Seit die Defense Information Systems Agency (DISA) mit der Implementierung ihres internen Schwachstellenmanagements Continuous Monitoring Security Program – Assured Compliance Assessment Solution (ACAS) – begonnen hat, haben Beamte, die eng mit der Lösung zusammengearbeitet haben, die Fähigkeiten von ACAS gelobt, von der kontinuierlichen passiven Überwachung über das Dashboarding bis hin zur Skalierung in die Cloud.

DISA hat den ACAS-Programmvertrag erstmals 2012 ausgestellt, aber jetzt, da DISA den Vertrag zur Aufrechterhaltung von ACAS für weitere zwei Jahre im Verteidigungsministerium (DoD) verlängert hat, teilten die Beamten, die ACAS eingesetzt und gelobt haben, mit, wie das DoD von dem Programm profitiert hat, das es noch nie zuvor gesehen hat.

ACAS: Der Hintergrund und die Komponenten

DISA vergab den ACAS–Auftrag im April 2012 an Perspecta – damals HPES – und Tenable, Inc. hat die Software hinter ACAS zur Verfügung gestellt, die Retina ersetzt – die vorherige Lösung DoD für seine interne Netzwerksicherheit verwendet. Die Software von Tenable hat sich durchgesetzt, weil sie die Anforderungen der ACAS-Lösung von DISA für eine vollständig integrierte Schwachstellenbewertungsplattform erfüllt.Genauer gesagt bietet die Lösung von Tenable durch die Kopplung zweier Scananwendungen eine kontinuierliche unternehmensweite Sichtbarkeit sowohl beim aktiven als auch beim passiven Scannen. Eines davon ist Nessus, das nicht nur den gängigen Schwachstellen und Exposures entspricht, sondern auch den Security Technical Implementation Guidelines (STIGs) von DISA.

Die andere Anwendung ist der Nessus Network Monitor (NNM), der zuvor als Passive Vulnerability Scanner (PVS) bezeichnet wurde und passiven Netzwerkverkehr, neue Netzwerkhosts und Anwendungen überwacht, die anfällig für Kompromittierungen sind. Unterstützung und Steuerung von Nessus und NNM is Tenable.sc Kontinuierliche Ansicht, die Scannerdaten sammelt und Berichte und ein benutzerdefiniertes Dashboard bereitstellt.

Einführung von ACAS: Der Übergang und frühe Vorteile

Branchenexperten sprachen kürzlich über die Schritte, die sie bei der Einführung der Lösung unternommen haben, sowie über die Vorteile, die ACAS dem Verteidigungsministerium gebracht hat.Der North Carolina Solutions Architect Phillip Katzman hat die letzten 10 Jahre mit dem DoD und seiner Cybersicherheitsmission verbracht und konzentriert sich derzeit auf die Bereitstellung von ACAS-Diensten für das Army Intelligence Security Command (INSCOM). Er sagte, dass ACAS im Januar 2014 für die obligatorische Verwendung in den Diensten eingeführt wurde, nachdem das DoD zwei Jahre lang entworfen, Storyboarding, Datenanalyse und Testen der Betriebsfähigkeit durchgeführt hatte. Die Vorteile, die ACAS gegenüber der vorherigen Lösung gebracht habe, seien klar, sagte er.“Frühere Schwachstellenmanagement-Softwarelösungen – sie waren nicht webbasiert, nicht datenbasiert“, sagte Katzman. „Sie haben es von einer Anwendung auf einem System ausgeführt, das eine Datei generiert, die Sie sich ansehen können. Der Game Changer war, insbesondere bei ACAS, dass sie dies in eine datengesteuerte Webanwendung umsetzen konnten, auf die von überall und jederzeit zugegriffen werden kann.“

Katzman fügte hinzu, dass die ACAS Enterprise Reporting- und Dashboard-Funktion es dem DoD ermöglichte, anzupassen, wie Cybersecurity Leadership Scans durchführen und Datensätze betrachten und sie wie gewünscht “ schneiden und würfeln“ konnte. Kent Nemoto, ACAS-Systemadministrator, der mit Katzman bei der Implementierung von ACAS bei Army INSCOM zusammengearbeitet hat, fügte hinzu, dass der anpassbare Aspekt der Dashboards die Anwendung für Benutzer flexibel macht.

Nessus hat auch bewiesen, dass es weniger Netzwerk- „Rauschen“ erzeugt, mit minimalen Netzwerkauswirkungen beim Scannen, was Katzman der Leistungsfähigkeit der webbasierten Funktionen von ACAS zuschreibt.

„Frühere Lösungen waren im Netzwerk sehr, sehr laut“, sagte er. „Man konnte aufgrund der Sweeps im Netzwerk erkennen, wann Akkreditierungen oder Bewertungen stattfanden, und es machte die Dinge einfach unbrauchbar. … Integration, die Fähigkeit, es als echte moderne Webanwendung zu nutzen. Das ist das größte Unterscheidungsmerkmal.“

Die Armee erkannte diese Vorteile früh in der Fähigkeitstestphase von ACAS. Katzman sagte das, als sein Team an der Einführung von NNM in den USA arbeitete. Indo-Pacific Command (USINDOPAYCOM), NNM, stellte fest, dass ein US–Verteidigungsunternehmen neue E–Mails an neue Mitarbeiter auf einer HTTP- und nicht auf einer sicheren HTTPS-Website herausgab und infolgedessen Passwörter im Klartext eingab. NNM erkannte dieses Problem und ermöglichte es Katzmans Team, eine Lösung beim Auftragnehmer zu bestellen.“Es gab wahrscheinlich viele Verträge, Dinge, die sie hatten, die vertraulich waren, sich in einem Coffee-Shop anzumelden oder so“, sagte Katzman. „Ich habe keinen Zweifel daran, dass sie tatsächlich kompromittiert wurden. Aber dieses Tool, etwas, das wir gerade als Test implementiert hatten, kam wirklich heraus und zeigte uns das sofort. Das ist etwas, das noch heute funktioniert.“DISA hat die Softwarelizenz von Tenable im Rahmen des ACAS-Vertrags im Dezember 2018 auf der Grundlage des Erfolgs der Technologie im ersten Siebenjahresvertrag verlängert, so Chris Cleary, jetzt Vice President of Business Development and Strategy bei Leidos und ehemaliger Tenable Business Development Director, der mit DISA im Vorfeld des Vertrags recompete zusammengearbeitet hat.

Cleary sagte, DISA mache „alles sicherheitsverwaltungsmäßig“ für das Verteidigungsministerium, und die Struktur von ACAS habe den administrativen Teil der Arbeit von DISA viel einfacher gemacht.“Gemäß den ACAS-Programmrichtlinien wird einmal im Monat ein Point-in-Time-Scan durchgeführt, um Schwachstellen im Unternehmen zu finden und einen Kontext bereitzustellen, der dem Bediener hilft, diese Schwachstellen zu beheben“, sagte Cleary. „Es spült und wiederholt sich. Es ist bewusst in diesem Aspekt und daher mechanisch in seiner Implementierung und Ausführung.“Zusätzlich zu diesem Baseline-Scanning und Reporting besteht ein Mehrwert der Tenable-Lösung darin, dass NNM eine passive, kontinuierliche Überwachung bietet, die über die Anforderungen des ACAS-Programms hinausgeht und ständige Wachsamkeit bietet“, fügte er hinzu.

Die geplanten Scans und automatisierten Berichte vereinfachen die Arbeit von Administratoren und Ingenieuren innerhalb des DoD, fügte Katzman hinzu. Anstatt auf Anfragen nach verschiedenen Berichten zu reagieren, hat die Möglichkeit, sich auf hochwertige Aspekte ihrer Mission zu konzentrieren, die Qualität ihrer Arbeit verbessert.“Die Lösung ist jetzt in der Lage, viele dieser Funktionen und Funktionen sowie das Risiko–Dashboard zu automatisieren, insbesondere mit den ARCs – den Assurance Report Cards -, einer neueren Funktion, die sich weiterentwickelt“, sagte Katzman. „Wenn wir uns auf die Mission konzentrieren und ein System entwickeln und entwerfen sollten, können wir das jetzt tun. Die Lösung gibt uns viel Zeit.“Die Schaffung von Effizienz für die Tech-Belegschaft geht Hand in Hand mit Kosteneinsparungen, die ACAS erzielt hat.Die Automatisierung und Vereinfachung der administrativen Funktionen des Anfälligkeits- und Risikomanagementprozesses des Verteidigungsministeriums habe die Notwendigkeit verringert, Auftragnehmer einzustellen, und das Personal des Verteidigungsministeriums befreit, das seine Zeit mit weniger wertvoller Arbeit verbracht habe, sagte Katzman. Und ACAS hat mit seinem unternehmensweiten Umfang das Scannen und die Verwaltung von Silos abgebaut, was zu mehr Flexibilität bei der Erweiterung des Betriebs geführt hat, ohne die Kosten zu erhöhen, fügte er hinzu.

Neben Arbeits- und Kosteneinsparungen betonte Katzman die technologischen Vorteile, die ACAS dem Verteidigungsministerium gebracht hat.

„Die Reporting-Fähigkeit der Lösung ist ein entscheidender Spiel-Wechsler, vor allem, weil Berichte auf unterschiedliche Bedürfnisse zugeschnitten werden können“, sagte Katzman und fügte hinzu, dass die Echtzeit-Komponenten von ACAS sind beeindruckend und entscheidend für DOD Vulnerability Management Mission.“Der Vorteil ist die kontinuierliche Überwachung und das, was wir wirklich in nahezu Echtzeit sehen können“, sagte Katzman. „Das Asset- und Bestandsmanagement ist extrem schwierig und es ist hervorragend, einen Großteil Ihrer Assets gleichzeitig sehen zu können. Deshalb gibt es so viele verschiedene ergänzende Tools – den passiven Aspekt, wenn Sie Dinge sehen möchten, die nicht die ganze Zeit sprechen. Point-in-Time-Scans sind großartig, aber das Asset muss online sein, damit Sie das sehen können.“

ACAS’Weg mit DoD zur Cloud-Skalierbarkeit

Obwohl Cleary, Katzman, Nemoto und andere bei DoD den Erfolg und die Vorteile von ACAS bisher angepriesen haben, sprachen sie auch über die zukünftigen Fähigkeiten der Lösung in der Abteilung und darüber, wie die Skalierung in die Cloud der nächste große Schritt für ACAS ist.

Cleary sagte, dass ACAS derzeit als On-Premise-Anwendung konzipiert ist, so dass es installiert ist und ausschließlich auf Computern in den Räumlichkeiten der Benutzer der Lösung ausgeführt werden kann. Da DoD seine Server weiterhin auf Cloud-Plattformen migriert, muss sich das ACAS-Programm von On-prem weiterentwickeln und skalieren, um Sicherheits- und Scandienste auf Cloud-Ebene bereitzustellen.“Sobald Sie Tenable in der Cloud bereitstellen oder nutzen können, geht die Skalierbarkeit durch das Dach“, sagte Cleary.

Die Skalierung von ACAS in die Cloud wird laut Katzman auch die Effizienz und die Geschwindigkeit der Lösungsfunktionen steigern. Er sagte, dass die Übernahme des On-Prem-Nessus-Scanners in die Cloud der nächste Schritt ist, den er für Tenable und DoD sieht.“Wenn sich alles in die Cloud verlagert – kleiner wird, Microservices, Containerisierung -, müssen wir eine On-Prem-Version eines Schwachstellenscanners sehen, eine Datenanalyse, die im laufenden Betrieb in der Cloud durchgeführt werden kann“, sagte er. „Die Cloud-Skalierbarkeit ist fast augenblicklich und mit einem Fingertipp können Sie 200.000 bis 500.000 virtuelle Maschinen drehen.“Während sich das Verteidigungsministerium darauf vorbereitet, bald seinen Cloud-Vertrag Joint Enterprise Defense Infrastructure (JEDI) auszustellen, sagte Katzman, JEDI wolle die isolierte Natur der Server und Netzwerke jedes Militärdienstes aufbrechen. Da kann DoD Tenable bereitstellen.SC unter ACAS auf verschiedenen Ebenen, damit die IT an eine oder mehrere Security Center-Instanzen berichten kann, ACAS kann es der DoD-Führung ermöglichen, einen besseren Überblick über die gesamten unternehmensweiten IT-Assets und die Einhaltung der Sicherheitsanforderungen der Abteilung zu erhalten und diese zu kontrollieren.Katzman sagte, dass JEDI und andere unternehmensweite Cloud-Lösungen daher gut mit ACAS zusammenarbeiten – was die Flexibilität und die unternehmensweiten Funktionen bietet, die DoD bei der Überwachung seiner internen Schwachstellennetzwerke benötigt, was die Zukunft der Cloud-Migration bei DoD und ACAS Wachstum eine, die leicht auf der gleichen Flugbahn fliegt.