desde que a Agência de Sistemas de informação de Defesa (DISA) começou a implementar sua gestão interna de vulnerabilidade programa de segurança de monitoramento contínuo – solução de Avaliação de Conformidade garantida (ACAS) – funcionários que trabalharam de perto com a solução elogiaram as capacidades da ACAS, desde a sua monitorização passiva contínua, ao seu dashboarding e perspectivas de escalar para a nuvem.

DISA primeira emissão ACAS do contrato-programa em 2012, mas agora que a DISA renovou o contrato para manter ACAS para mais dois anos no Departamento de Defesa (DoD), os funcionários que tenham implantado e elogiou ACAS compartilhada como DoD tem colheu benefícios do programa que não tenha visto antes.

ACAS: the Background and Components

DISA awarded the ACAS contract to Perspecta-then HPES-in April 2012, and Tenable, Inc. forneceu o software por trás da ACAS, que substituiu a Retina – a solução anterior DoD utilizada para a sua segurança interna da rede. O software da Tenable ganhou porque atendeu aos requisitos da solução ACAS da DISA para uma plataforma de avaliação de vulnerabilidade totalmente integrada.mais especificamente, a solução Tenable oferece visibilidade contínua em toda a empresa com varredura ativa e passiva por acoplamento de duas aplicações de varredura. Um deles é o Nessus, que não só cumpre com vulnerabilidades e exposições comuns, mas também as Diretrizes de implementação técnica de segurança da DISA (STIGs).

a outra aplicação é o Nessus Network Monitor( NNM), anteriormente chamado Passive Vulnerability Scanner (PVS), que monitora o tráfego passivo de rede, novas hosts de rede, e aplicações que são vulneráveis ao compromisso. Apoio e controlo da Nessus e da NNM é Tenable.sc Vista contínua, que coleta dados de scanner e fornece relatórios e um painel personalizado.

lançamento ACAS: a transição e os primeiros benefícios

profissionais da indústria falaram recentemente sobre os passos que tomaram no lançamento da solução, bem como os benefícios que viram a ACAS entregar ao DoD.

Northide Solutions o arquiteto Phillip Katzman passou os últimos 10 anos trabalhando com o DoD e sua missão de segurança cibernética, e ele atualmente se concentra em fornecer serviços ACAS para o comando de segurança de inteligência do exército (INSCOM). Ele disse que a ACAS foi lançada para uso obrigatório em todos os Serviços em janeiro de 2014, depois que o DoD passou dois anos projetando, armazenando, analisando dados e testando a capacidade operacional. Os benefícios que o ACAS trouxe sobre a solução anterior eram claros, disse ele.

“soluções anteriores de software de gerenciamento de vulnerabilidades-elas não eram baseadas na web, não baseadas em dados”, disse Katzman. “Você estava executando a partir de uma aplicação em um sistema que gera um arquivo para você olhar. O que a mudança de jogo foi, especialmente com a ACAS, é que eles foram capazes de pegar isso e colocá-lo em uma aplicação web orientada a dados que é acessível a partir de qualquer lugar a qualquer momento.”

Katzman added that the ACAS enterprise reporting and dashboard capability allowed DoD to customize how cybersegurança leadership could conduct scans and look at data sets,” slicing and dicing ” them as requested. Kent Nemoto, administrador do sistema ACAS, que trabalhou com Katzman na implementação do ACAS no Army INSCOM, acrescentou que o aspecto personalizável dos painéis torna a aplicação flexível para os usuários.

Nessus também provou criar menos “ruído” de rede, com impacto mínimo de rede em sua digitalização, que Katzman credita ao poder das capacidades baseadas na web da ACAS.”as soluções anteriores eram muito, muito ruidosas na rede”, disse ele. “Você poderia dizer quando acreditações ou avaliações estavam acontecendo por causa das varreduras na rede e isso apenas tornou as coisas inutilizáveis. … integração, a capacidade de alavancá-lo como uma verdadeira aplicação web moderna. É o maior diferenciador.”

The Army realized these benefits early in the capability testing phase of ACAS. Katzman disse que quando sua equipe estava trabalhando no lançamento da NNM nos EUA. Comando Indo-Pacífico (USINDOPAYCOM), a NNM detectou que um contratante de defesa autorizado estava emitindo novos e – mails para novos funcionários em um site HTTP – não um HTTPS seguro-e, como resultado, estava escrevendo senhas no clear. A NNM detectou esse problema, permitindo que a equipe de Katzman pedisse uma correção do CONTRATANTE.

“provavelmente havia muitos contratos, coisas que eles tinham que eram registros confidenciais em um café ou algo assim”, disse Katzman. “Não tenho dúvidas de que foram comprometidos. Mas aquela ferramenta, algo que tínhamos acabado de implementar como um teste, realmente saiu e imediatamente nos mostrou isso. Isso é algo que ainda utiliza hoje.”

Benefícios Duradouros para o DoD

DISA renovada Sustentável da licença de software sob a ACAS contrato em dezembro de 2018, com base no sucesso da tecnologia nos sete primeiros anos de contrato, de acordo com Chris Cleary, agora vice-presidente de desenvolvimento de negócios e estratégia de a Leidos e outrora um Defensável diretor de desenvolvimento de negócios, que trabalhou com a DISA que antecederam o contrato recompete.Cleary disse que DISA faz “todas as coisas de segurança-administrativa-sábio” para o DoD, e a estrutura do ACAS tornou a parte administrativa do trabalho do DISA muito mais fácil.

“sob as diretrizes do programa ACAS, a varredura pontual é realizada uma vez por mês e faz uma varredura para encontrar vulnerabilidades na empresa e fornece um contexto que ajudará o operador a corrigir essas vulnerabilidades”, disse Cleary. “Enxaguam e repetem. É deliberado neste aspecto e, portanto, mecânico na sua implementação e execução.”

“além desta varredura e relatórios de base, um valor acrescentado da solução de Tenable é que a NNM fornece monitoramento passivo e contínuo que vai além dos requisitos do programa ACAS e fornece vigilância constante”, acrescentou.

as digitalizações programadas e os relatórios automatizados simplificam os trabalhos de administradores e engenheiros dentro do DoD, Katzman acrescentou. Em vez de responder a pedidos de diferentes relatórios, poder concentrar-se em aspectos de alto valor da sua missão melhorou a qualidade do seu trabalho.

“a solução agora é capaz de automatizar muitas dessas funções e recursos e o painel de risco, especialmente com os arcos – os cartões de relatório de garantia – que é uma característica mais recente que está construindo”, disse Katzman. “Quando devemos nos concentrar na missão, e desenvolver e projetar um sistema, agora podemos fazer isso. A solução dá-nos muito tempo.”a criação de eficiência para a mão-de-obra tecnológica está associada à economia de custos que a ACAS produziu.automatizar e simplificar as características administrativas do processo de vulnerabilidade e gestão de risco do DoD reduziu a necessidade de contratar empreiteiros e liberou o pessoal do DoD que tinha passado seu tempo fazendo um trabalho de menor valor, disse Katzman. E a ACAS dividiu a varredura silenciosa e a administração com seu escopo corporativo, o que criou mais flexibilidade na expansão das operações sem acumular custos, acrescentou.além da economia de trabalho e custos, Katzman enfatizou os benefícios tecnológicos que a ACAS trouxe para o DoD.

“a capacidade de relatórios da solução é uma mudança crítica do jogo, particularmente porque os relatórios podem ser adaptados a diferentes necessidades”, disse Katzman, acrescentando que os componentes em tempo real do ACAS são impressionantes e vitais para a missão de gerenciamento de vulnerabilidades do DoD.

“O benefício é o monitoramento contínuo, e o que realmente somos capazes de ver em tempo quase real”, disse Katzman. “Gestão de ativos e inventário é extremamente difícil e ser capaz de ver uma grande maioria de seus ativos em qualquer momento é excelente. É por isso que existem tantas ferramentas complementares diferentes – o aspecto passivo disso, se você quiser ver coisas que não estão falando o tempo todo. Os exames pontuais são óptimos, mas o activo precisa de estar online para que vejas isso.”

ACAS do Caminho para a Frente Com o departamento de defesa para Nuvem Escalabilidade

Embora Cleary, Katzman, Nemoto, e outros no departamento de defesa têm elogiado o sucesso e os benefícios da ACAS, até agora, eles também falou sobre o futuro capacidades da solução do departamento e como o dimensionamento para a nuvem é o próximo grande passo para ACAS.

Cleary disse que o ACAS é atualmente projetado como uma aplicação on-premise, por isso é instalado e pode funcionar exclusivamente em computadores nas instalações daqueles que usam a solução. Como o DoD continua migrando seus servidores para plataformas de nuvem, o programa ACAS terá que evoluir a partir do on-prem e aumentar a escala para fornecer serviços de segurança e digitalização em nível de nuvem.

“Uma vez que você pode implantar ou alavancar sustentável para a nuvem, a escalabilidade vai através do telhado”, disse Cleary.

escalar ACAS para a nuvem também irá impulsionar a eficiência e a velocidade das capacidades da solução, de acordo com Katzman. Ele disse que levar o scanner on-prem Nessus para a nuvem é o próximo passo que ele vê para Tenable e DoD.

“à medida que tudo se move para a nuvem – torna – se menor, microservices, contenção-vamos precisar ver alguma versão on-prem de um scanner de vulnerabilidade, análise de dados que pode ser feito na mosca na nuvem”, disse ele. “A escalabilidade das nuvens é quase instantânea, e com um estalar de dedos, você pode girar 200.000 a 500.000 máquinas virtuais.Katzman disse que JEDI procura quebrar a natureza silenciada dos servidores e redes de cada serviço militar. Uma vez que o Departamento de defesa pode posicionar-se.sc sob a ACAS em vários níveis para que possa relatar a uma ou mais instâncias do centro de segurança, ACAS pode permitir que a liderança do DoD tenha uma visão maior e controle sobre o total de ativos e vulnerabilidades de TI em toda a empresa do Departamento.Katzman disse que JEDI e outras soluções de nuvem para toda a empresa, portanto, funcionam bem em conjunto com a ACAS – que fornece a flexibilidade e as capacidades de toda a empresa que o DoD precisa na monitorização da sua rede de vulnerabilidade interna, tornando o futuro da migração de nuvens no DoD e do crescimento da ACAS um que voa facilmente na mesma trajetória.