Siden Defense Information Systems Agency (DISA) begynte å implementere sin interne sårbarhet management kontinuerlig overvåking security program – Assured Compliance Assessment Solution (ACAS) – tjenestemenn som har jobbet tett med løsningen har rost ACAS evner, fra sin kontinuerlige passiv overvåking, til sin dashboarding og utsiktene til skalering til skyen.DISA utstedte FØRST ACAS programkontrakt i 2012, men NÅ SOM DISA har fornyet kontrakten for å opprettholde ACAS i ytterligere to år ved Forsvarsdepartementet (DoD), har tjenestemenn som har distribuert OG rost ACAS delt hvordan DoD har høstet fordeler fra programmet som det ikke har sett før.

ACAS: Bakgrunnen og Komponentene

DISA tildelte ACAS-kontrakten Til Perspecta-deretter HPES-i April 2012, Og Tenable, Inc. HAR gitt programvaren BAK ACAS, som erstattet Retina-den forrige løsningen DoD brukt for sin interne nettverkssikkerhet. Tenable ‘ s programvare vant fordi DEN møtte DISAS ACAS-løsningskrav for en fullt integrert sårbarhetsvurderingsplattform.Mer spesifikt, Tenable løsning gir kontinuerlig enterprise-wide synlighet med både aktiv og passiv skanning ved å koble to skanneprogrammer. Den ene Er Nessus, som ikke bare er kompatibel Med Vanlige Sårbarheter og Eksponeringer, MEN OGSÅ DISAS Sikkerhetstekniske Implementeringsretningslinjer (STIGs).den andre applikasjonen er Nessus Network Monitor (NNM), tidligere Kalt Passiv Sårbarhetsskanner (PVS), som overvåker passiv nettverkstrafikk, nye nettverksverter og applikasjoner som er sårbare for kompromiss. Støtte Og kontroll Av Nessus og NNM er Tenable.sc Continuous View, som samler skannerdata og gir rapporter og et tilpasset dashbord.

Lansere ACAS: Overgangen og Tidlige Fordeler

fagfolk snakket nylig om trinnene de tok i å lansere løsningen, samt fordelene DE så ACAS levere Til DoD.Northtide Solutions Architect Phillip Katzman har brukt de siste 10 årene på Å jobbe Med DoD og dets cybersikkerhetsoppdrag, og han fokuserer for tiden på å levere ACAS-tjenester til Army Intelligence Security Command (INSCOM). HAN sa AT ACAS ble lansert for obligatorisk bruk på tvers av tjenestene i januar 2014 etter At DoD brukte to år på å designe, storyboarding, dataanalyse og testing av operativ evne. Fordelene ACAS brakte over den tidligere løsningen var klare, sa han. «tidligere programvareløsninger for sårbarhetsstyring – de var ikke nettbaserte, ikke databaserte,» Sa Katzman. «Du kjørte den fra et program på et system som genererer en fil for deg å se på. Hva spillveksleren var, spesielt MED ACAS, er at DE var i stand til å ta det og sette det inn i et datadrevet webprogram som er tilgjengelig fra hvor som helst når som helst.Katzman la til at ACAS enterprise reporting og dashboard-funksjonen tillot DoD å tilpasse hvordan cybersecurity lederskap kunne gjennomføre skanninger og se på datasett, «skiver og dicing» dem som forespurt. Kent Nemoto, ACAS Systemadministrator, som jobbet med Katzman i å implementere ACAS På Army INSCOM, la til at det tilpassbare aspektet av instrumentbordene gjør applikasjonen fleksibel for brukere.

Nessus viste seg også å skape mindre nettverk «støy», med minimal nettverkspåvirkning i sin skanning, som Katzman krediterer KRAFTEN TIL ACAS nettbaserte evner.»Tidligere løsninger var veldig, veldig støyende på nettverket,» sa han. «Du kunne fortelle når akkrediteringer eller vurderinger foregikk på grunn av feier på nettverket, og det gjorde bare ting ubrukelig. … integrasjon, evnen til å utnytte den som en ekte moderne webapplikasjon. Det er den største differensiatoren.»

Hæren innså disse fordelene tidlig i kapasitetstestfasen AV ACAS. Katzman sa at da teamet hans jobbet med nnm-lanseringen I USA Indo-Pacific Command (USINDOPAYCOM), nnm oppdaget at en klarert forsvarsentreprenør utstedte nye e – postmeldinger til nye ansatte PÅ EN HTTP – ikke en sikker HTTPS-nettside, og som et resultat var å skrive passord i det klare. NNM oppdaget det problemet, slik At Katzmans team kunne bestille en løsning fra entreprenøren.»det var sannsynligvis mange kontrakter, ting de hadde som var konfidensielt å logge på i en kaffebar eller noe,» Sa Katzman. «Det er ingen tvil om at de faktisk ble kompromittert. Men det verktøyet, noe som vi nettopp hadde implementert som en test, kom virkelig ut og viste oss det umiddelbart. Det er noe som fortsatt utnytter i dag.»

Langvarige Fordeler for DoD

DISA fornyet Tenable programvarelisens UNDER ACAS-kontrakten i desember 2018 basert på suksessen til teknologien i den første syvårige kontrakten, ifølge Chris Cleary, nå en visepresident for forretningsutvikling og strategi Hos Leidos og tidligere En Tenable business development director som jobbet MED DISA frem til kontrakten recompete.Cleary sa DISA gjør «alle ting sikkerhets-administrative-messig» for DoD, OG ACAS struktur har gjort den administrative delen AV DISA arbeid mye enklere.»UNDER ACAS-programretningslinjene utføres punkt-i-tid-skanning en gang i måneden og gjør en skanning for å finne sårbarheter i bedriften og gir kontekst som vil hjelpe operatøren med å rette opp disse sårbarhetene,» Sa Cleary. «Det skyller og gjentar. Det er bevisst i dette aspektet og derfor mekanisk i implementering og gjennomføring.»i tillegg til denne baseline skanning og rapportering, en merverdi Av Tenable løsning er AT NNM gir passiv, kontinuerlig overvåking som går utover ACAS programkrav og gir konstant årvåkenhet,» la han til.de planlagte skanninger og automatiserte rapporter forenkle jobbene til administratorer og ingeniører innen DoD, Katzman lagt. I stedet for å svare på forespørsler om ulike rapporter, har det å kunne fokusere på verdifulle aspekter av deres oppdrag forbedret kvaliteten på arbeidet deres.»løsningen er nå i stand til å automatisere mange av disse funksjonene og funksjonene og risikodashbordet, spesielt Med ARCs-assurance report cards-som er en nyere funksjon som bygger ut,» Sa Katzman. «Når vi skal fokusere på oppdraget, og utvikle og designe et system, nå får vi gjøre det. Løsningen gir oss mye tid.»

Å skape effektivitet for den tekniske arbeidsstyrken går hånd i hånd med kostnadsbesparelser ACAS har gitt.Automatisere og forenkle administrative funksjoner I DoD sårbarhet og risikostyring prosessen har redusert behovet for å ansette entreprenører og frigjort DoD personell som hadde brukt sin tid på å gjøre lavere verdi arbeid, Katzman sa. OG ACAS har brutt ned siloed skanning og administrasjon med sin virksomhetsomfattende omfang, som har skapt mer fleksibilitet i å utvide driften uten å pæle på kostnader, la han til. Utover arbeids-og kostnadsbesparelser understreket Katzman de teknologiske fordelene ACAS har brakt Til DoD.»løsningens rapporteringsevne er en kritisk spillveksler, særlig fordi rapporter kan skreddersys til ulike behov,» Sa Katzman og la til at sanntidskomponentene TIL ACAS er imponerende og avgjørende for Dods sårbarhetsstyringsoppdrag.»fordelen er kontinuerlig overvåking, og hva vi virkelig kan se i nær sanntid,» Sa Katzman. «Asset og lagerstyring er ekstremt vanskelig og å kunne se et stort flertall av dine eiendeler til enhver tid er utmerket. Derfor er det så mange forskjellige komplementære verktøy-det passive aspektet av det, hvis du vil se ting som ikke snakker helt hele tiden. Punkt-i-tid skanner er stor, men eiendelen må være online for deg å se at.»SELV Om Cleary, Katzman, Nemoto og andre Hos DoD har spionert SUKSESSEN OG fordelene MED ACAS så langt, snakket DE også om fremtidens muligheter for løsningen på avdelingen og hvordan skalering til skyen er DET neste store skrittet FOR ACAS.Cleary sa AT ACAS for tiden er designet som en on-premise applikasjon, så den er installert og kan utelukkende kjøre på datamaskiner i lokalene til de som bruker løsningen. Etter Hvert som DoD fortsetter å migrere sine servere til skyplattformer, MÅ ACAS-programmet utvikle seg fra on-prem og skalere opp for å gi sikkerhet og skannetjenester på skynivå.»Når du kan distribuere Eller utnytte Tenable til skyen, går skalerbarheten gjennom taket,» Sa Cleary.

Skalering AV ACAS til skyen vil også drive effektivitet og hastigheten på løsningens evner, ifølge Katzman. Han sa at å ta on-prem Nessus-skanneren til skyen er det neste trinnet han ser For Tenable og DoD.»Etter hvert som alt beveger seg inn i skyen – blir mindre, microservices, containerization-må vi se noen on-prem-versjon av en sårbarhetsskanner, dataanalyse som kan gjøres på fly i skyen,» sa han. «Skyens skalerbarhet er nesten øyeblikkelig, og med et snap med fingrene kan du spinne 200.000 til 500.000 virtuelle maskiner.»Som DoD forbereder seg på å snart utstede Sin Felles Enterprise Defense Infrastructure (JEDI) cloud kontrakt, Katzman sa JEDI ser ut til å bryte ned silo natur hver militærtjeneste servere og nettverk. Siden DoD kan distribuere Tenable.sc under ACAS på ulike nivåer, slik at DET kan rapportere til en eller flere security center instanser, ACAS kan gjøre DoD ledelse til å ha en større oversikt over og kontroll over de totale virksomhets wide IT-eiendeler og sårbarheter compliances av avdelingen.Katzman sa JEDI og andre enterprise-wide cloud-løsninger derfor fungerer godt sammen MED ACAS – som gir fleksibilitet og enterprise-wide evner Som DoD trenger i sin interne sårbarhet nettverksovervåking, noe som gjør fremtiden for sky migrasjon På DoD og ACAS vekst en som lett flyr på samme bane.