ ورک کے لیے اندرونی اور بیرونی خطرات کی موجودگی کا قیاس کرتے ہوئے سائبر سیکیورٹی سپلائی چین کے ساتھ ساتھ ہر جزو کے بارے میں پُرعزم شکوک و شبہات اور عدم اعتماد کی کرنسی کو قبول کرتا ہے۔ لیکن زیرو ٹرسٹ اس سے کہیں زیادہ ہے۔

زیرو ٹرسٹ کے نفاذ تنظیم کو آخر کار مجبور کرتے ہیں:

تنظیم کے نیٹ ورک کی وضاحت کریں جس کا دفاع کیا جا رہا ہے۔
تنظیم کے لیے مخصوص عمل اور نظام کو ڈیزائن کریں جو نیٹ ورک کی حفاظت کرے۔
اس بات کو یقینی بنانے کے لیے کہ یہ عمل کام کر رہا ہے نظام کو برقرار رکھیں، اس میں ترمیم کریں اور نگرانی کریں۔
اس عمل کا مسلسل جائزہ لیں اور نئے متعین خطرات سے نمٹنے کے لیے اس میں ترمیم کریں۔

سائبرسیکیوریٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) اپنے پانچ ستونوں - شناخت، ڈیوائسز، نیٹ ورک، ڈیٹا، اور ایپلی کیشنز اور ورک لوڈز کے ساتھ زیرو ٹرسٹ میچورٹی ماڈل تیار کر رہی ہے تاکہ زیرو ٹرسٹ کی حکمت عملیوں اور حلوں کی ترقی اور نفاذ میں سرکاری ایجنسیوں کی مدد کی جا سکے۔ .(5)

زیرو ٹرسٹ آرکیٹیکچر ایک نظریاتی تصور بنی ہوئی ہے بغیر کسی ساختی اور قابل سماعت عمل کے جیسے Eracent's ClearArmor زیرو ٹرسٹ ریسورس پلاننگ (ZTRP) اقدام. اس کا غیر برج شدہ فریم ورک ریئل ٹائم آڈٹ رسک تجزیہ کا استعمال کرتے ہوئے تمام اجزاء، سافٹ ویئر ایپلی کیشنز، ڈیٹا، نیٹ ورکس اور اینڈ پوائنٹس کو منظم طریقے سے ترکیب کرتا ہے۔ زیرو ٹرسٹ کی کامیاب تعیناتی کے لیے ضروری ہے کہ سافٹ ویئر سپلائی چین کے ہر جزو کو یہ ثابت کیا جائے کہ اس پر بھروسہ اور بھروسہ کیا جا سکتا ہے۔

روایتی کمزوری کے تجزیے کے ٹولز کسی ایپلیکیشن کی سپلائی چین کے تمام اجزاء کی جانچ نہیں کرتے ہیں، جیسے پرانے اور فرسودہ کوڈ جو سیکیورٹی کے لیے خطرہ بن سکتے ہیں۔ Szablowski ان حکومتی اقدامات کو تسلیم کرتے ہیں اور ان کی تعریف کرتے ہیں، خبردار کرتے ہوئے، "زیرو ٹرسٹ ایک واضح طور پر بیان کردہ، منظم، اور مسلسل ارتقا پذیر عمل ہے؛ یہ 'ایک اور ہو گیا' نہیں ہے۔ پہلا قدم نیٹ ورک کے سائز اور دائرہ کار کی وضاحت کرنا اور اس بات کی نشاندہی کرنا ہے کہ کن چیزوں کو محفوظ کرنے کی ضرورت ہے۔ سب سے بڑے خطرات اور ترجیحات کیا ہیں؟ پھر ایک ہی مینجمنٹ اور رپورٹنگ پلیٹ فارم پر خودکار، مسلسل، اور دوبارہ قابل انتظام عمل میں رہنما اصولوں کا ایک مقررہ سیٹ بنائیں۔

Eracent کے بارے میں
Walt Szablowski Eracent کے بانی اور ایگزیکٹو چیئرمین ہیں اور Eracent کے ذیلی اداروں (Eracent SP ZOO، وارسا، پولینڈ؛ بنگلور، انڈیا اور Eracent برازیل میں Eracent Private LTD) کے چیئرمین کے طور پر کام کرتے ہیں۔ Eracent اپنے صارفین کو آج کے پیچیدہ اور ابھرتے ہوئے IT ماحول میں IT نیٹ ورک کے اثاثوں، سافٹ ویئر لائسنسوں، اور سائبر سیکیورٹی کے انتظام کے چیلنجوں کا مقابلہ کرنے میں مدد کرتا ہے۔ Eracent کے انٹرپرائز کلائنٹس اپنے سالانہ سافٹ ویئر کے اخراجات میں نمایاں بچت کرتے ہیں، ان کے آڈٹ اور سیکورٹی کے خطرات کو کم کرتے ہیں، اور زیادہ موثر اثاثہ جات کے انتظام کے عمل کو قائم کرتے ہیں۔ Eracent کے کلائنٹ بیس میں دنیا کے سب سے بڑے کارپوریٹ اور سرکاری نیٹ ورکس اور IT ماحول شامل ہیں۔ درجنوں Fortune 500 کمپنیاں اپنے نیٹ ورکس کے انتظام اور حفاظت کے لیے Eracent سلوشنز پر انحصار کرتی ہیں۔ وزٹ کریں۔ https://eracent.com/. 

حوالہ جات:
1) Bischoff، P. (2022، نومبر 29)۔ حکومت کی خلاف ورزیاں - کیا آپ اپنے ڈیٹا کے ساتھ امریکی حکومت پر بھروسہ کر سکتے ہیں؟ Comparitech. 28 اپریل 2023 کو comparitech.com/blog/vpn-privacy/us-government-breaches/ سے حاصل کیا گیا
2) ایف اے اے نوٹم کا بیان۔ FAA NOTAM بیان | فیڈرل ایوی ایشن ایڈمنسٹریشن۔ (nd) 1 فروری 2023 کو حاصل کیا گیا، from.faa.gov/newsroom/faa-notam-statement
3) 1 جولائی 2020 سے DOD سائبر سیکیورٹی کے حوالے سے رپورٹس اور شہادتوں کا خلاصہ۔ محکمہ دفاع انسپکٹر جنرل کے دفتر۔ (2023، جنوری 30)۔ 28 اپریل 2023 کو dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/ سے حاصل کیا گیا
4) ایگزیکٹو آرڈر 14028: ملک کی سائبر سیکیورٹی کو بہتر بنانا۔ جی ایس اے (2021، اکتوبر 28)۔ 29 مارچ 2023 کو حاصل کیا گیا، gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity سے
5) CISA نے اپ ڈیٹ شدہ زیرو ٹرسٹ میچورٹی ماڈل جاری کیا: CISA۔ سائبر سیکیورٹی اور انفراسٹرکچر سیکیورٹی ایجنسی CISA۔ (2023، اپریل 25)۔ 28 اپریل 2023 کو حاصل کیا گیا، cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% 20عوامی٪ 20 تبصرہ٪ 20 مدت