sedan Defense Information Systems Agency (DISA) började implementera sin interna sårbarhetshantering continuous monitoring security program – Assured Compliance Assessment Solution (ACAS) – tjänstemän som har arbetat nära lösningen har berömt ACAS kapacitet, från dess kontinuerliga passiva övervakning, till dess dashboarding och möjligheter att skala till molnet.

DISA utfärdade först ACAS programkontrakt 2012, men nu när DISA har förnyat kontraktet för att upprätthålla ACAS i ytterligare två år vid försvarsdepartementet (DoD), de tjänstemän som har distribuerat och berömt ACAS delade hur DoD har skördat fördelar från det program som det inte har sett tidigare.

ACAS: bakgrunden och komponenterna

DISA tilldelade ACAS-kontraktet till Perspecta-då HPES-i April 2012 och Tenable, Inc. har tillhandahållit programvaran bakom ACAS, som ersatte Retina – den tidigare lösningen DoD som användes för sin interna nätverkssäkerhet. Tenables programvara vann ut eftersom den uppfyllde Disas ACAS-lösningskrav för en helt integrerad plattform för sårbarhetsbedömning.

Mer specifikt ger Tenables lösning kontinuerlig företagsövergripande synlighet med både aktiv och passiv skanning genom att koppla två skanningsapplikationer. En är Nessus, som inte bara överensstämmer med vanliga sårbarheter och exponeringar, utan också DISA: s riktlinjer för säkerhetsteknisk implementering (STIGs).

den andra applikationen är Nessus Network Monitor (NNM), tidigare benämnd Passive Vulnerability Scanner (PVS), som övervakar passiv nätverkstrafik, nya nätverksvärdar och applikationer som är sårbara för kompromisser. Att stödja och kontrollera Nessus och NNM är Tenable.sc kontinuerlig vy, som samlar in skannerdata och ger rapporter och en anpassad instrumentpanel.

lansering av ACAS: övergången och tidiga fördelar

branschpersonal talade nyligen om de steg de tog för att lansera lösningen, liksom de fördelar de såg ACAS leverera till DoD.Northtide Solutions-arkitekten Phillip Katzman har tillbringat de senaste 10 åren med att arbeta med DoD och dess cybersecurity-uppdrag, och han fokuserar för närvarande på att leverera ACAS-tjänster till Army Intelligence Security Command (INSCOM). Han sa att ACAS lanserades för obligatorisk användning över tjänsterna i januari 2014 efter att DoD tillbringade två år med att designa, storyboarding, dataanalys och testning av operativ kapacitet. Fördelarna ACAS förde över den tidigare lösningen var tydliga, han sa.

”tidigare programvarulösningar för sårbarhetshantering-de var inte webbaserade, inte databaserade”, sa Katzman. ”Du körde det från ett program på ett system som genererar en fil för dig att titta på. Vad spelväxlaren var, särskilt med ACAS, är att de kunde ta det och lägga det i en datadriven webbapplikation som är tillgänglig var som helst när som helst.”

Katzman tillade att ACAS enterprise reporting and dashboard capability gjorde det möjligt för DoD att anpassa hur cybersecurity leadership kunde genomföra skanningar och titta på dataset, ”skära och dicing” dem som begärts. Kent Nemoto, ACAS systemadministratör, som arbetade med Katzman för att implementera ACAS på Army INSCOM, tillade att den anpassningsbara aspekten av instrumentpanelerna gör applikationen flexibel för användare.

Nessus visade sig också skapa mindre nätverk ”brus”, med minimal nätverkspåverkan i sin skanning, vilket Katzman krediterar kraften i ACAS webbaserade funktioner.

”tidigare lösningar var verkligen, riktigt bullriga på nätverket”, sa han. ”Du kan berätta när ackrediteringar eller bedömningar pågick på grund av svepningarna i nätverket och det gjorde bara saker oanvändbara. … integration, förmågan att utnyttja den som en sann modern webbapplikation. Det är den största skillnaden.”

Army insåg dessa fördelar tidigt i kapacitetstestfasen av ACAS. Katzman sa att när hans team arbetade med NNM-lanseringen i USA. Indo-Pacific Command (USINDOPAYCOM) upptäckte NNM att en rensad försvarsentreprenör utfärdade nya e – postmeddelanden till nya anställda på en HTTP – inte en säker HTTPS-webbplats och som ett resultat skrev lösenord i det klara. NNM upptäckte det problemet, så att Katzmans team kunde beställa en fix från entreprenören.

” det fanns förmodligen många kontrakt, saker som de hade som var konfidentiella loggar in i en kaffebar eller något,” sa Katzman. ”Det är ingen tvekan i mitt sinne att de faktiskt komprometterades. Men det verktyget, något som vi just hade implementerat som ett test, kom verkligen ut och visade oss omedelbart det. Det är något som fortfarande utnyttjar idag.”

långvariga fördelar för DoD

DISA förnyade Tenables programvarulicens enligt ACAS-kontraktet i December 2018 baserat på teknikens framgång i det första sjuåriga kontraktet, enligt Chris Cleary, nu vice president of business development and strategy på Leidos och tidigare en Tenable business development director som arbetade med DISA fram till kontraktet recompete.

Cleary sa att DISA gör” allt säkerhetsadministrativt ” för DoD, och ACAS struktur har gjort den administrativa delen av Disas arbete mycket enklare.

” enligt ACAS-programmets riktlinjer utförs punkt-i-tid-skanning en gång i månaden och gör en skanning för att hitta sårbarheter i företaget och ger sammanhang som hjälper operatören att korrigera dessa sårbarheter”, sa Cleary. ”Det sköljer och upprepar. Det är medvetet i denna aspekt och därför mekaniskt i dess genomförande och genomförande.”

” förutom denna baslinjeskanning och rapportering är ett mervärde av Tenables lösning att NNM tillhandahåller passiv, kontinuerlig övervakning som går utöver ACAS-programkraven och ger konstant vaksamhet,” tillade han.

de schemalagda skanningarna och automatiserade rapporterna förenklar jobben för administratörer och ingenjörer inom DoD, tillade Katzman. Snarare än att svara på förfrågningar om olika rapporter, att kunna fokusera på värdefulla aspekter av deras uppdrag har förbättrat kvaliteten på deras arbete.

”lösningen kan nu automatisera många av dessa funktioner och funktioner och riskpanelen, särskilt med ARCs – assurance report cards – vilket är en nyare funktion som bygger ut”, sa Katzman. ”När vi ska fokusera på uppdraget och utveckla och designa ett system, nu får vi göra det. Lösningen ger oss mycket tid.”

att skapa effektivitet för den tekniska arbetskraften går hand i hand med kostnadsbesparingar som ACAS har gett.automatisera och förenkla administrativa funktioner i dod sårbarhet och riskhantering process har minskat behovet av att anställa entreprenörer och frigjort DoD personal som hade tillbringat sin tid att göra lägre värde arbete, Katzman sa. Och ACAS har brutit ner siloed scanning och administration med sitt företagsomfattande omfattning, vilket har skapat mer flexibilitet i att expandera verksamheten utan att lägga på kostnader, tillade han.

utöver arbets-och kostnadsbesparingar betonade Katzman de tekniska fördelarna ACAS har medfört DoD.

”lösningens rapporteringsförmåga är en kritisk spelväxlare, särskilt för att rapporter kan skräddarsys för olika behov”, sa Katzman och tillade att realtidskomponenterna i ACAS är imponerande och viktiga för DoD: s sårbarhetshanteringsuppdrag.

”fördelen är kontinuerlig övervakning, och vad vi verkligen kan se i nära realtid”, sa Katzman. ”Tillgångs-och lagerhantering är extremt svårt och att kunna se en stor majoritet av dina tillgångar när som helst är utmärkt. Det är därför det finns så många olika kompletterande verktyg – den passiva aspekten av det, om du vill se saker som inte riktigt pratar hela tiden. Punkt-i-tid-skanningar är bra, men tillgången måste vara online för att du ska kunna se det.”

ACAS väg framåt med DoD till moln skalbarhet

även Cleary, Katzman, Nemoto, och andra på DoD har tippad framgång och fördelarna med ACAS hittills, de talade också om framtida kapacitet lösningen på avdelningen och hur skalning till molnet är nästa stora steg för ACAS.

Cleary sa att ACAS för närvarande är utformat som en lokal applikation, så den är installerad och kan uteslutande köras på datorer i lokalerna för dem som använder lösningen. När DoD fortsätter att migrera sina servrar till molnplattformar måste ACAS-programmet utvecklas från on-prem och skala upp för att tillhandahålla säkerhets-och skanningstjänster på molnnivå.

”När du kan distribuera eller utnyttja Tenable till molnet går skalbarheten genom taket”, sa Cleary.

skalning av ACAS till molnet kommer också att driva effektivitet och hastigheten på lösningens kapacitet, enligt Katzman. Han sade att ta on-prem Nessus scanner till molnet är nästa steg han ser för Tenable och DoD.

”När allt rör sig in i molnet – blir mindre, mikrotjänster, containerisering – kommer vi att behöva se en del on-prem-version av en sårbarhetsskanner, dataanalys som kan göras i farten i molnet”, sa han. ”Molnskalbarheten är nästan omedelbar, och med ett ögonblick med fingrarna kan du snurra 200 000 till 500 000 virtuella maskiner.”när DoD förbereder sig för att snart utfärda sitt Joint Enterprise Defense Infrastructure (JEDI) cloud-kontrakt, sa Katzman att JEDI ser ut att bryta ner den siloed naturen hos varje militärtjänsts servrar och nätverk. Eftersom DoD kan distribuera Tenable.sc under ACAS på olika nivåer så att den kan rapportera till en eller flera säkerhetscenter instanser, ACAS kan göra det möjligt DoD ledarskap för att få en större bild av och kontroll över den totala företagsomfattande IT-tillgångar och sårbarheter efterlevnad av avdelningen.Katzman sa att JEDI och andra företagsövergripande molnlösningar därför fungerar bra tillsammans med ACAS-vilket ger den flexibilitet och företagsövergripande kapacitet som DoD behöver i sin interna sårbarhetsnätverksövervakning, vilket gör framtiden för molnmigrering vid DoD och ACAS tillväxt en som lätt flyger på samma bana.