防衛情報システム庁(DISA)が内部脆弱性管理継続監視セキュリティプログラム–Assured Compliance Assessment Solution(ACAS)の実装を開始して以来、ソリューションと緊密に協力してきた関係者は、ACASの継続的なパッシブモニタリングから、ダッシュボーディング、クラウドへのスケーリングの見通しまで、ACASの能力を賞賛してきました。
DISAは2012年にACASのプログラム契約を最初に発行しましたが、DISAが国防総省(DoD)でACASをさらに二年間維持する契約を更新したので、ACASを展開し、賞賛した当局者は、DoDがこれまでに見たことのないプログラムからどのように利益を得ているかを共有しました。
ACAS:背景とコンポーネント
DISAは、2012年にPerspecta、その後HPES、およびTenable,Inc.にACAS契約を締結しました。 その内部ネットワークセキュリティのために使用される前のソリューションDoD–網膜を交換ACASの背後にあるソフトウェアを提供しています。 Tenableのソフトウェアは、完全に統合された脆弱性評価プラットフォームに対するDISAのACASソリューション要件を満たしていたため
より具体的には、Tenableのソリューションは、二つのスキャンアプリケーションを結合することにより、アクティブとパッシブスキャンの両方で継続的な企業全体の可視性を提供します。 一つはNessusであり、これは一般的な脆弱性とエクスポージャーに準拠しているだけでなく、DISAのセキュリティ技術実装ガイドライン(STIGs)にも準拠しています。
もう一つのアプリケーションは、パッシブネットワークトラフィック、新しいネットワークホスト、および侵害の脆弱なアプリケーションを監視するNessus Network Monitor(NNM) NessusおよびNNMを支え、制御することはありますTenable.sc スキャナデータを収集し、レポートとカスタムダッシュボードを提供する連続ビュー。
Acasの立ち上げ:移行と早期の利点
業界の専門家は最近、彼らがソリューションを立ち上げる際に取った手順と、ACASがDoDに提供するのを見た利点につ
NorthTide SolutionsのアーキテクトであるPhillip Katzmanは、DoDとそのサイバーセキュリティミッションと協力して過去10年間を過ごしており、現在はArmy Intelligence Security Command(INSCOM)にACASサービスを提供することに焦点を当てている。 彼は、DoDが2年間の設計、ストーリーボード、データ分析、および操作可能な機能のテストを費やした後、ACASは2014年にサービス全体で必須の使用のために開始したと述 ACASが以前の解決策をもたらした利点は明らかだった、と彼は言った。
“以前の脆弱性管理ソフトウェアソリューションは、webベースではなく、データベースではありませんでした”とKatzman氏は述べています。 “あなたはあなたが見るためのファイルを生成するシステム上のアプリケーションからそれを実行していました。 ゲームチェンジャーは、特にACASで、彼らはそれを取ると、いつでもどこからでもアクセス可能なデータ駆動型のwebアプリケーションにそれを置くことができた”
Katzman氏は、ACAS enterprise reporting and dashboard機能により、DoDはサイバーセキュリティリーダーシップがスキャンを実行し、データセットを見る方法をカスタマイズし、要求に応じて”スライスしてダイシングする”ことができると付け加えた。 Army INSCOMでACASを実装する際にKatzmanと協力したACASシステム管理者のKent Nemoto氏は、ダッシュボードのカスタマイズ可能な側面により、アプリケーションをユーザーに柔軟に
Nessusはまた、スキャンにおけるネットワークへの影響を最小限に抑えて、ネットワークの”ノイズ”を少なくすることを証明しました。
“以前のソリューションは、ネットワーク上で本当に、本当に騒々しいでした”と彼は言いました。 “ネットワーク上のスイープのために認定や評価がいつ行われていたのかを知ることができ、それだけで物事が使用できなくなりました。 …統合、真の近代的なwebアプリケーションとしてそれを活用する能力。 それが最大の差別化要因です。”
軍はACASの能力テスト段階の早い段階でこれらの利点を実現しました。 Katzmanは、彼のチームが米国でNNMの打ち上げに取り組んでいたときに言った Indo-Pacific Command(USINDOPAYCOM),NNMは、クリアされた防衛請負業者がHTTP上の新しい従業員に新しい電子メールを発行していたことを検出しました–安全なHTTPS–webサイトではなく、その結 NNMはその問題を検出し、Katzmanのチームは請負業者に修正を注文することができました。
“おそらくたくさんの契約があった、彼らが持っていたものは、コーヒーショップか何かで機密ログオンしていた、”Katzmanは言った。 “彼らが実際に妥協されたことは間違いありません。 しかし、そのツールは、私たちがテストとして実装したばかりのもので、本当に出てきて、すぐに私たちにそれを示しました。 それは今日でも利用されているものです。”
DoDの長期的な利益
DISAは、Leidosのビジネス開発と戦略の副社長であり、以前はDISAと契約recompeteに携わっていたTenableビジネス開発ディレクターであるChris Clearyによると、2018年にACAS契約に基づくTenableのソフトウェアライセンスを更新しました。
Cleary氏は、DISAはDoDに対して”すべてのセキュリティ–管理面で”行い、ACASの構造はDISAの作業の管理部分をはるかに容易にしたと述べました。
“ACASプログラムガイドラインの下では、ポイントインタイムスキャンは月に一度実行され、企業の脆弱性を見つけるためにスキャンを行い、オペレータがこれらの脆弱性を修正するのに役立つコンテキストを提供します”とCleary氏は述べています。 “それはすすぎ、繰り返されます。 それはこの面で意図的であり、したがってその実装と実行において機械的です。”
“このベースラインスキャンとレポートに加えて、Tenableのソリューションの付加価値は、NNMがACASプログラムの要件を超え、一定の警戒を提供する受動的で継続的
スケジュールされたスキャンと自動化されたレポートは、DoD内の管理者やエンジニアの仕事を簡素化し、Katzmanは付け加えました。 異なるレポートの要求に応答するのではなく、彼らの使命の価値の高い側面に焦点を当てることができることは、彼らの仕事の質を向上させました。
“このソリューションは、特にARCs–保証レポートカード–を使用して、これらの機能と機能の多くとリスクダッシュボードを自動化できるようになりました。 “私たちがミッションに焦点を当て、システムを開発し、設計する必要があるとき、今私たちはそれを行うことができます。 解決策は私たちに多くの時間を与えます。”
技術労働力のための効率を作成することはacasがもたらした費用節約と手に手をとって行きます。
DoDの脆弱性とリスク管理プロセスの管理機能を自動化して簡素化することで、請負業者を雇う必要性が減り、価値の低い仕事をしていたDoDの人員が解放された、とKatzman氏は述べている。 また、ACASは、企業全体のスコープでサイロ化されたスキャンと管理を分解し、コストを積み重ねることなく業務を拡大する際に柔軟性を高めました。
労働とコストの削減を超えて、KatzmanはACASがDoDにもたらした技術的利益を強調しました。
“このソリューションのレポート機能は、特にレポートをさまざまなニーズに合わせて調整できるため、重要なゲームチェンジャーです”とKatzman氏は述べ、ACASのリアルタ
“利点は、継続的な監視であり、私たちが実際にほぼリアルタイムで見ることができるものです”とKatzman氏は述べています。 “資産と在庫管理は非常に困難であり、一度にあなたの資産の大部分を見ることができることは優れています。 それは非常に多くの異なる補完的なツールがある理由です–あなたは非常にすべての時間を話していないものを見たい場合は、それの受動的な側面。 ポイントインタイムスキャンは素晴らしいですが、それを確認するには資産がオンラインである必要があります。”
AcasのDoDとクラウドのスケーラビリティへの道
DoDのCleary、Katzman、Nemotoなどは、これまでのところACASの成功と利点を宣伝してきましたが、部門のソリューションの将来の機能と、クラウドへのスケーリングがACASの次の大きなステップであることについても話しました。
Clearyは、ACASは現在、オンプレミスアプリケーションとして設計されているため、インストールされ、ソリューションを使用している人の敷地内のコンピュー DoDがサーバーをクラウドプラットフォームに移行し続けるにつれて、ACASプログラムはオンプレミスから進化し、クラウドレベルのセキュリティとスキャニングサービスを提供するためにスケールアップする必要があります。
“tenableをクラウドに展開または活用できるようになると、スケーラビリティは屋根を通過します”とCleary氏は述べています。
KATZMAN氏によると、ACASをクラウドにスケーリングすることで、ソリューションの機能の効率とスピードも向上します。 彼は、on-prem nessusスキャナをクラウドに取り込むことが、TenableとDoDにとって次のステップであると言いました。
“すべてがクラウドに移動するにつれて–小さくなり、マイクロサービス、コンテナ化–私たちは、クラウド内でその場で行うことができ、脆弱性スキャナ、データ分析のいくつかのオンプレムバージョンを確認する必要があります”と彼は言いました。 “クラウドのスケーラビリティはほぼ瞬時であり、指で瞬時に200,000から500,000の仮想マシンを回転させることができます。”
国防総省はすぐに共同エンタープライズ防衛インフラ(ジェダイ)クラウド契約を発行する準備をしているように、Katzmanはジェダイは、各兵役のサーバーとネットワー DoDはTenableを展開することができますので。さまざまなレベルのACASの下でsc ITが一つ以上のsecurity centerインスタンスに報告できるように、ACASは、DoDのリーダーシップが、企業全体のIT資産と部門の脆弱性
Katzmanは、JEDIと他のエンタープライズ全体のクラウドソリューションは、したがって、ACASと一緒にうまく動作すると述べました-DoDは、内部の脆弱性ネットワーク監視に必要な柔軟性とエンタープライズ全体の機能を提供し、DoDとACASの成長におけるクラウド移行の未来を容易に同じ軌道に飛ぶものにします。