หากไม่มีอะไรอื่น การโจมตีทางไซเบอร์ที่เพิ่มขึ้นในช่วงสองสามปีที่ผ่านมาได้ผลักดันให้เกิดความสำคัญและคุณค่าของการไม่ไว้วางใจเป็นศูนย์ต่อหน่วยงานของรัฐบาลกลางที่อาจอยู่ในรั้ว แต่มีข้อมูลและเอกสารมากมายที่ต้องทำความเข้าใจและปฏิบัติตาม ตั้งแต่มาตรฐาน 800-207 ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติไปจนถึง Trusted Internet Connection 3.0 ไม่ต้องพูดถึงคำสั่งผู้บริหารและบันทึกช่วยจำล่าสุด การกระทบยอดข้อมูลทั้งหมดอาจเป็นเรื่องยาก
“มีเอกสารมากมายอยู่ที่นั่น และมันยากที่จะเห็นความสัมพันธ์
ระหว่างพวกเขาทั้งหมด แต่พวกเขาทั้งหมดมีความสัมพันธ์กัน” Danny Connelly หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลสำหรับอเมริกาที่ Zscaler กล่าว “หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานและสำนักงานการจัดการและงบประมาณทำงานได้อย่างดีเยี่ยมในการจัดแนวคำสั่งและนโยบาย ซึ่งในความคิดของฉันที่ผ่านมา ทุกอย่างถูกแยกออกจากกัน และหน่วยงานต่าง ๆ ก็เหลือภาระหน้าที่และความคิดริเริ่มต่าง ๆ มากมายและตัวขับเคลื่อนที่พวกเขาพยายามปฏิบัติตาม”
ตัวอย่างเช่น TIC 3.0 ช่วยให้หน่วยงานต่างๆ เลิกใช้แนวทางการรักษาความปลอดภัยที่เน้นเครือข่ายเป็นศูนย์กลางแบบดั้งเดิม เอเจนซีไม่จำเป็นต้องย้ายทราฟฟิกกลับผ่านศูนย์ข้อมูลอีกต่อไป เป็นการคิดล่วงหน้าเพราะก่อนหน้านี้ หน่วยงานต่างๆ พยายามนำการป้องกันแบบเดียวกับที่พวกเขามีในองค์กรมาใช้ในสภาพแวดล้อมระบบคลาวด์ ซึ่งไม่ได้ปรับขนาด ดังนั้นเมื่อ TIC 3.0 ออกมาและทำให้เอเจนซีมีความยืดหยุ่นในการใช้ประโยชน์จากโซลูชันที่ทันสมัย ความสามารถด้านความปลอดภัยนั้นสอดคล้องกับการควบคุมของ NIST
ปัญหาคือ หน่วยงานต่างๆ เข้าใจถึงความสำคัญของการควบคุมและข้อกำหนดที่แตกต่างกันเหล่านี้แยกจากกัน แต่พวกเขาประสบปัญหาในการหาวิธีดำเนินการกับสิ่งเหล่านี้ทั้งหมด
“พวกเขากำลังคิดว่ามีเจ้าหน้าที่ผู้มีอำนาจของ CISA
ที่มีมนต์วิเศษที่บอกว่า ‘คุณปฏิบัติตามข้อกำหนดของ TIC’ ไม่มีตำรวจ EINSTEIN อยู่ที่นั่น” คอนเนลลีกล่าว “มันควรจะเป็นความร่วมมือระหว่างทีมรักษาความปลอดภัยของหน่วยงานและ CISA และจริงๆ แล้ว มันขึ้นอยู่กับการยอมรับความเสี่ยงของหน่วยงาน CIO และ CISO ที่จะกำหนดว่ากรอบงาน TIC 3.0 นั้นมีลักษณะอย่างไรสำหรับหน่วยงานของตน หรือข้อกำหนดเหล่านั้นมีลักษณะอย่างไร”
ฝ่ายบริหารกำลังดิ้นรนเพื่อหาสมดุลที่นี่ Connelly กล่าวระหว่างการกำหนดไว้เพียงพอที่หน่วยงานทั้งหมดอยู่ในหน้าเดียวกันกับการนำไปใช้ แต่ให้ความยืดหยุ่นเพียงพอที่จะอธิบายความแตกต่างในข้อกำหนดและความแตกต่างในภารกิจ นั่นเป็นเหตุผลที่บันทึกความปลอดภัยทางไซเบอร์จากทำเนียบขาวเริ่มเปลี่ยนจุดสนใจจากการปฏิบัติตามไปสู่ความปลอดภัยในการปฏิบัติงาน
สิ่งหนึ่งที่ Connelly กล่าวว่าเขาต้องการดูคำแนะนำเพิ่มเติมเกี่ยวกับการยกเลิกการใช้งาน VPN เป็นสถาปัตยกรรมอายุ 20 ปี และใช้งานได้นาน แต่เอเจนซี่จำนวนมากยอมรับช้าว่ามันล้าสมัย มีพื้นผิวการโจมตีที่สำคัญ และถึงเวลาแล้วที่จะต้องเปลี่ยนรูปแบบไปสู่การเชื่อมต่อผู้ใช้กับแอพ ที่กล่าวว่าคอนเนลลียังกล่าวด้วยว่ามีความเสี่ยงที่จะถูกกำหนดไว้มากเกินไป เป็นดาบสองคมที่สามารถช่วยหน่วยงานบางแห่งได้ แต่ปฏิเสธหน่วยงานอื่น ๆ ถึงความยืดหยุ่นที่พวกเขาต้องการเพื่อให้ทำงานได้ดี
คอนเนลลีกล่าวว่าหน่วยงานต่าง ๆ มีเงินทุนหมุนเวียนและกลไกอื่น ๆ ที่คล้ายคลึงกันเพื่อรับเงินทุนสำหรับความพยายามเหล่านี้ เขากล่าวว่าความท้าทายคือจุดเริ่มต้น โดยพิจารณาจากการควบคุม กรอบการทำงาน และคำแนะนำที่แตกต่างกันทั้งหมดที่ต้องคำนึงถึง
ถึงเวลาแล้วที่จะต้องกลับไปที่เสาหลักห้าประการของ CISA นั่นคือการไม่ไว้วางใจเป็นศูนย์ เขากล่าว และมุ่งเน้นไปที่ความเสี่ยงที่ใหญ่ที่สุดของคุณ ตัวอย่างเช่น หน่วยงานควรตรวจสอบให้แน่ใจว่าตนมีระบบการจัดการการเข้าถึงข้อมูลประจำตัวที่มีประสิทธิภาพ หรือการตรวจจับและตอบสนองที่ปลายทาง และความพยายามเหล่านั้นจำเป็นต้องมีความรับผิดชอบในทุกระดับขององค์กร Connelly กล่าว
credit : เว็บสล็อตแท้
