OIG đưa DoD vào nhiệm vụ bỏ qua các khuyến nghị về an ninh mạng trong hơn mười năm

Hệ lụy có thể là thảm họa nếu DoD, tuyến phòng thủ lớn nhất của chúng ta chống lại các mối đe dọa mạng bên trong và bên ngoài, mất quá một ngày, một giờ hoặc một phút để thực hiện các hành động khắc phục nhằm loại bỏ phần cứng và phần mềm lỗi thời và chứa nhiều lỗ hổng khỏi hệ thống CNTT quan trọng của nó cơ sở hạ tầng.

RIEGELSVILLE, Pa. (PRWEB) 15 Tháng Năm, 2023

Khi Hollywood mô tả thế giới ngầm của tin tặc máy tính, với những cảnh chiến đấu gay cấn giữa các diễn viên chính phủ thiện và ác đang cố gắng cứu hoặc hạ gục thế giới, ánh sáng thật đáng ngại, các ngón tay di chuyển dễ dàng trên nhiều bàn phím cùng lúc trong khi mở và đóng tường lửa với tốc độ cực nhanh. Và các cơ quan tình báo liên bang khéo léo luôn có những thiết bị công nghệ cao, hào nhoáng mới nhất. Nhưng thực tế hiếm khi đo lường. Lầu Năm Góc, trụ sở của Bộ Quốc phòng (DoD), là một biểu tượng mạnh mẽ về sức mạnh quân sự và sức mạnh của Hoa Kỳ. Tuy nhiên, từ năm 2014 đến năm 2022, 822 cơ quan chính phủ đã trở thành nạn nhân của các cuộc tấn công mạng, ảnh hưởng đến gần 175 triệu hồ sơ chính phủ với chi phí khoảng 26 tỷ đô la.(1) DoD nằm dưới sự giám sát chặt chẽ của DoD OIG (Văn phòng Tổng Thanh tra) , và báo cáo kiểm toán gần đây nhất của họ là một vết đen đối với danh tiếng của cơ quan chính phủ lớn nhất quốc gia. Walt Szablowski, Người sáng lập và Chủ tịch điều hành của kỷ nguyên, đã cung cấp khả năng hiển thị đầy đủ về mạng của các khách hàng doanh nghiệp lớn trong hơn hai thập kỷ, cảnh báo: “Những tác động có thể là thảm họa nếu DoD, tuyến phòng thủ lớn nhất của chúng tôi chống lại các mối đe dọa mạng bên trong và bên ngoài, mất một ngày, một giờ hoặc một quá lâu để thực hiện các hành động khắc phục nhằm loại bỏ phần cứng và phần mềm lỗi thời và chứa nhiều lỗ hổng khỏi cơ sở hạ tầng CNTT quan trọng của mình. Zero Trust Architecture là công cụ lớn nhất và hiệu quả nhất trong hộp công cụ an ninh mạng.”

Gần đây nhất là vào tháng 2023 năm 9, thế giới đã nín thở tập thể sau khi FAA khởi xướng lệnh dừng trên mặt đất, ngăn chặn tất cả các chuyến bay khởi hành và hạ cánh. Kể từ sau sự kiện 11/2, các biện pháp cực đoan như vậy đã không được thực hiện. Phán quyết cuối cùng của FAA là sự cố ngừng hoạt động trong hệ thống Thông báo cho Nhiệm vụ Hàng không (NOTAM) chịu trách nhiệm cung cấp thông tin an toàn quan trọng để ngăn ngừa thảm họa hàng không đã bị xâm phạm trong quá trình bảo trì định kỳ khi một tệp bị thay thế nhầm bằng một tệp khác. (1) Ba tuần sau, phán quyết cuối cùng của FAA là DoD OIG đã công bố bản Tóm tắt Báo cáo và Lời khai về An ninh mạng của DoD từ ngày 2020 tháng 30 năm 2022 đến ngày 2023 tháng 047 năm 3 (DODIG-XNUMX-XNUMX) kiểm tra tóm tắt các báo cáo và lời khai chưa được phân loại và mật về an ninh mạng của DoD.(XNUMX)

Theo báo cáo của OIG, các cơ quan liên bang được yêu cầu tuân theo các hướng dẫn của Khuôn khổ của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) để Cải thiện An ninh mạng Cơ sở Hạ tầng Quan trọng. Khuôn khổ này bao gồm năm trụ cột — Xác định, Bảo vệ, Phát hiện, Ứng phó và Khôi phục — để triển khai các biện pháp an ninh mạng cấp cao hoạt động cùng nhau như một chiến lược quản lý rủi ro toàn diện. OIG và các cơ quan giám sát khác của DoD chủ yếu tập trung vào hai trụ cột — Xác định và Bảo vệ, ít chú trọng hơn vào ba trụ cột còn lại — Phát hiện, Phản hồi và Phục hồi. Báo cáo kết luận rằng trong số 895 khuyến nghị liên quan đến an ninh mạng trong các báo cáo tóm tắt hiện tại và trước đây, Bộ Quốc phòng vẫn còn 478 vấn đề bảo mật mở kể từ năm 2012.(3)

Vào tháng 2021 năm 14028, Nhà Trắng đã ban hành Sắc lệnh 4: Cải thiện An ninh mạng Quốc gia, yêu cầu các cơ quan liên bang tăng cường an ninh mạng và tính toàn vẹn của chuỗi cung ứng phần mềm bằng cách áp dụng Kiến trúc Zero Trust với chỉ thị sử dụng mã hóa xác thực đa yếu tố. Zero Trust tăng cường khả năng xác định hoạt động mạng độc hại trên các mạng liên bang bằng cách tạo điều kiện cho hệ thống phản hồi và phát hiện điểm cuối trên toàn chính phủ. Yêu cầu về nhật ký sự kiện an ninh mạng được thiết kế để cải thiện hoạt động liên lạc chéo giữa các cơ quan chính phủ liên bang.(XNUMX)

Kiến trúc Zero Trust, ở cấp độ cơ bản nhất, đảm nhận tư thế kiên quyết hoài nghi và không tin tưởng mọi thành phần trong chuỗi cung ứng an ninh mạng bằng cách luôn giả định trước sự tồn tại của các mối đe dọa bên trong và bên ngoài đối với mạng. Nhưng Zero Trust còn hơn thế nữa.

Việc triển khai Zero Trust buộc tổ chức cuối cùng phải:

• Xác định mạng của tổ chức đang được bảo vệ.
• Thiết kế một quy trình và hệ thống dành riêng cho tổ chức để bảo vệ mạng.
• Duy trì, sửa đổi và giám sát hệ thống để đảm bảo quy trình đang hoạt động.
• Liên tục xem xét quy trình và sửa đổi nó để giải quyết các rủi ro mới được xác định.

Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) đang phát triển Mô hình Trưởng thành Zero Trust với năm trụ cột của riêng mình — Danh tính, Thiết bị, Mạng, Dữ liệu, Ứng dụng và Khối lượng công việc — để hỗ trợ các cơ quan chính phủ phát triển và triển khai các chiến lược và giải pháp Zero Trust .(5)

Kiến trúc Zero Trust vẫn là một khái niệm lý thuyết mà không có quy trình có cấu trúc và có thể kiểm tra được như của Eracent Sáng kiến ​​lập kế hoạch tài nguyên ClearArmor Zero Trust (ZTRP). Khung không rút gọn của nó tổng hợp một cách có hệ thống tất cả các thành phần, ứng dụng phần mềm, dữ liệu, mạng và điểm cuối bằng cách sử dụng phân tích rủi ro kiểm toán theo thời gian thực. Việc triển khai thành công Zero Trust yêu cầu mọi thành phần trong chuỗi cung ứng phần mềm phải chứng minh chắc chắn rằng nó có thể được tin cậy và dựa vào.

Các công cụ phân tích lỗ hổng thông thường không xem xét kỹ lưỡng một cách có phương pháp tất cả các thành phần trong chuỗi cung ứng của ứng dụng, chẳng hạn như mã cũ và lỗi thời có thể gây ra rủi ro bảo mật. Szablowski thừa nhận và hoan nghênh những sáng kiến ​​này của chính phủ, đồng thời cảnh báo: “Zero Trust là một quy trình được xác định rõ ràng, được quản lý và liên tục phát triển; nó không phải là 'một và thực hiện.' Bước đầu tiên là xác định quy mô và phạm vi của mạng và xác định những gì cần được bảo vệ. Những rủi ro và ưu tiên lớn nhất là gì? Sau đó, tạo một bộ hướng dẫn theo quy định trong một quy trình quản lý tự động, liên tục và có thể lặp lại trên một nền tảng báo cáo và quản lý duy nhất.”

Về Eracent
Walt Szablowski là Người sáng lập và Chủ tịch điều hành của Eracent, đồng thời là Chủ tịch của các công ty con của Eracent (Eracent SP ZOO, Warsaw, Ba Lan; Eracent Private LTD ở Bangalore, Ấn Độ và Eracent Brazil). Eracent giúp khách hàng của mình đáp ứng những thách thức trong việc quản lý tài sản mạng CNTT, giấy phép phần mềm và an ninh mạng trong môi trường CNTT phức tạp và đang phát triển ngày nay. Các khách hàng doanh nghiệp của Eracent tiết kiệm đáng kể chi phí phần mềm hàng năm, giảm rủi ro kiểm toán và bảo mật, đồng thời thiết lập các quy trình quản lý tài sản hiệu quả hơn. Cơ sở khách hàng của Eracent bao gồm một số mạng công ty và chính phủ cũng như môi trường CNTT lớn nhất thế giới. Hàng chục công ty trong danh sách Fortune 500 dựa vào các giải pháp của Eracent để quản lý và bảo vệ mạng của họ. Thăm nom https://eracent.com/. 

Tài liệu tham khảo:
1) Bischoff, P. (2022, ngày 29 tháng 28). Vi phạm của chính phủ – bạn có thể tin tưởng vào chính phủ Hoa Kỳ với dữ liệu của bạn không? So sánh. Truy cập ngày 2023 tháng XNUMX năm XNUMX, từ comparitech.com/blog/vpn-privacy/us- Government-breaches/
2) Tuyên bố FAA Notam. Tuyên bố FAA NOTAM | Cục quản lý hàng không liên bang. (nd). Truy cập ngày 1 tháng 2023 năm XNUMX, from.faa.gov/newsroom/faa-notam-statement
3) Tóm tắt các báo cáo và lời khai liên quan đến an ninh mạng của Bộ Quốc phòng từ ngày 1 tháng 2020 năm 2023 đến hết. Bộ Quốc phòng Văn phòng Tổng Thanh tra. (30, ngày 28 tháng 2023). Truy cập ngày 3284561 tháng 1 năm 2020, từ dodig.mil/reports.html/Article/XNUMX/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-XNUMX-XNUMX/
4) Sắc lệnh 14028: Cải thiện an ninh mạng quốc gia. GSA. (2021, ngày 28 tháng 29). Truy cập ngày 2023 tháng 14028 năm XNUMX, từ gsa.gov/technology/technology-products-services/it-security/executive-order-XNUMX-improving-the-nations-cybersecurity
5) CISA phát hành mô hình đáo hạn Zero trust được cập nhật: CISA. Cơ quan an ninh cơ sở hạ tầng và an ninh mạng CISA. (2023, ngày 25 tháng 28). Truy cập ngày 2023 tháng 20 năm 20, từ cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20 five%20pillars%202021of%20the,the%20% 20công khai%XNUMXbình luận%XNUMXthời gian

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
• Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
• nguồn: https://www.prweb.com/releases/the_oig_takes_the_dod_to_task_for_ignoring_cybersecurity_recommendations_for_over_ten_years/prweb19337401.htm