สำนักงานข่าวกรองภูมิสารสนเทศแห่งชาติมีความเข้าใจที่ดีขึ้นเกี่ยวกับข้อบกพร่องด้านความปลอดภัยในโลกไซเบอร์เพื่อให้ชัดเจน เมื่อเร็ว ๆ นี้ NGA ได้ผ่านการตรวจสอบหลักหลายรายการที่จำเป็นสำหรับระบบที่ไม่ได้รับการจำแนกประเภทแต่ Gary Buchanan หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ NGA กล่าวที่ AFCEA DC เมื่อเร็ว ๆ นี้ว่าการตรวจสอบเหล่านี้ช่วยให้หน่วยงานปกป้องข้อมูลและเครือข่ายได้ดีขึ้นแทนที่จะชี้ให้เห็นปัญหา
ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัด
การสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps
Gary Buchanan เป็นหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ NGA
“เราเพิ่งผ่านการตรวจสอบความพร้อมทางไซเบอร์ของกองบัญชาการ (CCRI) เรามีผู้ให้บริการความปลอดภัยทางไซเบอร์ (CSSP) และการตรวจสอบโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ใน [ต้นฤดูใบไม้ผลินี้] แน่นอนว่าเป็นเวลา 6 เดือนของการเตรียมการ แต่เราก็ผ่านมันไปได้ และหลายสิ่งหลายอย่างก็กระจ่างชัดจากสิ่งนั้นในความท้าทายด้วยการเฝ้าติดตามอย่างต่อเนื่อง” บูคานันกล่าวในงาน โดยมีการแสดงข้อความที่ตัดตอนมาจาก Ask the CIO “ส่วนที่ฉันอยากจะพูดด้วยจริงๆ คือความหมายเชิงลบที่ผู้คนมีต่อการตรวจสอบที่พวกเขามีกับ CCRI, CCORI หรือการตรวจสอบประเภทใดก็ตามที่คุณทำในฐานะ CISO ฉันยินดีต้อนรับพวกเขา มันย้อนกลับไปที่งานแรกของฉันใน IC ซึ่งฉันเป็นภารโรง และฉันกำลังทำความสะอาดอาคารที่เคยเรียกว่า Defense Mapping Agency ในตึกนั้น ฉันสูง 6’1″ แต่การมองเห็นของฉันอยู่ในระดับที่แตกต่างจากคนบางคนที่ฉันทำงานด้วย ซึ่งโดยทั่วไปแล้วเตี้ยกว่าฉัน และสิ่งที่ฉันเห็นว่าจำเป็นต้องทำความสะอาดและสิ่งที่พวกเขาเห็นว่าจำเป็นต้องทำความสะอาดนั้นเป็นสองสิ่งที่แตกต่างกัน เมื่อคุณมีการตรวจสอบที่เราเพิ่งตรวจสอบและเราผ่าน ฉันต้องพูดต่อไปว่าเราผ่าน ความคิดที่แตกต่างกันและรูปลักษณ์ที่แตกต่างกันที่ใครบางคนมอบให้คุณในระดับที่แตกต่างกันนั้นถือเป็นปรากฎการณ์”
บทวิจารณ์ซึ่งเขากล่าวว่าเป็น ” การเจาะลึกลงไปในท่าทางการรักษาความปลอดภัยโดยรวมของเรา” ช่วยระบุช่องว่างบางอย่างในสถาปัตยกรรมของ NGA และพื้นที่อื่นๆ ที่สามารถปรับปรุงได้
เมื่อช่วงต้นฤดูร้อนนี้ DoD ได้กำหนดการวิเคราะห์
หรือตรวจสอบเครือข่ายและระบบที่เป็นความลับของ NGA
“ฉันจะบอกคุณว่าจากมุมมองของ PKI และการจัดการข้อมูลประจำตัวและการเข้าถึงของเรา เราเอาชนะ CSSP ซึ่งเป็นผู้ให้บริการความปลอดภัยทางไซเบอร์ได้โดยสิ้นเชิง เราทำคะแนนได้ 96% ซึ่งหมายความว่านโยบาย ขั้นตอน และเทคโนโลยีและยุทธวิธีทั้งหมดของเราสำหรับการป้องกันที่ขอบถือว่าดีมาก” เขากล่าว “ความท้าทายบางอย่างของเรา รวมถึงภายใน การตรวจสอบอย่างต่อเนื่องของแพตช์ การปฏิบัติตามข้อกำหนดของ STIG บางอย่างที่มักจะทำให้คุณได้รับ และวิธีที่คุณตั้งค่าการสแกนช่องโหว่ของคุณ และวิธีที่คุณตรวจสอบ มีสองวิธีที่แตกต่างกันในการตรวจสอบ ที่มัน”
อัปเดต RMF สำหรับ DoD
บูคานันกล่าวว่าการตรวจสอบช่วยให้ NGA มองเห็นกระบวนการแพตช์ที่ต่างไปจากเดิมและจุดที่อาจมีช่องโหว่ของเครือข่าย
ความคิดที่ว่าหน่วยงานที่เข้าใจความเสี่ยงนั้นเป็นศูนย์กลางของพวกเขาในขณะที่กระทรวงกลาโหมปรับปรุงสิ่งพิมพ์ 8510 ซึ่งเป็นเวอร์ชันภายในของกรอบการบริหารความเสี่ยง (RMF)
เวอร์ชันล่าสุดออกมาเมื่อกลางเดือนกรกฎาคม โดยสรุปการเปลี่ยนแปลงที่สำคัญ 4 ประการ ได้แก่ การกำหนดนโยบาย มอบหมายความรับผิดชอบ และกำหนดขั้นตอนการดำเนินการและบำรุงรักษา RMF และให้คำแนะนำเกี่ยวกับการแลกเปลี่ยนซึ่งกันและกันของการตัดสินใจอนุญาตระบบสำหรับ DoD โดยประสานงานกับหน่วยงานรัฐบาลกลางอื่นๆ
David McKeown รอง CISO ของกระทรวงกลาโหมกล่าวในเดือนพฤษภาคมก่อนที่เวอร์ชันล่าสุดจะออกมาว่านโยบาย RMF จะเน้นไปที่การบูรณาการที่ดีขึ้นกับปฏิบัติการทางไซเบอร์ก่อนที่บริการจะรับรองหรือรับรองระบบ
credit: pescalluneslanparty.com sfery.org planesyplanetas.com vosoriginesyourroots.com citadelindustry.com tomklaasen.net tglsys.net nezavisniprostor.net greensys2013.org northpto.org
