Da quando la Defense Information Systems Agency (DISA) ha iniziato a implementare la sua gestione delle vulnerabilità interna continuous monitoring security Program – Assured Compliance Assessment Solution (ACAS) – i funzionari che hanno lavorato a stretto contatto con la soluzione hanno elogiato le capacità di ACAS, dal monitoraggio passivo continuo, al dashboarding e alle

DISA ha emesso per la prima volta il contratto di programma di ACAS nel 2012, ma ora che DISA ha rinnovato il contratto per mantenere ACAS per altri due anni presso il Dipartimento della Difesa (DoD), i funzionari che hanno schierato e elogiato ACAS hanno condiviso come DoD ha raccolto benefici dal programma che non ha mai visto prima.

ACAS: Lo sfondo e i componenti

DISA ha assegnato il contratto ACAS a Perspecta – poi HPES – nell’aprile 2012, e Tenable, Inc. ha fornito il software dietro ACAS – che ha sostituito Retina-la soluzione precedente DoD utilizzato per la sua sicurezza di rete interna. Il software di Tenable ha vinto perché ha soddisfatto i requisiti della soluzione ACAS di DISA per una piattaforma di valutazione delle vulnerabilità completamente integrata.

Più specificamente, la soluzione di Tenable fornisce una visibilità continua a livello aziendale con scansione attiva e passiva accoppiando due applicazioni di scansione. Uno è Nessus, che non è solo compatibile con vulnerabilità ed esposizioni comuni, ma anche con le linee guida di implementazione tecnica di sicurezza di DISA (STIG).

L’altra applicazione è il Nessus Network Monitor (NNM), precedentemente denominato Passive Vulnerability Scanner (PVS), che monitora il traffico di rete passivo, i nuovi host di rete e le applicazioni vulnerabili ai compromessi. Sostenere e controllare Nessus e NNM è Tenable.sc Visualizzazione continua, che raccoglie i dati dello scanner e fornisce report e un dashboard personalizzato.

Lancio di ACAS: la transizione e i primi benefici

I professionisti del settore hanno recentemente parlato dei passi intrapresi nel lancio della soluzione, nonché dei benefici che hanno visto ACAS offrire al Dipartimento della Difesa.

NorthTide Solutions Architetto Phillip Katzman ha trascorso gli ultimi 10 anni di lavoro con DoD e la sua missione di sicurezza informatica, e attualmente si concentra sulla fornitura di servizi ACAS per l’Esercito Intelligence Security Command (INSCOM). Ha detto che ACAS è stato lanciato per l’uso obbligatorio in tutti i servizi a gennaio 2014 dopo che il DoD ha trascorso due anni a progettare, storyboarding, analisi dei dati e test delle capacità operative. I benefici ACAS portato sopra la soluzione precedente erano chiari, ha detto.

“Le precedenti soluzioni software di gestione delle vulnerabilità – non erano basate sul Web, non basate sui dati”, ha detto Katzman. “Lo stavi eseguendo da un’applicazione su un sistema che genera un file da guardare. Ciò che è stato il punto di svolta, specialmente con ACAS, è che sono stati in grado di prenderlo e metterlo in un’applicazione Web basata sui dati accessibile da qualsiasi luogo e in qualsiasi momento.”

Katzman ha aggiunto che la funzionalità di reporting e dashboard di ACAS enterprise ha permesso al DoD di personalizzare il modo in cui la leadership della sicurezza informatica poteva condurre scansioni e esaminare i set di dati, “affettandoli e sminuzzandoli” come richiesto. Kent Nemoto, amministratore di sistema ACAS, che ha lavorato con Katzman nell’implementazione di ACAS presso Army INSCOM, ha aggiunto che l’aspetto personalizzabile dei dashboard rende l’applicazione flessibile per gli utenti.

Nessus ha anche dimostrato di creare meno “rumore” di rete, con un impatto di rete minimo nella sua scansione, che Katzman attribuisce alla potenza delle capacità basate sul Web di ACAS.

” Le soluzioni precedenti erano davvero, davvero rumorose sulla rete”, ha detto. “Si potrebbe dire quando accreditamenti o valutazioni erano in corso a causa delle spazzate sulla rete e ha appena reso le cose inutilizzabili. … integrazione, la capacità di sfruttarlo come una vera applicazione web moderna. Questo è il più grande elemento di differenziazione.”

L’esercito ha realizzato questi benefici all’inizio della fase di test delle capacità di ACAS. Katzman ha detto che quando il suo team stava lavorando al lancio di NNM negli Stati Uniti Indo-Pacific Command (USINDOPAYCOM), NNM ha rilevato che un appaltatore della difesa autorizzato stava emettendo nuove e – mail a nuovi dipendenti su un HTTP – non un sito Web HTTPS sicuro e, di conseguenza, stava digitando le password in chiaro. NNM ha rilevato quel problema, consentendo al team di Katzman di ordinare una correzione dall’appaltatore.

“Probabilmente c’erano molti contratti, cose che avevano che erano riservate in un bar o qualcosa del genere”, ha detto Katzman. “Non c’è dubbio nella mia mente che fossero effettivamente compromessi. Ma quello strumento, qualcosa che avevamo appena implementato come test, è venuto fuori e ce lo ha mostrato immediatamente. Questo è qualcosa che utilizza ancora oggi.”

Benefici di Lunga Durata per DoD

DISA rinnovato Sostenibile di licenza del software sotto l’ACAS contratto a dicembre 2018 sulla base del successo della tecnologia nel primo contratto di sette anni, secondo Chris Cleary, ora vice presidente del business development e la strategia a Leidos e precedentemente Sostenibile, direttore di sviluppo di affari che ha lavorato con DISA che conduce al contratto recompete.

Cleary ha detto che DISA fa “tutte le cose in termini di sicurezza amministrativa” per il Dipartimento della Difesa, e la struttura di ACAS ha reso molto più semplice la parte amministrativa del lavoro di DISA.

” Sotto le linee guida del programma ACAS, la scansione point-in-time viene eseguita una volta al mese e esegue una scansione per trovare vulnerabilità nell’azienda e fornisce un contesto che aiuterà l’operatore a correggere tali vulnerabilità”, ha detto Cleary. “Si risciacqua e si ripete. È deliberato in questo aspetto e quindi meccanico nella sua implementazione ed esecuzione.”

” Oltre a questa scansione e reporting di base, un valore aggiunto della soluzione di Tenable è che NNM fornisce un monitoraggio passivo e continuo che va oltre i requisiti del programma ACAS e fornisce una vigilanza costante”, ha aggiunto.

Le scansioni pianificate e i report automatizzati semplificano i lavori di amministratori e ingegneri all’interno del Dipartimento della Difesa, ha aggiunto Katzman. Piuttosto che rispondere alle richieste di relazioni diverse, essere in grado di concentrarsi su aspetti di alto valore della loro missione ha migliorato la qualità del loro lavoro.

“La soluzione è ora in grado di automatizzare molte di queste funzioni e funzionalità e il dashboard dei rischi, in particolare con gli ARCHI – le pagelle di assurance – che è una funzionalità più recente che si sta sviluppando”, ha detto Katzman. “Quando dovremmo concentrarci sulla missione e sviluppare e progettare un sistema, ora possiamo farlo. La soluzione ci dà un sacco di tempo.”

La creazione di efficienza per la forza lavoro tecnologica va di pari passo con i risparmi sui costi che ACAS ha prodotto.

Automatizzare e semplificare le funzionalità amministrative del processo di vulnerabilità e gestione del rischio del DoD ha ridotto la necessità di assumere appaltatori e liberato il personale del DoD che aveva trascorso il suo tempo a svolgere lavori di valore inferiore, Katzman ha detto. E ACAS ha suddiviso la scansione e l’amministrazione in silos con la sua portata a livello aziendale, che ha creato una maggiore flessibilità nell’espansione delle operazioni senza accumulare costi, ha aggiunto.

Al di là del risparmio di manodopera e dei costi, Katzman ha sottolineato i benefici tecnologici ACAS ha portato a DoD.

“La capacità di reporting della soluzione è un punto di svolta fondamentale, in particolare perché i report possono essere adattati alle diverse esigenze”, ha detto Katzman, aggiungendo che i componenti in tempo reale di ACAS sono impressionanti e vitali per la missione di gestione delle vulnerabilità del DoD.

“Il vantaggio è il monitoraggio continuo e ciò che siamo davvero in grado di vedere in tempo quasi reale”, ha detto Katzman. “La gestione delle risorse e delle scorte è estremamente difficile e poter vedere la maggior parte delle risorse in qualsiasi momento è eccellente. Ecco perché ci sono così tanti diversi strumenti complementari – l’aspetto passivo di esso, se vuoi vedere cose che non parlano tutto il tempo. Le scansioni point-in-time sono fantastiche, ma la risorsa deve essere online per farti vedere questo.”

Il percorso di ACAS in avanti con DoD alla scalabilità del cloud

Anche se Cleary, Katzman, Nemoto e altri al DoD hanno propagandato il successo e i benefici di ACAS finora, hanno anche parlato delle capacità future della soluzione presso il dipartimento e di come il ridimensionamento al cloud sia il prossimo grande passo per ACAS.

Cleary ha detto che ACAS è attualmente progettato come un’applicazione on-premise, quindi è installato e può essere eseguito esclusivamente su computer nei locali di coloro che utilizzano la soluzione. Mentre DoD continua la migrazione dei suoi server su piattaforme cloud, il programma ACAS dovrà evolvere da on-prem e scalare fino a fornire servizi di sicurezza e scansione a livello cloud.

” Una volta che è possibile distribuire o sfruttare Tenable al cloud, la scalabilità passa attraverso il tetto”, ha detto Cleary.

Scaling ACAS al cloud sarà anche guidare l’efficienza e la velocità delle capacità della soluzione, secondo Katzman. Ha detto che prendere lo scanner on-prem Nessus al cloud è il prossimo passo che vede per Tenable e DoD.

” Come tutto si muove nel cloud – diventa più piccolo, microservizi, containerizzazione – avremo bisogno di vedere qualche versione on-prem di uno scanner di vulnerabilità, l’analisi dei dati che può essere fatto al volo nel cloud, ” ha detto. “La scalabilità cloud è quasi istantanea, e in un attimo con le dita, si può girare da 200.000 a 500.000 macchine virtuali.”

Mentre il DoD si prepara a rilasciare presto il suo contratto cloud Joint Enterprise Defense Infrastructure (JEDI), Katzman ha detto che JEDI cerca di abbattere la natura silos dei server e delle reti di ogni servizio militare. Dal momento che DoD può distribuire Sostenibile.sc sotto ACAS a vari livelli in modo che possa riferire a una o più istanze del security center, ACAS può consentire alla leadership del DoD di avere una visione e un controllo maggiori sulle risorse IT totali a livello aziendale e sulla conformità delle vulnerabilità del dipartimento.

Katzman ha detto JEDI e altre soluzioni cloud a livello aziendale quindi lavorare bene insieme con ACAS-che fornisce la flessibilità e le capacità a livello aziendale che DoD ha bisogno nel suo monitoraggio della rete vulnerabilità interna, rendendo il futuro della migrazione cloud a DoD e la crescita di ACAS uno che vola facilmente sulla stessa traiettoria.