Desde que la Agencia de Sistemas de Información de Defensa (DISA, por sus siglas en inglés) comenzó a implementar su programa de seguridad de monitoreo continuo de vulnerabilidades internas, la Solución de Evaluación de Cumplimiento Asegurado (ACAS, por sus siglas en inglés), los funcionarios que han trabajado en estrecha colaboración con la solución han elogiado las capacidades de ACAS, desde su monitoreo pasivo continuo hasta su panel de control y las perspectivas de escalamiento a la nube.
DISA emitió por primera vez el contrato del programa de ACAS en 2012, pero ahora que DISA ha renovado el contrato para mantener a ACAS por otros dos años en el Departamento de Defensa (DoD), los funcionarios que han desplegado y elogiado a ACAS compartieron cómo el DoD ha cosechado beneficios del programa que no había visto antes.
ACAS: Antecedentes y Componentes
DISA adjudicó el contrato de ACAS a Perspecta – entonces HPES-en abril de 2012, y a Tenable, Inc. ha proporcionado el software detrás de ACAS, que reemplazó a Retina, la solución anterior que el Departamento de Defensa utilizaba para la seguridad de su red interna. El software de Tenable ganó porque cumplió con los requisitos de la solución ACAS de DISA para una plataforma de evaluación de vulnerabilidades totalmente integrada.
Más específicamente, la solución de Tenable proporciona visibilidad continua en toda la empresa con escaneo activo y pasivo mediante el acoplamiento de dos aplicaciones de escaneo. Una es Nessus, que no solo cumple con Vulnerabilidades y Exposiciones Comunes, sino también con las Directrices de Implementación Técnica de Seguridad (STIG) de DISA.
La otra aplicación es Nessus Network Monitor (NNM), anteriormente llamado Passive Vulnerability Scanner (PVS), que monitorea el tráfico de red pasivo, los nuevos hosts de red y las aplicaciones que son vulnerables a los riesgos. Apoyar y controlar Nessus y NNM es Tenable.sc Vista continua, que recopila datos del escáner y proporciona informes y un panel personalizado.
Lanzamiento de ACAS: La Transición y los beneficios iniciales
Los profesionales de la industria hablaron recientemente sobre los pasos que tomaron para lanzar la solución, así como los beneficios que vieron que ACAS entregaba al Departamento de Defensa.
El arquitecto de Soluciones de NorthTide Phillip Katzman ha pasado los últimos 10 años trabajando con el Departamento de Defensa y su misión de ciberseguridad, y actualmente se centra en la prestación de servicios de ACAS al Comando de Seguridad de Inteligencia del Ejército (INSCOM). Dijo que ACAS se lanzó para uso obligatorio en todos los servicios en enero de 2014 después de que el Departamento de Defensa dedicara dos años a diseñar, hacer guiones gráficos, analizar datos y probar la capacidad operativa. Los beneficios que ACAS trajo a la solución anterior eran claros, dijo.
«Soluciones de software de gestión de vulnerabilidades anteriores: no estaban basadas en la web ni en datos», dijo Katzman. «Que se ejecuta desde una aplicación en un sistema que genera un archivo para que usted mire. Lo que cambió el juego, especialmente con ACAS, es que fueron capaces de tomar eso y ponerlo en una aplicación web basada en datos que es accesible desde cualquier lugar y en cualquier momento.»
Katzman agregó que la capacidad de informes empresariales y paneles de control de ACAS permitió al Departamento de Defensa personalizar la forma en que el liderazgo en ciberseguridad podía realizar escaneos y mirar conjuntos de datos, «cortarlos y cortarlos» según lo solicitado. Kent Nemoto, Administrador del Sistema ACAS, que trabajó con Katzman en la implementación de ACAS en Army INSCOM, agregó que el aspecto personalizable de los paneles hace que la aplicación sea flexible para los usuarios.
Nessus también demostró crear menos «ruido» de red, con un impacto de red mínimo en su escaneo, lo que Katzman atribuye al poder de las capacidades basadas en la web de ACAS.
«Las soluciones anteriores eran muy, muy ruidosas en la red», dijo. «Se podía saber cuándo se realizaban las acreditaciones o evaluaciones debido a los barridos en la red y simplemente hacía que las cosas fueran inutilizables. integration integración, la capacidad de aprovecharla como una verdadera aplicación web moderna. Ese es el mayor diferenciador.»
El Ejército se dio cuenta de estos beneficios al principio de la fase de pruebas de capacidad de ACAS. Katzman dijo que cuando su equipo estaba trabajando en el lanzamiento de NNM en los EE. Comando Indo-Pacífico (USINDOPAYCOM), NNM detectó que un contratista de defensa autorizado estaba emitiendo nuevos correos electrónicos a nuevos empleados en un sitio web HTTP, no un sitio web HTTPS seguro, y como resultado, estaba escribiendo contraseñas en modo transparente. NNM detectó ese problema, permitiendo que el equipo de Katzman ordenara una solución al contratista.
«Probablemente había muchos contratos, cosas que tenían que eran registros confidenciales en una cafetería o algo así», dijo Katzman. «No tengo ninguna duda de que en realidad estaban comprometidos. Pero esa herramienta, algo que acabamos de implementar como prueba, realmente salió y nos mostró eso al instante. Eso es algo que todavía se utiliza hoy en día.»
Beneficios duraderos para el Departamento de Defensa
DISA renovó la licencia de software de Tenable bajo el contrato ACAS en diciembre de 2018, basándose en el éxito de la tecnología en el primer contrato de siete años, según Chris Cleary, ahora vicepresidente de desarrollo y estrategia de negocios en Leidos y anteriormente director de desarrollo de negocios de Tenable que trabajó con DISA antes de la recomposición del contrato.
Cleary dijo que DISA hace «todo lo relacionado con la seguridad y la administración» para el Departamento de Defensa, y la estructura de ACAS ha hecho que la parte administrativa del trabajo de DISA sea mucho más fácil.
«Según las directrices del programa ACAS, la exploración puntual se realiza una vez al mes y realiza una exploración para encontrar vulnerabilidades en la empresa y proporciona un contexto que ayudará al operador a corregir esas vulnerabilidades», dijo Cleary. «Se enjuaga y se repite. Es deliberado en este aspecto y por lo tanto mecánico en su implementación y ejecución.»
«Además de este escaneo e informes de referencia, un valor añadido de la solución de Tenable es que NNM proporciona un monitoreo pasivo y continuo que va más allá de los requisitos del programa ACAS y proporciona una vigilancia constante», agregó.
Los escaneos programados y los informes automatizados simplifican los trabajos de los administradores e ingenieros dentro del Departamento de Defensa, agregó Katzman. En lugar de responder a solicitudes de diferentes informes, el hecho de poder centrarse en aspectos de gran valor de su misión ha mejorado la calidad de su trabajo.
«La solución ahora es capaz de automatizar muchas de esas funciones y características y el panel de riesgos, especialmente con los arcos, las tarjetas de informes de garantía, que es una característica más nueva que se está desarrollando», dijo Katzman. «Cuando deberíamos centrarnos en la misión, y desarrollar y diseñar un sistema, ahora podemos hacerlo. La solución nos da mucho tiempo.»
Crear eficiencia para la fuerza de trabajo tecnológica va de la mano con el ahorro de costos que ACAS ha producido.
Automatizar y simplificar las características administrativas del proceso de gestión de riesgos y vulnerabilidades del Departamento de Defensa ha reducido la necesidad de contratar contratistas y ha liberado al personal del Departamento de Defensa que había dedicado su tiempo a realizar trabajos de menor valor, dijo Katzman. Y ACAS ha desglosado el escaneo y la administración en silos con su alcance para toda la empresa, lo que ha creado más flexibilidad para expandir las operaciones sin aumentar los costos, agregó.
Más allá del ahorro de mano de obra y costos, Katzman enfatizó los beneficios tecnológicos que ACAS ha traído al Departamento de Defensa.
«La capacidad de generación de informes de la solución es un cambio crítico en el juego, particularmente porque los informes se pueden adaptar a diferentes necesidades», dijo Katzman, y agregó que los componentes en tiempo real de ACAS son impresionantes y vitales para la misión de gestión de vulnerabilidades del Departamento de Defensa.
«El beneficio es el monitoreo continuo y lo que realmente podemos ver en tiempo casi real», dijo Katzman. «La gestión de activos e inventarios es extremadamente difícil y poder ver una gran mayoría de sus activos en un momento dado es excelente. Es por eso que hay tantas herramientas complementarias diferentes, el aspecto pasivo de esto, si quieres ver cosas que no están hablando todo el tiempo. Las exploraciones puntuales son excelentes, pero el activo debe estar en línea para que pueda verlo.»
El camino de ACAS Hacia la escalabilidad en la nube Con el Departamento de Defensa
Aunque Cleary, Katzman, Nemoto y otros en el Departamento de Defensa han promocionado el éxito y los beneficios de ACAS hasta el momento, también hablaron sobre las capacidades futuras de la solución en el departamento y cómo escalar a la nube es el próximo gran paso para ACAS.
Cleary dijo que ACAS está diseñado actualmente como una aplicación local, por lo que se instala y se puede ejecutar exclusivamente en computadoras en las instalaciones de aquellos que usan la solución. A medida que el Departamento de Defensa continúa migrando sus servidores a plataformas en la nube, el programa ACAS tendrá que evolucionar de local a local y escalar para proporcionar servicios de seguridad y escaneo a nivel de nube.
«Una vez que puede implementar o aprovechar Tenable en la nube, la escalabilidad se dispara», dijo Cleary.
Escalar ACA a la nube también impulsará la eficiencia y la velocidad de las capacidades de la solución, según Katzman. Dijo que llevar el escáner de Nessus a la nube es el siguiente paso que ve para Tenable y DoD.
«A medida que todo se mueve hacia la nube, se vuelve más pequeño, microservicios, contenedores, necesitaremos ver alguna versión local de un escáner de vulnerabilidades, un análisis de datos que se pueda hacer sobre la marcha en la nube», dijo. «La escalabilidad en la nube es casi instantánea, y en un instante, puede girar de 200 000 a 500 000 máquinas virtuales.»
Mientras el Departamento de Defensa se prepara para emitir pronto su contrato en la nube de Infraestructura Conjunta de Defensa Empresarial (JEDI), Katzman dijo que JEDI busca romper la naturaleza aislada de los servidores y redes de cada servicio militar. Desde el Departamento de Defensa se puede desplegar Sostenible.sc bajo ACAS en varios niveles para que el departamento de ti pueda informar a una o más instancias del centro de seguridad, ACAS puede permitir que el liderazgo del Departamento de Defensa tenga una mayor visión y control sobre el total de los activos de TI de toda la empresa y el cumplimiento de las vulnerabilidades del departamento.
Katzman dijo que, por lo tanto, JEDI y otras soluciones en la nube para toda la empresa funcionan bien junto con ACAS, lo que proporciona la flexibilidad y las capacidades para toda la empresa que el Departamento de Defensa necesita en su monitoreo de redes de vulnerabilidad interna, lo que hace que el futuro de la migración a la nube en el Departamento de Defensa y el crecimiento de ACAS vuele fácilmente en la misma trayectoria.