De când Agenția pentru Sisteme Informatice de apărare (DISA) a început să implementeze programul său intern de monitorizare continuă a vulnerabilității – soluție de evaluare a conformității asigurată (ACAS) – oficialii care au lucrat îndeaproape cu soluția au lăudat capacitățile ACAS, de la monitorizarea pasivă continuă, până la tabloul de bord și perspectivele de scalare în cloud.DISA a emis pentru prima dată contractul de program al ACAS în 2012, dar acum că DISA a reînnoit contractul de menținere a ACAS pentru încă doi ani la Departamentul Apărării (DoD), oficialii care au desfășurat și au lăudat ACAS au împărtășit modul în care DoD a obținut beneficii din programul pe care nu l-a văzut până acum.

ACAS: fundalul și componentele

DISA a atribuit contractul ACAS Perspecta – apoi HPES – în aprilie 2012 și Tenable, Inc. a furnizat software – ul din spatele ACAS, care a înlocuit Retina-soluția anterioară DOD utilizată pentru securitatea rețelei sale interne. Software-ul Tenable a câștigat deoarece a îndeplinit cerințele soluției acas DISA pentru o platformă de evaluare a vulnerabilității complet integrată.

mai precis, soluția Tenable oferă vizibilitate continuă la nivel de întreprindere, atât cu scanare activă, cât și pasivă, prin cuplarea a două aplicații de scanare. Unul este Nessus, care nu numai că respectă vulnerabilitățile și expunerile comune, ci și liniile directoare de implementare tehnică de securitate (Stigs) ale DISA.

cealaltă aplicație este Nessus Network Monitor (nnm), denumit anterior Passive Vulnerability Scanner (PVS), care monitorizează traficul de rețea pasiv, noile gazde de rețea și aplicațiile vulnerabile la compromisuri. Sprijinirea și controlul Nessus și NNM este Tenable.sc vizualizare continuă, care colectează datele scanerului și oferă rapoarte și un tablou de bord personalizat.

lansarea ACAS: tranziția și beneficiile timpurii

profesioniștii din industrie au vorbit recent despre pașii pe care i-au luat în lansarea soluției, precum și despre beneficiile pe care le-au văzut că ACAS le oferă DoD.arhitectul NorthTide Solutions, Phillip Katzman, a petrecut ultimii 10 ani lucrând cu DoD și misiunea sa de securitate cibernetică, iar în prezent se concentrează pe furnizarea de servicii ACAS către Comandamentul de securitate al informațiilor Armatei (INSCOM). El a spus că ACAS a fost lansat pentru utilizare obligatorie în cadrul Serviciilor în ianuarie 2014, după ce DoD a petrecut doi ani proiectând, storyboarding, analiza datelor și testarea capacității operabile. Beneficiile aduse de ACAS asupra soluției anterioare au fost clare, a spus el.”soluțiile software anterioare de gestionare a vulnerabilităților – nu erau bazate pe web, nu pe date”, a spus Katzman. „Ai fost rulează dintr-o aplicație pe un sistem care generează un fișier pentru tine să se uite la. Ceea ce a schimbat jocul, în special cu ACAS, este că au reușit să ia asta și să o pună într-o aplicație web bazată pe date, accesibilă de oriunde și oricând.”

Katzman a adăugat că capacitatea ACAS enterprise reporting și dashboard a permis DoD să personalizeze modul în care conducerea cibersecurității ar putea efectua scanări și să privească seturile de date,” felierea și tăierea ” acestora așa cum a fost solicitat. Kent Nemoto, administratorul de sistem ACAS, care a lucrat cu Katzman la implementarea ACAS la Army INSCOM, a adăugat că aspectul personalizabil al tablourilor de bord face ca aplicația să fie flexibilă pentru utilizatori.

Nessus s-a dovedit, de asemenea, să creeze mai puțin „zgomot” în rețea, cu un impact minim al rețelei în scanarea sa, pe care Katzman îl atribuie puterii capabilităților bazate pe web ale ACAS.”soluțiile anterioare au fost foarte, foarte zgomotoase în rețea”, a spus el. „Ai putea spune când acreditări sau evaluări au fost întâmplă din cauza ăsteia pe rețea și a făcut doar lucruri inutilizabile. … integrarea, capacitatea de a o folosi ca o adevărată aplicație web modernă. Acesta este cel mai mare diferențiator.”

armata a realizat aceste beneficii la începutul fazei de testare a capacităților ACAS. Katzman a spus că atunci când echipa sa lucra la lansarea NNM în SUA. Indo-Pacific Command (USINDOPAYCOM), NNM a detectat că un contractor de apărare autorizat emite noi e – mailuri către noi angajați pe un HTTP – nu pe un site HTTPS sigur și, ca urmare, introducea parole în clar. NNM a detectat această problemă, permițând echipei lui Katzman să comande o soluție de la contractant.”probabil că au fost o mulțime de contracte, lucruri pe care le aveau care erau confidențiale într-o cafenea sau ceva de genul”, a spus Katzman. „Nu există nici o îndoială în mintea mea că au fost de fapt compromise. Dar acel instrument, ceva pe care tocmai l-am implementat ca test, a ieșit într-adevăr și ne-a arătat instantaneu asta. Asta e ceva care utilizează și astăzi.”

beneficii de lungă durată pentru DoD

DISA a reînnoit licența software Tenable în temeiul contractului ACAS în decembrie 2018, pe baza succesului tehnologiei în primul contract de șapte ani, potrivit lui Chris Cleary, acum vicepreședinte de dezvoltare și strategie de afaceri la Leidos și fost director de dezvoltare a afacerilor Tenable care a lucrat cu DISA până la recompensarea contractului.Cleary a spus că DISA face” toate lucrurile din punct de vedere administrativ din punct de vedere al securității ” pentru DoD, iar structura ACAS a făcut partea administrativă a muncii DISA mult mai ușoară.”în conformitate cu orientările programului ACAS, scanarea punctuală se efectuează o dată pe lună și face o scanare pentru a găsi vulnerabilități în întreprindere și oferă context care va ajuta operatorul să corecteze aceste vulnerabilități”, a spus Cleary. „Se clătește și se repetă. Este deliberat în acest aspect și, prin urmare, mecanic în implementarea și execuția sa.”

„În plus față de această scanare și raportare de bază, o valoare adăugată a soluției Tenable este că NNM oferă monitorizare pasivă și continuă, care depășește cerințele programului ACAS și oferă vigilență constantă”, a adăugat el.scanările programate și rapoartele automate simplifică sarcinile administratorilor și inginerilor din cadrul DoD, a adăugat Katzman. În loc să răspundă solicitărilor de rapoarte diferite, capacitatea de a se concentra asupra aspectelor de mare valoare ale misiunii lor a îmbunătățit calitatea muncii lor.”soluția este acum capabilă să automatizeze multe dintre aceste funcții și caracteristici și tabloul de bord al riscurilor, în special cu ARCs – cardurile de raport de asigurare – care este o caracteristică mai nouă care se dezvoltă”, a spus Katzman. „Când ar trebui să ne concentrăm pe misiune și să dezvoltăm și să proiectăm un sistem, acum trebuie să facem asta. Soluția ne oferă mult timp.”

crearea eficienței pentru forța de muncă tehnologică merge mână în mână cu economiile de costuri pe care ACAS le-a dat.

automatizarea și simplificarea caracteristicilor administrative ale Vulnerabilității DoD și a procesului de gestionare a riscurilor a redus nevoia de a angaja contractori și a eliberat personalul DoD care și-a petrecut timpul făcând o muncă cu valoare mai mică, a spus Katzman. Și ACAS a defalcat scanarea și administrarea siloed cu domeniul său de aplicare la nivel de întreprindere, ceea ce a creat mai multă flexibilitate în extinderea operațiunilor fără a acumula costuri, a adăugat el.dincolo de economiile de forță de muncă și de costuri, Katzman a subliniat beneficiile tehnologice pe care ACAS le-a adus DoD.”capacitatea de raportare a soluției este o schimbare critică a jocului, în special pentru că rapoartele pot fi adaptate diferitelor nevoi”, a spus Katzman, adăugând că componentele în timp real ale ACAS sunt impresionante și vitale pentru misiunea de gestionare a vulnerabilității DoD.”beneficiul este monitorizarea continuă și ceea ce suntem cu adevărat capabili să vedem în timp real”, a spus Katzman. „Gestionarea activelor și a stocurilor este extrem de dificilă și posibilitatea de a vedea o mare majoritate a activelor dvs. în orice moment este excelentă. De aceea există atât de multe instrumente complementare diferite – aspectul pasiv al acestuia, dacă doriți să vedeți lucruri care nu vorbesc tot timpul. Scanările punctuale sunt grozave, dar activul trebuie să fie online pentru a vedea asta.”

calea ACAS înainte cu DoD la scalabilitatea Cloud

deși Cleary, Katzman, Nemoto și alții de la DoD au susținut succesul și beneficiile ACAS până acum, au vorbit și despre capacitățile viitoare ale soluției la departament și despre modul în care scalarea în cloud este următorul pas mare pentru ACAS.Cleary a spus că ACAS este în prezent conceput ca o aplicație on-premise, deci este instalat și poate rula exclusiv pe computere la sediul celor care utilizează soluția. Pe măsură ce DoD continuă să migreze serverele sale pe platformele cloud, programul ACAS va trebui să evolueze de la On-prem și să se extindă pentru a oferi servicii de securitate și scanare la nivel de cloud.

„odată ce puteți implementa sau utiliza Tenabil în cloud, scalabilitatea trece prin acoperiș”, a spus Cleary.

scalarea ACAS în cloud va conduce, de asemenea, eficiența și viteza capabilităților soluției, potrivit Katzman. El a spus că a lua scanerul on-prem Nessus în cloud este următorul pas pe care îl vede pentru Tenable și DoD.”pe măsură ce totul se mișcă în cloud – devine mai mic, microservicii, containerizare – va trebui să vedem o versiune on-prem a unui scaner de vulnerabilitate, analiza datelor care poate fi făcută în zbor în cloud”, a spus el. „Scalabilitatea norului este aproape instantanee și, într-o clipă, cu degetele, puteți roti 200.000 până la 500.000 de mașini virtuale.”în timp ce DoD se pregătește să emită în curând contractul său de cloud pentru infrastructura de apărare a întreprinderii comune (JEDI), Katzman a spus că JEDI încearcă să descompună natura izolată a serverelor și rețelelor fiecărui serviciu militar. Deoarece DoD poate implementa suportabil.sc sub ACAS la diferite niveluri, astfel încât să poată raporta la una sau mai multe instanțe ale Centrului de securitate, ACAS poate permite conducerii DoD să aibă o viziune mai mare și un control asupra activelor IT totale și a vulnerabilităților la nivel de întreprindere ale Departamentului.Katzman a spus că JEDI și alte soluții cloud la nivel de întreprindere funcționează bine împreună cu ACAS-care oferă flexibilitatea și capacitățile la nivel de întreprindere de care DoD are nevoie în monitorizarea rețelei sale interne de vulnerabilitate, făcând ca viitorul migrației cloud la DOD și creșterea ACAS să fie unul care zboară cu ușurință pe aceeași traiectorie.