od czasu, gdy Agencja Defense Information Systems Agency (Disa) rozpoczęła wdrażanie wewnętrznego zarządzania lukami w zabezpieczeniach program ciągłego monitorowania bezpieczeństwa – Assured Compliance Assessment Solution (ACAS) – urzędnicy, którzy ściśle współpracowali z tym rozwiązaniem, chwalili możliwości ACAS, od ciągłego pasywnego monitorowania, po dashboarding i perspektywy skalowania do chmury.

DISA po raz pierwszy wydała kontrakt programowy ACAS w 2012 roku, ale teraz, gdy Disa przedłużyła kontrakt na utrzymanie ACAS przez kolejne dwa lata w Departamencie Obrony (DoD), urzędnicy, którzy wdrożyli i chwalili ACAS, podzielili się tym, jak DoD czerpało korzyści z programu, którego wcześniej nie widziała.

ACAS: the Background and Components

DISA przyznała kontrakt ACAS firmie Perspecta – wówczas HPES – w kwietniu 2012 roku i Tenable, Inc. dostarczyła oprogramowanie ACAS, które zastąpiło Retina-poprzednie rozwiązanie DoD używane do bezpieczeństwa sieci wewnętrznej. Oprogramowanie Tenable wygrało, ponieważ spełniło wymagania rozwiązania ACAS DISA dotyczące w pełni zintegrowanej platformy oceny luk w zabezpieczeniach.

mówiąc dokładniej, rozwiązanie Tenable zapewnia ciągłą widoczność w całym przedsiębiorstwie zarówno przy aktywnym, jak i pasywnym skanowaniu poprzez połączenie dwóch aplikacji skanujących. Jednym z nich jest Nessus, który jest nie tylko zgodny z powszechnymi lukami w zabezpieczeniach i Narażeniami, ale także z wytycznymi Disa dotyczącymi technicznej implementacji zabezpieczeń (Stigs).

drugą aplikacją jest Nessus Network Monitor (NNM), wcześniej nazwany Passive Vulnerability Scanner (PVS), który monitoruje pasywny ruch sieciowy, nowe hosty sieciowe i aplikacje podatne na zagrożenia. Wspieranie i kontrolowanie Nessus i NNM jest Tenable.sc Widok ciągły, który zbiera dane skanera i dostarcza raporty oraz Niestandardowy pulpit nawigacyjny.

wprowadzenie ACAS: przejście i wczesne korzyści

specjaliści z branży niedawno opowiedzieli o krokach, jakie podjęli przy wprowadzaniu rozwiązania, a także o korzyściach, jakie ACAS dostarczyli do DoD.

architekt rozwiązań NorthTide Phillip Katzman spędził ostatnie 10 lat pracując z DoD i jej misją cyberbezpieczeństwa, a obecnie koncentruje się na dostarczaniu usług ACAS Dla Army Intelligence Security Command (INSCOM). Powiedział, że ACAS rozpoczął obowiązkowe korzystanie z usług w styczniu 2014 r.po tym, jak Departament Obrony spędził dwa lata na projektowaniu, tworzeniu scenariuszy, analizowaniu danych i testowaniu funkcjonalnych możliwości. Korzyści, jakie ACAS przyniósł wcześniejsze rozwiązanie, były jasne, powiedział.

„wcześniejsze rozwiązania do zarządzania lukami w zabezpieczeniach – nie były oparte na sieci, nie na danych”-powiedział Katzman. „Uruchamiałeś go z aplikacji w systemie, który generuje plik do obejrzenia. To, co zmieniło grę, zwłaszcza w przypadku ACAS, to fakt, że udało im się to wykorzystać i umieścić w aplikacji internetowej opartej na danych, która jest dostępna z dowolnego miejsca i o każdej porze.”

Katzman dodał, że funkcja raportowania i pulpitu nawigacyjnego ACAS enterprise pozwoliła Departamentowi Obrony dostosować sposób, w jaki kierownictwo ds. cyberbezpieczeństwa może przeprowadzać skanowanie i przeglądać zbiory danych, „krojąc je i krojąc” zgodnie z żądaniem. Kent Nemoto, Administrator systemu ACAS, który współpracował z Katzmanem przy wdrażaniu ACAS w army INSCOM, dodał, że konfigurowalny aspekt pulpitów nawigacyjnych sprawia, że aplikacja jest elastyczna dla użytkowników.

Nessus udowodnił również, że tworzy mniej „szumów” sieci, przy minimalnym wpływie sieci na skanowanie, co Katzman przypisuje potędze możliwości sieciowych ACAS.

„poprzednie rozwiązania były naprawdę głośne w sieci” „Można powiedzieć, kiedy akredytacje lub oceny były dzieje się z powodu wymiatania w sieci i to po prostu rzeczy bezużyteczne. … integracja, możliwość wykorzystania jej jako prawdziwej nowoczesnej aplikacji internetowej. To największy wyróżnik.”

Armia zrealizowała te korzyści na początku fazy testowania zdolności ACAS. Katzman powiedział, że gdy jego zespół pracował nad startem NNM w USA. Indo-Pacific Command (USINDOPAYCOM), NNM wykrył, że oczyszczony wykonawca obrony wysyłał nowe e – maile do nowych pracowników na HTTP – a nie bezpiecznej stronie HTTPS-iw rezultacie wpisywał hasła w clear. NNM wykryło ten problem, umożliwiając zespołowi Katzmana zlecenie naprawy u wykonawcy.

„było pewnie mnóstwo umów, rzeczy, które mieli, które były poufne w kawiarni czy coś” – powiedział Katzman. „Nie mam wątpliwości, że zostały one rzeczywiście skompromitowane. Ale to narzędzie, coś, co właśnie wdrożyliśmy jako test, naprawdę wyszło i od razu nam to pokazało. To jest coś, co nadal wykorzystuje dzisiaj.”

długotrwałe korzyści dla Departamentu Obrony

DISA odnowiła licencję na oprogramowanie Tenable w ramach umowy ACAS w grudniu 2018 r.w oparciu o sukces technologii w pierwszym siedmioletnim kontrakcie, według Chrisa Cleary ’ ego, obecnie wiceprezesa ds. rozwoju biznesu i strategii w Leidos, a wcześniej Dyrektora ds. rozwoju Biznesu Tenable, który pracował z DISA przed ponowną konkurencją.

Cleary powiedział, że DISA robi „wszystko, co związane z bezpieczeństwem i administracją” dla DoD, a struktura ACAS znacznie ułatwiła administracyjną część pracy DISA.

„zgodnie z wytycznymi programu ACAS skanowanie punktowe odbywa się raz w miesiącu i wykonuje skanowanie w celu znalezienia luk w zabezpieczeniach w przedsiębiorstwie i zapewnia kontekst, który pomoże operatorowi skorygować te luki”-powiedział Cleary. „Spłukuje i powtarza. Jest to celowe w tym aspekcie, a więc mechaniczne w jego realizacji i wykonaniu.”

” oprócz tego skanowania bazowego i raportowania wartością dodaną rozwiązania Tenable jest to, że NNM zapewnia pasywny, ciągły monitoring, który wykracza poza wymagania programu ACAS i zapewnia stałą czujność”, dodał.

zaplanowane skany i automatyczne raporty upraszczają zadania administratorów i inżynierów w DoD-dodał Katzman. Zamiast odpowiadać na prośby o różne raporty, możliwość skupienia się na Wartościowych aspektach ich misji poprawiła jakość ich pracy.

„rozwiązanie jest teraz w stanie zautomatyzować wiele z tych funkcji i funkcji oraz pulpit ryzyka, szczególnie w przypadku ARCs – kart raportów asekuracyjnych – które są nowszą funkcją, która się buduje”, powiedział Katzman. „Kiedy powinniśmy skupić się na misji, rozwoju i projektowaniu systemu, teraz możemy to zrobić. Rozwiązanie daje nam dużo czasu.”

tworzenie wydajności dla pracowników technicznych idzie w parze z oszczędnościami, które przyniosły ACAS.

Automatyzacja i uproszczenie funkcji administracyjnych procesu zarządzania podatnościami i ryzykiem DoD zmniejszyło potrzebę zatrudniania wykonawców i uwolniło pracowników DoD, którzy poświęcili swój czas na pracę o niższej wartości, powiedział Katzman. Dodał, że ACAS rozwiązał szereg problemów związanych ze skanowaniem i administracją w całym przedsiębiorstwie, co zwiększyło elastyczność w rozszerzaniu działalności bez obciążania kosztami.

oprócz oszczędności pracy i kosztów, Katzman podkreślił korzyści technologiczne, jakie ACAS przyniósł DoD.

„możliwość raportowania tego rozwiązania ma kluczowe znaczenie dla gry, szczególnie dlatego, że raporty mogą być dostosowane do różnych potrzeb”, powiedział Katzman, dodając, że komponenty ACAS w czasie rzeczywistym są imponujące i niezbędne dla misji DoD w zakresie zarządzania lukami w zabezpieczeniach.

„zaletą jest ciągłe monitorowanie i to, co naprawdę jesteśmy w stanie zobaczyć w czasie zbliżonym do rzeczywistego” – powiedział Katzman. „Zarządzanie aktywami i zapasami jest niezwykle trudne, a możliwość zobaczenia znacznej większości zasobów w jednym czasie jest doskonała. Dlatego istnieje tak wiele różnych uzupełniających się narzędzi – pasywny aspekt tego, jeśli chcesz zobaczyć rzeczy, które nie do końca mówią przez cały czas. Skanowanie punktowe jest świetne, ale zasób musi być online, aby to zobaczyć.”

Droga ACAS Z DoD do skalowalności chmury

chociaż Cleary, Katzman, Nemoto i inni z DoD zachwalali sukces i korzyści z ACAS do tej pory, mówili również o przyszłych możliwościach rozwiązania w dziale i o tym, jak skalowanie do chmury jest kolejnym dużym krokiem dla ACAS.

Cleary powiedział, że ACAS jest obecnie zaprojektowany jako aplikacja lokalna, więc jest zainstalowany i może działać wyłącznie na komputerach w pomieszczeniach osób korzystających z rozwiązania. Ponieważ Departament Obrony kontynuuje migrację swoich serwerów na platformy w chmurze, program ACAS będzie musiał ewoluować z lokalnego i skalować się, aby zapewnić usługi bezpieczeństwa i skanowania na poziomie chmury.

„Kiedy możesz wdrożyć lub wykorzystać Tenable do chmury, skalowalność przechodzi przez dach”, powiedział Cleary.

skalowanie ACAS do chmury również zwiększy wydajność i szybkość możliwości rozwiązania, według Katzmana. Powiedział, że przeniesienie skanera on-prem Nessus do chmury to kolejny krok, jaki widzi dla Tenable ’ a i DoD.

„gdy wszystko przenosi się do chmury – staje się mniejsze, mikroserwisy, konteneryzacja – będziemy musieli zobaczyć jakąś wersję skanera luk w zabezpieczeniach, analizę danych, którą można wykonać w locie w chmurze” -powiedział. „Skalowalność chmury jest niemal natychmiastowa, a w mgnieniu oka można obracać od 200 000 do 500 000 maszyn wirtualnych.”

gdy Departament Obrony przygotowuje się do wydania wkrótce umowy o chmurę Joint Enterprise Defense Infrastructure (JEDI), Katzman powiedział, że JEDI chce przełamać zamknięty charakter serwerów i sieci każdej służby wojskowej. Od DoD może wdrożyć Tenable.sc w ramach ACAS na różnych poziomach, dzięki czemu może zgłaszać do jednej lub więcej instancji security center, ACAS może umożliwić kierownictwu DoD większy wgląd w całkowite zasoby IT i luki w całym przedsiębiorstwie oraz kontrolę nad nimi.

Katzman powiedział, że JEDI i inne rozwiązania chmurowe dla całego przedsiębiorstwa dobrze współpracują z ACAS-co zapewnia elastyczność i możliwości dla całego przedsiębiorstwa, których DoD potrzebuje w swoim wewnętrznym monitorowaniu sieci podatności, dzięki czemu przyszłość migracji w chmurze w DoD i rozwoju ACAS z łatwością podąża tą samą trajektorią.