Depuis que l’Agence des Systèmes d’Information de la Défense (DISA) a commencé à mettre en œuvre son programme de sécurité de surveillance continue de la gestion des vulnérabilités interne – Solution d’évaluation de la conformité assurée (ACAS) – les responsables qui ont travaillé en étroite collaboration avec la solution ont loué les capacités d’ACAS, de sa surveillance passive continue à son tableau de bord et ses perspectives de mise à l’échelle vers le cloud.

DISA a d’abord publié le contrat de programme d’ACAS en 2012, mais maintenant que DISA a renouvelé le contrat de maintenance d’ACAS pour deux autres années au département de la Défense (DoD), les responsables qui ont déployé et félicité ACAS ont partagé comment le DoD a tiré des bénéfices du programme qu’il n’avait jamais vus auparavant.

ACAS : Le Contexte et les composants

DISA a attribué le contrat ACAS à Perspecta – alors HPES – en avril 2012, et Tenable, Inc. a fourni le logiciel derrière ACAS, qui a remplacé Retina – la solution précédente utilisée par DoD pour la sécurité de son réseau interne. Le logiciel de Tenable a gagné parce qu’il répondait aux exigences de la solution ACAS de DISA pour une plate-forme d’évaluation des vulnérabilités entièrement intégrée.

Plus précisément, la solution de Tenable offre une visibilité continue à l’échelle de l’entreprise avec une numérisation active et passive en couplant deux applications de numérisation. L’un est Nessus, qui est non seulement conforme aux Vulnérabilités et expositions courantes, mais également aux Directives de Mise en œuvre Technique de Sécurité (STIG) de DISA.

L’autre application est le Moniteur de réseau Nessus (NNM), précédemment nommé Scanner de vulnérabilité passive (PVS), qui surveille le trafic réseau passif, les nouveaux hôtes réseau et les applications vulnérables aux compromis. Soutenir et contrôler Nessus et NNM est Tenable.sc Vue continue, qui collecte les données du scanner et fournit des rapports et un tableau de bord personnalisé.

Lancement d’ACAS: La transition et les avantages précoces

Les professionnels de l’industrie ont récemment parlé des étapes qu’ils ont prises pour lancer la solution, ainsi que des avantages qu’ils ont vus apporter à ACAS au DoD.

Phillip Katzman, architecte de NorthTide Solutions, a passé les 10 dernières années à travailler avec le DoD et sa mission de cybersécurité, et il se concentre actuellement sur la fourniture de services ACAS au Commandement de la sécurité du renseignement de l’Armée (INSCOM). Il a déclaré que l’ACAS avait été lancé pour une utilisation obligatoire dans l’ensemble des services en janvier 2014 après que le DoD eut passé deux ans à concevoir, à scénariser, à analyser les données et à tester la capacité opérationnelle. Les avantages apportés par ACAS par rapport à la solution antérieure étaient clairs, a-t-il déclaré.

« Les solutions logicielles de gestion des vulnérabilités antérieures – elles n’étaient pas basées sur le Web, ni sur les données”, a déclaré Katzman. « Vous l’exécutiez à partir d’une application sur un système qui génère un fichier que vous pouvez consulter. Ce qui a changé la donne, en particulier avec ACAS, c’est qu’ils ont pu le prendre et le mettre dans une application Web axée sur les données accessible de n’importe où et à tout moment. »

Katzman a ajouté que la capacité de reporting et de tableau de bord de l’entreprise ACAS permettait au DoD de personnaliser la manière dont les dirigeants de la cybersécurité pouvaient effectuer des analyses et examiner les ensembles de données, en les découpant et en les découpant comme demandé. Kent Nemoto, administrateur système ACAS, qui a travaillé avec Katzman dans la mise en œuvre d’ACAS chez Army INSCOM, a ajouté que l’aspect personnalisable des tableaux de bord rend l’application flexible pour les utilisateurs.

Nessus s’est également avéré créer moins de « bruit » sur le réseau, avec un impact minimal sur le réseau dans son balayage, ce que Katzman attribue à la puissance des capacités Web d’ACAS.

« Les solutions précédentes étaient vraiment, vraiment bruyantes sur le réseau », a-t-il déclaré. « Vous pouviez savoir quand les accréditations ou les évaluations étaient en cours à cause des balayages sur le réseau et cela rendait les choses inutilisables. integration l’intégration, la possibilité de l’exploiter comme une véritable application web moderne. C’est le plus grand facteur de différenciation. »

L’Armée a réalisé ces avantages au début de la phase de test des capacités de l’ACAS. Katzman a déclaré que lorsque son équipe travaillait sur le lancement de NNM aux États-Unis. Commandement Indo-Pacifique (USINDOPAYCOM), NNM a détecté qu’un sous–traitant de la défense autorisé émettait de nouveaux e–mails à de nouveaux employés sur un site Web HTTP – pas sécurisé HTTPS – et, par conséquent, tapait des mots de passe en clair. NNM a détecté ce problème, permettant à l’équipe de Katzman de commander une solution à l’entrepreneur.

« Il y avait probablement beaucoup de contrats, des choses qu’ils avaient qui étaient confidentielles en se connectant dans un café ou quelque chose comme ça”, a déclaré Katzman. « Il ne fait aucun doute dans mon esprit qu’ils ont été compromis. Mais cet outil, quelque chose que nous venions de mettre en œuvre comme test, est vraiment sorti et nous l’a montré instantanément. C’est quelque chose qui utilise encore aujourd’hui. »

Avantages à long terme pour le DoD

DISA a renouvelé la licence logicielle de Tenable dans le cadre du contrat ACAS en décembre 2018 sur la base du succès de la technologie lors du premier contrat de sept ans, selon Chris Cleary, aujourd’hui vice-président du développement commercial et de la stratégie chez Leidos et ancien directeur du développement commercial de Tenable qui a travaillé avec DISA avant la recomposition du contrat.

Cleary a déclaré que DISA fait « tout ce qui concerne la sécurité administrative” pour le DoD, et la structure d’ACAS a rendu la partie administrative du travail de DISA beaucoup plus facile.

« Selon les directives du programme ACAS, une analyse ponctuelle est effectuée une fois par mois et effectue une analyse pour trouver les vulnérabilités de l’entreprise et fournit un contexte qui aidera l’opérateur à corriger ces vulnérabilités”, a déclaré Cleary. « Il se rince et se répète. C’est délibéré dans cet aspect et donc mécanique dans sa mise en œuvre et son exécution. »

« En plus de cette analyse et de ces rapports de base, une valeur ajoutée de la solution de Tenable est que NNM fournit une surveillance passive et continue qui va au-delà des exigences du programme ACAS et fournit une vigilance constante”, a-t-il ajouté.

Les analyses planifiées et les rapports automatisés simplifient les tâches des administrateurs et des ingénieurs au sein du DoD, a ajouté Katzman. Au lieu de répondre aux demandes de rapports différents, le fait de pouvoir se concentrer sur des aspects de grande valeur de leur mission a amélioré la qualité de leur travail.

 » La solution est désormais capable d’automatiser bon nombre de ces fonctions et fonctionnalités ainsi que le tableau de bord des risques, en particulier avec les ARCS – les bulletins d’assurance – qui est une fonctionnalité plus récente qui se développe ”, a déclaré Katzman. « Alors que nous devrions nous concentrer sur la mission, développer et concevoir un système, nous devons maintenant le faire. La solution nous donne beaucoup de temps. »

Créer de l’efficacité pour la main-d’œuvre technologique va de pair avec des économies réalisées par ACAS.

L’automatisation et la simplification des fonctionnalités administratives du processus de gestion de la vulnérabilité et des risques du DoD ont réduit le besoin d’embaucher des entrepreneurs et libéré le personnel du DoD qui avait passé son temps à effectuer des travaux de moindre valeur, a déclaré Katzman. Et ACAS a démantelé la numérisation et l’administration cloisonnées avec sa portée à l’échelle de l’entreprise, ce qui a créé plus de flexibilité dans l’expansion des opérations sans alourdir les coûts, a-t-il ajouté.

Au-delà des économies de main-d’œuvre et de coûts, Katzman a souligné les avantages technologiques qu’ACAS a apportés au DoD.

 » La capacité de reporting de la solution change la donne, en particulier parce que les rapports peuvent être adaptés à différents besoins”, a déclaré Katzman, ajoutant que les composants en temps réel de l’ACAS sont impressionnants et vitaux pour la mission de gestion des vulnérabilités du DoD.

« L’avantage est la surveillance continue, et ce que nous sommes vraiment en mesure de voir en temps quasi réel”, a déclaré Katzman. « La gestion des actifs et des stocks est extrêmement difficile et pouvoir voir une grande majorité de vos actifs à tout moment est excellent. C’est pourquoi il existe tant d’outils complémentaires différents – l’aspect passif de celui-ci, si vous voulez voir des choses qui ne parlent pas tout le temps. Les analyses ponctuelles sont excellentes, mais l’actif doit être en ligne pour que vous puissiez le voir. »

La voie à suivre d’ACAS Avec le DoD vers l’évolutivité du Cloud

Bien que Cleary, Katzman, Nemoto et d’autres membres du DoD aient vanté le succès et les avantages d’ACAS jusqu’à présent, ils ont également parlé des capacités futures de la solution au département et de la façon dont la mise à l’échelle vers le cloud est la prochaine grande étape pour ACAS.

Cleary a déclaré qu’ACAS est actuellement conçu comme une application sur site, il est donc installé et peut fonctionner exclusivement sur des ordinateurs dans les locaux de ceux qui utilisent la solution. Alors que le DoD continue de migrer ses serveurs sur des plates-formes cloud, le programme ACAS devra évoluer sur site et évoluer pour fournir des services de sécurité et d’analyse au niveau du cloud.

« Une fois que vous pouvez déployer ou exploiter Tenable sur le cloud, l’évolutivité passe par le toit”, a déclaré Cleary.

La mise à l’échelle des ACA vers le cloud améliorera également l’efficacité et la rapidité des capacités de la solution, selon Katzman. Il a dit que le fait d’emmener le scanner Nessus sur site dans le cloud est la prochaine étape qu’il voit pour Tenable et DoD.

« À mesure que tout se déplace dans le cloud – devient plus petit, les microservices, la conteneurisation – nous aurons besoin de voir une version sur site d’un scanner de vulnérabilités, une analyse de données qui peut être effectuée à la volée dans le cloud”, a-t-il déclaré. « L’évolutivité du cloud est presque instantanée, et en un claquement de doigts, vous pouvez faire tourner 200 000 à 500 000 machines virtuelles. »

Alors que le DoD se prépare à émettre bientôt son contrat de cloud computing JEDI (Joint Enterprise Defense Infrastructure), Katzman a déclaré que JEDI cherche à briser la nature cloisonnée des serveurs et des réseaux de chaque service militaire. Depuis DoD peut déployer Tenable.sc sous ACAS à différents niveaux afin qu’il puisse faire rapport à une ou plusieurs instances du centre de sécurité, ACAS peut permettre aux dirigeants du DoD d’avoir une meilleure vue et un meilleur contrôle sur l’ensemble des actifs INFORMATIQUES et des vulnérabilités du département.

Katzman a déclaré que JEDI et d’autres solutions cloud à l’échelle de l’entreprise fonctionnaient donc bien avec ACAS – qui fournit la flexibilité et les capacités à l’échelle de l’entreprise dont le DoD a besoin dans la surveillance de son réseau de vulnérabilité interne, faisant de l’avenir de la migration vers le cloud chez le DoD et la croissance d’ACAS un qui vole facilement sur la même trajectoire.