Since the Defense Information Systems Agency (DISA) started implementing its internal vulnerability management continuous monitoring security program – Assured Compliance Assessment Solution (ACAS) – officials who have worked closely with the solution has praised ACAS ’ s capabilities, from its continuous passive monitoring, to its dashboarding and prospects of scaling to the cloud.
DISA julkaisi ACASIN ohjelmasopimuksen ensimmäisen kerran vuonna 2012, mutta nyt kun DISA on uusinut sopimuksen ACASIN ylläpidosta vielä kahdeksi vuodeksi puolustusministeriössä (DoD), acasin käyttöön ottaneet ja ylistäneet virkamiehet kertoivat, miten puolustusministeriö on hyötynyt ohjelmasta, jota se ei ole aiemmin nähnyt.
ACAS: the Background and Components
DISA myönsi ACAS – sopimuksen Perspecta – then HPES-yhtiölle huhtikuussa 2012, ja Tenable, Inc. on antanut ohjelmiston takana ACAS, joka korvasi Retina-edellinen ratkaisu DoD käytetään sen sisäisen verkon turvallisuus. Tenablen ohjelmisto voitti, koska se täytti Disan ACAS-ratkaisun vaatimukset täysin integroidulle haavoittuvuuden arviointialustalle.
tarkemmin sanottuna Tenablen ratkaisu tarjoaa jatkuvan näkyvyyden yrityksen laajuisesti sekä aktiivisella että passiivisella skannauksella kytkemällä kaksi skannaussovellusta. Yksi niistä on Nessus, joka noudattaa yleisten haavoittuvuuksien ja altistusten lisäksi myös Disan tietoturvan teknisiä Toteutusohjeita (STIGs).
toinen sovellus on Nessus Network Monitor (nnm), aiemmalta nimeltään Passive Vulnerability Scanner (PVS), joka seuraa passiivista verkkoliikennettä, uusia verkko-isäntiä ja kompromisseille alttiita sovelluksia. Nessusta ja NNM: ää tuetaan ja ohjataan Tenable.sc jatkuva näkymä, joka kerää skannerin tiedot ja tarjoaa raportteja ja mukautetun kojelauta.
lanseeraus ACAS: the transitional and Early Benefits
alan ammattilaiset puhuivat äskettäin ratkaisun käynnistämisen vaiheista sekä eduista, joita he näkivät ACAS: n tuottavan puolustusministeriölle.
NorthTide Solutionsin arkkitehti Phillip Katzman on työskennellyt viimeiset 10 vuotta puolustusministeriön ja sen kyberturvallisuusoperaation parissa, ja hän keskittyy tällä hetkellä toimittamaan ACAS-palveluita armeijan tiedustelupalvelulle (Inscom). Hän sanoi, että ACAS käynnistettiin pakolliseen käyttöön kaikissa palveluissa tammikuussa 2014 sen jälkeen, kun DoD vietti kaksi vuotta suunnittelussa, storyboarding, tietojen analysointi ja testaus toimintakyky. ACASIN tuoma hyöty aiemmasta ratkaisusta oli hänen mukaansa selvä.
”aiemmat haavoittuvuuksien hallinnan ohjelmistoratkaisut – ne eivät olleet verkkopohjaisia, eivät datapohjaisia”, Katzman sanoi. ”Ajoit sitä järjestelmästä, joka luo tiedoston, jota voit katsoa. Mitä game changer oli, erityisesti ACAS, että he pystyivät ottamaan sen ja laittaa sen data-ohjattu web-sovellus, joka on saatavilla mistä tahansa milloin tahansa.”
Katzman lisäsi, että ACAS enterprise reporting ja dashboard-valmiudet antoivat puolustusministeriölle mahdollisuuden muokata, miten kyberturvallisuuden johto voisi suorittaa skannauksia ja tarkastella tietokokonaisuuksia, ”viipaloimalla ja paloittelemalla” niitä pyydetyllä tavalla. Kent Nemoto, ACAS-Järjestelmän ylläpitäjä, joka työskenteli Katzmanin kanssa ACAS-järjestelmän toteuttamisessa Army INSCOMILLA, lisäsi, että kojelaudan muokattavissa oleva puoli tekee sovelluksesta joustavan käyttäjille.
Nessus osoittautui myös luomaan vähemmän verkon ”kohinaa”, ja sen skannauksessa verkkovaikutukset olivat minimaaliset, minkä Katzman myöntää ACASIN verkkopohjaisten ominaisuuksien tehoksi.
”aiemmat ratkaisut olivat todella, todella äänekkäitä verkossa”, hän sanoi. ”Voisit kertoa, milloin akkreditoinnit tai arvioinnit olivat käynnissä, koska pyyhkäisyjä verkossa ja se vain teki asioita käyttökelvottomiksi. … integraatio, kyky hyödyntää sitä todellinen moderni web-sovellus. Se on suurin erottelija.”
armeija tajusi nämä edut jo varhain ACAS-järjestelmän kyvykkyystestausvaiheessa. Katzman sanoi, että kun hänen tiiminsä oli tekemässä NNM-laukaisua Yhdysvalloissa. Indo-Pacific Command (USINDOPAYCOM), NNM havaitsi, että selvitetty puolustusurakoitsija antoi uusia sähköposteja uusille työntekijöille HTTP – ei turvallinen HTTPS – sivustolla ja sen seurauksena oli kirjoittamalla salasanoja selvillä. NNM havaitsi ongelman, jolloin Katzmanin tiimi saattoi tilata korjauksen urakoitsijalta.
”varmaan oli paljon sopimuksia, asioita, joita heillä oli, jotka olivat luottamuksellisia kirjautumisia kahvilaan tai jotain”, Katzman sanoi. ”Ei ole epäilystäkään mielessäni, että ne olivat todella vaarantunut. Mutta se työkalu, jotain, jonka olimme juuri toteuttaneet testinä, todella tuli ulos ja osoitti sen meille välittömästi. Sitä hyödynnetään vielä tänäkin päivänä.”
pitkäkestoiset edut DoD: lle
DISA uudisti Tenablen ohjelmistolisenssin ACAS-sopimuksen mukaisesti joulukuussa 2018 perustuen teknologian menestykseen ensimmäisessä seitsenvuotisessa sopimuksessa, kertoo Chris Cleary, joka on nyt leidosin liiketoiminnan kehitys-ja strategiajohtaja ja entinen kestävä liiketoiminnan kehitysjohtaja, joka työskenteli Disan kanssa ennen sopimuksen uusimista.
Clearyn mukaan DISA tekee puolustusministeriölle ”kaikki turvallisuus – hallinnolliset asiat”, ja ACASIN rakenne on tehnyt Disan työn hallinnollisesta osasta paljon helpompaa.
”ACAS-ohjelman ohjeiden mukaan point-in-time-skannaus suoritetaan kerran kuukaudessa ja se tekee skannauksen löytääkseen haavoittuvuuksia yrityksestä ja tarjoaa kontekstin, joka auttaa operaattoria korjaamaan näitä haavoittuvuuksia”, Cleary sanoi. ”Se huuhtelee ja toistaa. Se on tarkoituksellista tällä osa-alueella ja siten mekaanista sen toteuttamisessa ja toteuttamisessa.”
”tämän perustason skannauksen ja raportoinnin lisäksi Tenablen ratkaisun lisäarvo on se, että Nnm tarjoaa passiivista, jatkuvaa seurantaa, joka ylittää ACAS-ohjelman vaatimukset ja tarjoaa jatkuvan valppauden”, hän lisäsi.
aikataulutetut skannaukset ja automatisoidut raportit yksinkertaistavat hallinnoijien ja insinöörien työtä puolustusministeriön sisällä, Katzman lisäsi. Sen sijaan, että he olisivat vastanneet erilaisiin raporttipyyntöihin, heidän työnsä laatu on parantunut, kun he ovat voineet keskittyä tehtävänsä arvokkaisiin näkökohtiin.
”ratkaisu pystyy nyt automatisoimaan monia näistä toiminnoista ja ominaisuuksista sekä riski – kojelaudan, erityisesti kaarien – varmennuskorttien-kanssa, joka on uudempi ominaisuus, joka on rakentumassa ulos”, Katzman sanoi. ”Kun meidän pitäisi keskittyä tehtävään ja kehittää ja suunnitella järjestelmä, nyt saamme tehdä sitä. Ratkaisu antaa meille paljon aikaa.”
tekniikan työvoiman tehokkuuden luominen kulkee käsi kädessä ACASIN tuottamien kustannussäästöjen kanssa.
puolustusministeriön haavoittuvuus-ja riskienhallintaprosessin hallinnollisten ominaisuuksien automatisointi ja yksinkertaistaminen on vähentänyt tarvetta palkata urakoitsijoita ja vapauttanut puolustusministeriön henkilöstöä, joka oli käyttänyt aikaansa matalamman arvotyön tekemiseen, Katzman sanoi. Ja ACAS on purkanut siiloutunutta skannausta ja hallintoa koko yrityksen laajuisella laajuudellaan, mikä on luonut lisää joustavuutta toiminnan laajentamiseen kustannuksia kasaamatta, hän lisäsi.
työvoima-ja kustannussäästöjen lisäksi Katzman korosti teknologisia etuja, joita ACAS on tuonut puolustusministeriölle.
”ratkaisun raportointikyky on kriittinen pelinvaihtaja, erityisesti koska raportit voidaan räätälöidä eri tarpeisiin”, Katzman sanoi lisäten, että ACAS: n reaaliaikaiset komponentit ovat vaikuttavia ja elintärkeitä puolustusministeriön haavoittuvuuden hallinnan tehtävälle.
”hyöty on jatkuvassa seurannassa, ja mitä me todella pystymme näkemään lähes reaaliajassa”, Katzman sanoi. ”Omaisuuden ja varaston hallinta on erittäin vaikeaa, ja on erinomaista, että voit nähdä suuren osan omaisuudestasi milloin tahansa. Siksi on niin monia erilaisia täydentäviä työkaluja – passiivinen osa sitä, jos haluat nähdä asioita, jotka eivät ole aivan puhua koko ajan. Point-in-time skannaa ovat suuria, mutta voimavara on verkossa voit nähdä, että.”
ACASIN polku eteenpäin DoD: n kanssa pilven skaalautuvuuteen
vaikka Cleary, Katzman, Nemoto ja muut puolustusministeriön työntekijät ovat mainostaneet ACASIN menestystä ja hyötyjä tähän mennessä, he puhuivat myös ratkaisun tulevista kyvyistä osastolla ja siitä, miten skaalaus pilveen on ACASIN seuraava iso askel.
Cleary sanoi, että ACAS on tällä hetkellä suunniteltu on-premise-sovellukseksi, joten se on asennettu ja se voi toimia yksinomaan tietokoneilla ratkaisua käyttävien tiloissa. Kun puolustusministeriö jatkaa palvelimiensa siirtämistä pilvialustoille, ACAS-ohjelman on kehityttävä on-premistä ja skaalattava ylöspäin tarjotakseen pilvitason turvallisuus-ja skannauspalveluja.
”kun voit ottaa käyttöön tai hyödyntää Tenablen pilveen, skaalautuvuus menee katon läpi”, Cleary sanoi.
acasin skaalaaminen pilveen ajaa katzmanin mukaan myös tehokkuutta ja ratkaisun kykyjen nopeutta. Hän sanoi, että on-prem Nessus-skannerin vieminen pilveen on seuraava askel, jonka hän näkee Tenablelle ja puolustusministeriölle.
”kun kaikki siirtyy pilveen – pienenee, mikropalvelut, containerization – meidän täytyy nähdä joitakin on-prem versio haavoittuvuuden skanneri, data-analyysi, joka voidaan tehdä lennossa pilvessä,” hän sanoi. ”Pilven skaalautuvuus on lähes hetkellinen, ja sormin napsautettuna voi pyöräyttää 200 000-500 000 virtuaalikonetta.”
puolustusministeriön valmistautuessa pian julkaisemaan Joint Enterprise Defense Infrastructure (JEDI) – pilvisopimuksensa, Katzman sanoi Jedin pyrkivän murtamaan jokaisen asevoimien palvelimien ja verkkojen siiloutuneen luonteen. Koska puolustusministeriö voi ottaa ne käyttöön.sc ACAS: n alaisuudessa eri tasoilla, jotta se voi raportoida yhdelle tai useammalle tietoturvakeskukselle, ACAS voi antaa puolustusministeriön johdolle mahdollisuuden tarkastella ja valvoa laitoksen koko yrityksen IT-omaisuutta ja haavoittuvuuksia.
Katzman said JEDI ja muut yrityksen laajuiset pilviratkaisut toimivat siis hyvin yhdessä ACAS: n kanssa-mikä tarjoaa joustavuutta ja koko yrityksen laajuisia valmiuksia, joita DoD tarvitsee sisäisessä haavoittuvuusverkon seurannassa, mikä tekee Pilvimuuton tulevaisuudesta puolustusministeriössä ja ACAS: n kasvusta sellaisen, joka lentää helposti samalle lentoradalle.