ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงหน่วยงานระบบสารสนเทศกลาโหมเป็นหน่วยงานล่าสุดที่เปลี่ยนไปใช้ระบบให้คะแนนตามความเสี่ยงเพื่อติดตามอย่างต่อเนื่อง เพื่อทำความเข้าใจสถานะของเครือข่ายคอมพิวเตอร์ให้ดียิ่งขึ้นDISA อยู่ในขั้นเริ่มต้นของการนำระเบียบวิธีความปลอดภัยทางไซเบอร์ที่กำลังขยายตัวนี้มาใช้ เพื่อวัดความเสี่ยงทางไซเบอร์กับภารกิจที่จำเป็น Dave Bennett หัวหน้าเจ้าหน้าที่สารสนเทศของ DISA กล่าวว่า
ระบบการให้คะแนนความเสี่ยงที่ติดตามอย่างต่อเนื่อง (CMRS)
พิจารณาปัจจัยต่างๆ เพื่อให้หน่วยงานให้คะแนนตามชุดของการวิเคราะห์ที่กำหนดไว้ล่วงหน้า
“หนึ่งในปัจจัยเหล่านั้นคือการสแกนสภาพแวดล้อมของคุณอย่างต่อเนื่องเพื่อบอกว่าแอปพลิเคชันของคุณมีลักษณะอย่างไรเมื่อเทียบกับการค้นพบ Security Technical Implementation Guide (STIG) หรือกับการใช้งาน Information Assurance Vulnerability Management (IAVM) และสิ่งอื่นๆ เช่นนี้” Bennett กล่าวเมื่อวันพุธหลังจาก สุนทรพจน์ของเขาที่ AFCEA Bethesda Cybersecurity Technology Symposium ในวอชิงตัน “สิ่งที่ CMRS ผลักดันคุณจริงๆ คือการตระหนักรู้อย่างต่อเนื่อง ซึ่งคุณมองและประเมินอย่างต่อเนื่อง และมองสิ่งต่าง ๆ จากมุมมองที่แตกต่างกันเล็กน้อย”
Bennett กล่าวว่า DISA จะสามารถระบุภัยคุกคามต่อเครือข่ายของตนเป็นรายบุคคลและโดยรวม เพื่อกำหนดวิธีการบรรเทาหรือแก้ไขปัญหาได้ดียิ่งขึ้น
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
“สิ่งเหล่านี้กลายเป็นข้อเสียเปรียบที่ CMRS และเครื่องมือบาง
อย่างเช่น AKASS เริ่มให้ความสามารถแก่เราในการดูว่าสิ่งเหล่านั้นมารวมกันและมองมันแตกต่างกันอย่างไร” เขากล่าว DISA เช่นเดียวกับหลายๆ ส่วนของกระทรวงกลาโหม เพิ่งเริ่มต้นใช้งาน CMRS หน้าเว็บ ของ DISA สำหรับ CMRSกล่าวว่าระบบออนไลน์แสดงแดชบอร์ดความเสี่ยงตามระบบรักษาความปลอดภัยตามโฮสต์ที่เผยแพร่ (HBSS) และข้อมูลโซลูชันการประเมินการปฏิบัติตามข้อกำหนด (ACAS) เพื่อให้ผู้ใช้สามารถระบุความเสี่ยงด้านความปลอดภัยทางไซเบอร์ได้
ข้อมูลที่ใช้งานได้ เข้าใจได้ และสอดคล้องกัน
เบ็นเน็ตต์กล่าวในขณะเดียวกัน DISA กำลังใช้งาน ACAS ซึ่งเป็นเครื่องมือที่ระบุช่องโหว่ของการกำหนดค่าโดยอัตโนมัติ และรวมถึงอุปกรณ์สแกน ตัวสร้างรายงาน และความสามารถในการรายงานตามลำดับชั้นไปยังระบบจัดการช่องโหว่ (VMS) เครื่องมือ ACAS เป็นความสามารถที่ตามมาของเครื่องมือริเริ่มการตรวจสอบความถูกต้องของการกำหนดค่าความปลอดภัย (SCCVI)
“เรากำลังหาวิธีที่ดีที่สุดในการนำไปใช้งาน และวิธีสร้างรายงานอย่างมีประสิทธิภาพสูงสุด เพื่อให้ผู้คนสามารถเข้าถึงรายงานได้อย่างรวดเร็วและเข้าใจความหมาย จากนั้นจึงดำเนินการกับสิ่งนั้น CMRS” เขากล่าว “เรากำลังทำงานผ่านพลวัตเหล่านี้จริงๆ เพื่อหาวิธีการใช้สิ่งต่างๆ อย่างเหมาะสมที่สุด และสร้างแนวคิดการดำเนินงานและกลยุทธ์ เทคนิค และขั้นตอนเกี่ยวกับเครื่องมือ เพื่อให้เรารู้ว่าข้อมูลประเภทใดที่เราสามารถนำออกมาจากมันได้ และอะไรคือ มูลค่าของมัน จากนั้นนำสิ่งนั้นเข้าสู่ CMRS และเราสามารถเริ่มเข้าใจบริบทของสิ่งที่บอกว่าความสามารถของฉันปลอดภัยมากขึ้นหรือปลอดภัยน้อยลงในช่วงเวลาหนึ่งด้วยบริบทที่เกี่ยวข้องได้อย่างไร”
Bennett กล่าวว่าเป้าหมายคือการให้ข้อมูลความเสี่ยงทางไซเบอร์แก่ทุกส่วนของ DISA ในลักษณะที่ใช้งานได้ เข้าใจได้ และสอดคล้องกัน
การย้ายหน่วยงานไปสู่การติดตามอย่างต่อเนื่อง ระบบการให้คะแนนตามความเสี่ยงได้เติบโตอย่างช้าๆ ในช่วงห้าปีที่ผ่านมา
กระทรวงการต่างประเทศเป็นหน่วยงานแรกที่ใช้แนวทางนี้ สภาผู้ตรวจราชการทั่วไปก็กำลังพิจารณาแนวทางที่คล้ายกันโดยใช้วิธีการแบบจำลองวุฒิภาวะ
และแน่นอน โครงการบรรเทาผลกระทบและการวินิจฉัยอย่างต่อเนื่อง (CDM) ของแผนกความมั่นคงแห่งมาตุภูมิ ซึ่งนำโดยอดีตหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐ John Streufert ได้รวมแนวทางระบบการให้คะแนนตามความเสี่ยงนี้ไว้ด้วย แต่สำหรับ DISA และความพยายาม CRMS ของ DoD ในวงกว้างกว่านั้น มันเกี่ยวกับ มากกว่าแค่เข้าใจสุขภาพของเครือข่าย เบ็นเน็ตต์กล่าวว่า DISA
