siden Defense Information Systems Agency (DISA) begyndte at implementere sit interne sårbarhedsstyrings løbende overvågningsprogram – Assured Compliance Assessment Solution (ACAS) – embedsmænd, der har arbejdet tæt sammen med løsningen, har rost ACAS ‘ s muligheder, fra dens kontinuerlige passive overvågning til dens dashboarding og udsigter til skalering til skyen.
DISA udstedte først ACAS ‘ programkontrakt i 2012, men nu hvor DISA har fornyet kontrakten om at opretholde ACAS i yderligere to år på Forsvarsministeriet (DoD), delte de embedsmænd, der har indsat og rost ACAS, hvordan DoD har høstet fordele fra programmet, som det ikke har set før.
ACAS: baggrunden og komponenterne
DISA tildelte ACAS – kontrakten til Perspecta – dengang HPES-i April 2012 og Tenable, Inc. har leveret programmet Bag ACAS, som erstattede Retina – den tidligere løsning DoD, der blev brugt til dets interne netværkssikkerhed. Tenables program vandt, fordi det opfyldte disas ACAs-løsningskrav til en fuldt integreret sårbarhedsvurderingsplatform.mere specifikt giver Tenables løsning kontinuerlig synlighed i hele virksomheden med både aktiv og passiv scanning ved at koble to scanningsapplikationer. Den ene er Nessus, som ikke kun er i overensstemmelse med almindelige sårbarheder og eksponeringer, men også disas retningslinjer for sikkerhedsteknisk implementering (STIGs).
den anden applikation er Nessus Netværksmonitor (NNM), tidligere navngivet passiv sårbarhedsscanner (PVS), der overvåger passiv netværkstrafik, nye netværkshosts og applikationer, der er sårbare over for kompromis. Støtte og styring af Nessus og NNM er Tenable.sc kontinuerlig visning, som indsamler scannerdata og giver rapporter og et brugerdefineret dashboard.
lancering af ACAS: overgangen og tidlige fordele
branchefolk talte for nylig om de skridt, de tog i lanceringen af løsningen, samt de fordele, de så ACAS levere til DoD.NorthTide Solutions arkitekt har brugt de sidste 10 år på at arbejde med DoD og dets cybersikkerhedsmission, og han fokuserer i øjeblikket på at levere ACAS-tjenester til Army Intelligence Security Command (INSCOM). Han sagde, at ACAS blev lanceret til obligatorisk brug på tværs af tjenesterne i januar 2014, efter at DoD brugte to år på at designe, storyboarding, dataanalyse og test af funktionsdygtig kapacitet. De fordele, ACAS bragte over den tidligere løsning, var klare, sagde han.”tidligere løsninger til sårbarhedsstyring-de var ikke internetbaserede, ikke databaserede,” sagde han. “Du kørte det fra et program på et system, der genererer en fil, som du kan se på. Hvad game changer var, især med ACAS, er, at de var i stand til at tage det og sætte det i en datadrevet internetapplikation, der er tilgængelig fra hvor som helst til enhver tid.”ACAs enterprise reporting og dashboard capability tillod DoD at tilpasse, hvordan cybersecurity leadership kunne udføre scanninger og se på datasæt, “skære og dicing” dem som ønsket. Kent Nemoto, ACAs systemadministrator, der arbejdede med at implementere ACAS hos Army INSCOM, tilføjede, at det tilpassede aspekt af dashboards gør applikationen fleksibel for brugerne.Nessus viste sig også at skabe mindre netværks “støj”, med minimal netværkspåvirkning i scanningen, hvilket han krediterer kraften i ACAS ‘ internetbaserede kapaciteter.
“tidligere løsninger var virkelig, virkelig støjende på netværket,” sagde han. “Du kunne fortælle, hvornår akkrediteringer eller vurderinger foregik på grund af fejningerne på netværket, og det gjorde bare tingene ubrugelige. … integration, evnen til at udnytte det som en ægte moderne internetapplikation. Det er den største differentiator.”
hæren indså disse fordele tidligt i ACAs ‘ kapacitetstestfase. Det sagde han, da hans team arbejdede på NNM-lanceringen i USA. Indo-Pacific Command (USINDOPAYCOM) opdagede NNM, at en ryddet forsvarsentreprenør udstedte nye e – mails til nye medarbejdere på en HTTP – ikke en sikker HTTPS-hjemmeside og som følge heraf skrev adgangskoder i clear. NNM opdagede dette problem, hvilket gjorde det muligt for Katsmans team at bestille en løsning fra entreprenøren.”der var sandsynligvis masser af kontrakter, ting, de havde, der var fortrolige at logge på i en kaffebar eller noget,” sagde han. “Der er ingen tvivl i mit sind om, at de faktisk blev kompromitteret. Men det værktøj, noget, som vi netop havde implementeret som en test, kom virkelig ud og viste os det med det samme. Det er noget, der stadig udnytter i dag.”
langvarige fordele for DoD
DISA fornyede Tenables programlicens under ACAS-kontrakten i December 2018 baseret på teknologiens succes i den første syv-årige kontrakt, ifølge Chris Cleary, nu vicepræsident for forretningsudvikling og strategi hos Leidos og tidligere en Tenable business development director, der arbejdede med DISA, der førte op til kontrakten recompete.
Cleary sagde, at DISA gør “alle ting sikkerhedsmæssigt administrativt” for DoD, og ACAS ‘ s struktur har gjort den administrative del af disas arbejde meget lettere.
“under ACAs-programmets retningslinjer udføres point-in-time-scanning en gang om måneden og foretager en scanning for at finde sårbarheder i virksomheden og giver kontekst, der hjælper operatøren med at rette disse sårbarheder,” sagde Cleary. “Det skyller og gentager. Det er bevidst i dette aspekt og derfor mekanisk i dens implementering og udførelse.”
” ud over denne baseline scanning og rapportering er en merværdi af Tenables løsning, at NNM giver passiv, kontinuerlig overvågning, der går ud over ACAS-programkravene og giver konstant årvågenhed, ” tilføjede han.de planlagte scanninger og automatiserede rapporter forenkler opgaverne for administratorer og ingeniører inden for DoD. I stedet for at svare på anmodninger om forskellige rapporter har det at kunne fokusere på værdifulde aspekter af deres mission forbedret kvaliteten af deres arbejde.”løsningen er nu i stand til at automatisere mange af disse funktioner og funktioner og risikodashboardet, især med ARCs – assurance report cards – som er en nyere funktion, der bygger ud,” sagde han. “Når vi skal fokusere på missionen og udvikle og designe et system, skal vi nu gøre det. Løsningen giver os meget tid.”
at skabe effektivitet for den tekniske arbejdsstyrke går hånd i hånd med omkostningsbesparelser, som ACAS har givet.automatisering og forenkling af administrative funktioner i DoD ‘ s sårbarhed og risikostyringsproces har reduceret behovet for at ansætte entreprenører og frigjort DoD-personale, der havde brugt deres tid på at udføre arbejde med lavere værdi. Og ACAS har nedbrudt siloed scanning og administration med sit virksomhedsdækkende omfang, hvilket har skabt mere fleksibilitet i at udvide driften uden at samle omkostninger, tilføjede han.ud over arbejdskraft og omkostningsbesparelser understregede han de teknologiske fordele, som ACAS har bragt til DoD.”løsningens rapporteringsevne er en kritisk spilskifter, især fordi rapporter kan skræddersys til forskellige behov,” sagde han og tilføjede, at realtidskomponenterne i ACAS er imponerende og afgørende for Dods sårbarhedsstyringsmission.”fordelen er løbende overvågning, og hvad vi virkelig kan se i nær realtid,” sagde han. “Asset og lagerstyring er yderst vanskeligt og at kunne se et stort flertal af dine aktiver på et tidspunkt er fremragende. Derfor er der så mange forskellige komplementære værktøjer – det passive aspekt af det, hvis du vil se ting, der ikke helt taler hele tiden. Point-in-time scanninger er gode, men aktivet skal være online for at du kan se det.”
ACAS ‘ vej frem med DoD til Cloud skalerbarhed
selvom Cleary, Katsman, Nemoto og andre hos DoD har udråbt succesen og fordelene ved ACAS hidtil, talte de også om de fremtidige muligheder for løsningen på afdelingen, og hvordan skalering til skyen er det næste store skridt for ACAS.Cleary sagde, at ACAS i øjeblikket er designet som en lokal applikation, så den er installeret og udelukkende kan køre på computere hos dem, der bruger løsningen. Da DoD fortsætter med at migrere sine servere til skyplatforme, ACAS-programmet bliver nødt til at udvikle sig fra on-prem og skalere op for at levere sikkerheds-og scanningstjenester på cloud-niveau.
“når du kan implementere eller udnytte holdbar til skyen, går skalerbarheden gennem taget,” sagde Cleary.hvis ACAS skaleres til skyen, vil det også øge effektiviteten og hastigheden af løsningens muligheder. Han sagde, at det at tage on-prem Nessus-scanneren til skyen er det næste skridt, han ser for Tenable og DoD.
“Når alt bevæger sig ind i skyen – bliver mindre, mikroservices, containerisering – bliver vi nødt til at se en on-prem-version af en sårbarhedsscanner, dataanalyse, der kan udføres på farten i skyen,” sagde han. “Skyskalerbarheden er næsten øjeblikkelig, og med et øjeblik med fingrene kan du dreje 200.000 til 500.000 virtuelle maskiner.”da DoD forbereder sig på snart at udstede sin joint Enterprise Defense Infrastructure (JEDI) cloud-kontrakt, sagde Jedi, at JEDI ser ud til at nedbryde den siloede karakter af hver militærtjenestes servere og netværk. Da DoD kan implementere holdbar.sc under ACAS på forskellige niveauer, så det kan rapportere til en eller flere sikkerhedscenterinstanser, ACAS kan gøre det muligt for DoD-ledelse at få et større overblik over og kontrol over afdelingens samlede IT-aktiver og sårbarhedsoverensstemmelser.JEDI og andre cloud-løsninger, der dækker hele virksomheden, fungerer derfor godt sammen med ACAS – hvilket giver den fleksibilitet og de muligheder, som DoD har brug for i sin interne overvågning af sårbarhedsnetværk, hvilket gør fremtiden for cloud migration hos DoD og ACAS ‘ vækst til en, der let flyver på samme bane.