The OIG Takes The DoD To Task For Ignoring Cybersecurity Recommendations For Over Ten Years

由柏拉图重新发布

关注： 0

如果美国国防部——我们抵御内部和外部网络威胁的最大防线——花费一天、一小时或一分钟的时间来采取纠正措施，从其关键 IT 中移除充满漏洞和过时的硬件和软件，那么这将带来灾难性的影响基础设施。

宾夕法尼亚州里格尔斯维尔 (PRWEB) 2023 年 5 月 15 日

当好莱坞描绘计算机黑客的黑社会时，正邪政府演员之间试图拯救或摧毁世界的战斗令人心跳加速，灯光不祥，打开和关闭防火墙时，手指毫不费力地同时在多个键盘上飞舞以闪电般的速度。精明的联邦情报机构总是拥有最新的华而不实的高科技设备。但现实很少符合标准。五角大楼是美国国防部 (DoD) 的总部，是美国军事实力的有力象征。然而，从 2014 年到 2022 年，有 822 个政府机构成为网络攻击的受害者，影响了近 175 亿份政府记录，损失约为 26 亿美元。(1) 国防部受到 DoD OIG（监察长办公室）的密切关注，他们最近的审计报告对这个国家最大的政府机构的声誉造成了损害。 Walt Szablowski，创始人兼执行主席古怪的XNUMX 多年来一直为其大型企业客户的网络提供全面可见性的公司警告说：“如果美国国防部（我们抵御内部和外部网络威胁的最大防线）花费一天、一小时或一小时，其影响可能是灾难性的。分钟太长，无法采取纠正措施从其关键 IT 基础设施中删除漏洞百出和过时的硬件和软件。零信任架构是网络安全工具箱中最大、最有效的工具。”

就在 2023 年 9 月，在美国联邦航空局启动地面停止以阻止所有飞机起飞和到达后，全世界都屏住了呼吸。自 11/2 事件以来，还没有采取过如此极端的措施。美国联邦航空局的最终判断是，负责提供重要安全信息以防止空难的空中任务通知 (NOTAM) 系统在例行维护期间发生中断，当时一个文件被错误地替换为另一个文件。(1) 三周后， DoD OIG 公开发布了 2020 年 30 月 2022 日至 2023 年 047 月 3 日期间关于 DoD 网络安全的报告和证词摘要 (DODIG-XNUMX-XNUMX) 审计，总结了关于 DoD 网络安全的非机密和机密报告和证词。(XNUMX)

根据 OIG 报告，联邦机构必须遵循美国国家标准与技术研究院 (NIST) 改善关键基础设施网络安全框架的指导方针。该框架包括五个支柱——识别、保护、检测、响应和恢复——以实施作为综合风险管理战略协同工作的高级网络安全措施。 OIG 和其他国防部监督实体主要关注两个支柱——识别和保护，较少强调其余三个支柱——检测、响应和恢复。该报告的结论是，在当前和过去的总结报告中提出的 895 项网络安全相关建议中，国防部仍有 478 个开放的安全问题可追溯到 2012 年。 (3)

2021 年 14028 月，白宫发布了第 4 号行政命令：改善国家网络安全，要求联邦机构通过采用零信任架构并指示采用多因素身份验证加密来增强网络安全和软件供应链完整性。零信任通过促进政府范围内的端点检测和响应系统来增强对联邦网络上恶意网络活动的识别。网络安全事件日志要求旨在改善联邦政府机构之间的交叉沟通。 (XNUMX)

零信任架构在其最基本的层面上，通过始终假定网络存在内部和外部威胁，对网络安全供应链上的每个组件采取坚决怀疑和不信任的姿态。但零信任远不止于此。

零信任的实施迫使组织最终：

定义被保护的组织网络。
设计保护网络的特定于组织的流程和系统。
维护、修改和监控系统以确保流程正常运行。
不断审查流程并对其进行修改以解决新定义的风险。

网络安全和基础设施安全局 (CISA) 正在开发一个零信任成熟度模型，该模型具有自己的五个支柱——身份、设备、网络、数据以及应用程序和工作负载——以协助政府机构制定和实施零信任战略和解决方案.(5)

零信任架构仍然是一个理论概念，没有像 Eracent 那样的结构化和可审计的流程 ClearArmor 零信任资源规划 (ZTRP) 计划. 其完整的框架使用实时审计风险分析系统地综合了所有组件、软件应用程序、数据、网络和端点。零信任的成功部署需要软件供应链中的每个组成部分都毫无疑问地证明它是可以信任和依赖的。

传统的漏洞分析工具不会系统地检查应用程序供应链的所有组件，例如可能带来安全风险的过时和过时的代码。 Szablowski 承认并赞扬这些政府举措，并警告说，“零信任是一个明确定义、管理和不断发展的过程；它不是“一劳永逸”。第一步是定义网络的规模和范围，并确定需要保护的内容。最大的风险和优先事项是什么？然后在一个单一的管理和报告平台上，在自动化、连续和可重复的管理流程中创建一套规定的指导方针。”

关于 Eracent
Walt Szablowski 是 Eracent 的创始人兼执行主席，并担任 Eracent 子公司（波兰华沙的 Eracent SP ZOO；印度班加罗尔的 Eracent Private LTD 和巴西的 Eracent）的主席。 Eracent 帮助其客户应对在当今复杂且不断发展的 IT 环境中管理 IT 网络资产、软件许可证和网络安全的挑战。 Eracent 的企业客户每年可显着节省软件开支，降低审计和安全风险，并建立更高效的资产管理流程。 Eracent 的客户群包括一些世界上最大的企业和政府网络和 IT 环境。数十家财富 500 强公司依靠 Eracent 解决方案来管理和保护他们的网络。访问 https://eracent.com/. 

参考文献：
1) Bischoff, P.（2022 年，29 月 28 日）。政府违规——你能相信美国政府会处理你的数据吗？比较技术。 2023 年 XNUMX 月 XNUMX 日检索自 comparitech.com/blog/vpn-privacy/us-government-breaches/
2) FAA Notam 声明。 FAA 航行通告声明 | 美国联邦航空管理局。 (nd). 1 年 2023 月 XNUMX 日检索自.faa.gov/newsroom/faa-notam-statement
3) 1 年 2020 月 2023 日至 30 年 28 月 2023 日有关国防部网络安全的报告和证词摘要。国防部监察长办公室。（3284561 年 1 月 2020 日）。 XNUMX 年 XNUMX 月 XNUMX 日检索自 dodig.mil/reports.html/Article/XNUMX/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-XNUMX-XNUMX/
4) 第 14028 号行政命令：改善国家网络安全。 GSA。（2021 年 28 月 29 日）。 2023 年 14028 月 XNUMX 日检索自 gsa.gov/technology/technology-products-services/it-security/executive-order-XNUMX-improving-the-nations-cybersecurity
5) CISA 发布更新的零信任成熟度模型：CISA。网络安全和基础设施安全局 CISA。（2023 年，25 月 28 日）。 2023 年 20 月 20 日检索自 cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%202021of%20the,the%20% 20public%XNUMXcomment%XNUMXperiod