หน่วยงานต่าง ๆ ได้เห็นคำแนะนำและมาตรฐานใหม่ ๆ มากมายที่เผยแพร่ตั้งแต่คำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ในเดือนพฤษภาคมของประธานาธิบดี Joe Biden และเจ้าหน้าที่ไซเบอร์ระดับสูงของทำเนียบขาวกล่าวว่ารัฐบาลกำลังเปลี่ยนเข้าสู่ขั้นตอนการดำเนินการของคำสั่งที่แผ่กิ่งก้านสาขานับตั้งแต่มีคำสั่งออกมาเมื่อ 6 เดือนก่อน สถาบันมาตรฐานและเทคโนโลยีแห่งชาติได้ออกคำนิยามของ “ซอฟต์แวร์ที่สำคัญ” และทำเนียบขาวได้สั่งให้หน่วยงานต่างๆ ระบุซอฟต์แวร์ดังกล่าวทั้งหมดบนเครือข่ายของตน
สำนักงานบริหารและงบประมาณของทำเนียบขาวยังได้ออกร่าง
ยุทธศาสตร์ Zero Trust โดยสรุปสถาปัตยกรรมความปลอดภัยที่สนับสนุนการผลักดันของคำสั่งผู้บริหารเพื่อยกเครื่องแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของรัฐบาลกลาง
แผนการดำเนินการของ Agency Zero Trust มีกำหนดเมื่อต้นเดือนนี้ OMB ยังได้ออกคำสั่งแยกต่างหากเกี่ยวกับข้อกำหนดการตรวจจับปลายทางและการบันทึก ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps
นี่เป็นเพียงส่วนหนึ่งของเอกสารนโยบายที่เผยแพร่ตั้งแต่มีการลงนาม EO Chris DeRusha หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลางที่สำนักงานการจัดการและงบประมาณของทำเนียบขาวกล่าวว่าถึงเวลาที่จะเริ่มดำเนินการตามแผนเหล่านั้น
“เรามีการกำหนดทิศทางนโยบาย แผนการดำเนินการ และตอนนี้เป็นเพียงการดำเนินการเท่านั้น” DeRusha กล่าวระหว่างการประชุมเมื่อวันที่ 18 พฤศจิกายน ซึ่งจัดโดย Palo Alto Networks “และเรากำลังเปลี่ยนเข้าสู่ช่วงนั้น เราจะมั่นใจได้อย่างไรว่าเอเจนซีมีทรัพยากรเพียงพอเพื่อบรรลุเป้าหมายอันทะเยอทะยานเหล่านี้ และเราจะช่วยพวกเขาอย่างไรในระหว่างทาง โดยใช้เครื่องมือทั้งหมดของเราที่นี่ในทำเนียบขาว”
DeRusha กล่าวว่าการระบุสินทรัพย์และการตรวจจับช่องโหว่
เป็นองค์ประกอบสำคัญของกลยุทธ์ Zero Trust ของฝ่ายบริหาร เช่นเดียวกับคำแนะนำของ Federal Information Security Security Modernization Act ในปี 2022
เมื่อต้นเดือนที่ผ่านมา Cybersecurity and Infrastructure Security Agency ได้ออกคำสั่งการปฏิบัติงานที่มีผลผูกพันซึ่งกำหนดให้หน่วยงานต่าง ๆ ต้องแก้ไขชุดช่องโหว่ที่รู้จัก หน่วยงานต่างๆ มีเวลาสองสัปดาห์ในการแก้ไขช่องโหว่ที่ค้นพบในปีนี้ และอีกหกเดือนในการแก้ไขช่องโหว่ที่พบระหว่างปี 2017 ถึง 2020
OMB มุ่งเน้นที่การสร้างความมั่นใจให้หน่วยงานไม่เพียงแค่ตระหนักถึงช่องโหว่ที่อยู่บนเครือข่ายของตนเท่านั้น แต่ยังมีทรัพยากรในการแก้ไขอีกด้วย DeRusha กล่าว
“ฉันไม่คิดว่ามันยุติธรรมที่จะมีแบบจำลองต่อไปโดยที่ทีมรักษาความปลอดภัยค้นพบสิ่งต่าง ๆ ทิ้งมันไว้บนตักแล้วพูดว่า ‘ตอนนี้งานของฉันเสร็จแล้ว ฉันจะติดตามความคืบหน้าของคุณ’” DeRusha กล่าว “เราต้องคิดจริงๆ เกี่ยวกับการสร้างโปรแกรมเหล่านี้โดยรวม และตลอดไปจนถึงวิธีที่เราจะได้รับผลลัพธ์ที่ประสบความสำเร็จ และนั่นหมายถึงบ่อยครั้งที่ต้องทำให้แน่ใจว่ามีแผนอย่างน้อยที่สุดก็ให้ความช่วยเหลือในการแก้ไขระหว่างทาง”
บริการไซเบอร์ของสหรัฐ?
DeRusha ยังกล่าวอีกว่าเขากำลัง “สำรวจอย่างจริงจัง” ว่าจะสร้างบริการความปลอดภัยทางไซเบอร์ที่คล้ายกับ US Digital Service หรือไม่ USDS ก่อตั้งขึ้นในสมัยรัฐบาลโอบามา และนำผู้มีความสามารถด้านเทคโนโลยีจากภาคเอกชนมาเยี่ยมชมการปฏิบัติงานระยะสั้นเกี่ยวกับปัญหาด้านการปรับปรุงเทคโนโลยีให้ทันสมัย
“ฉันไม่คิดว่าจะต้องเหมือนกันทุกประการกับที่เราเห็นในฝั่ง USDS แต่พวกเขาได้เรียนรู้มากมายและพวกเขามีโมเดลที่ดีมากในสถานที่ซึ่งพวกเขาได้รับความสามารถทางเทคนิคที่มีทักษะสูงมากมาย มาปฏิบัติหน้าที่ในบริการของเรา” DeRusha กล่าว “ผมคิดว่านั่นคือสิ่งที่เราต้องการเข้าถึง เราควรสร้างรูปแบบใดในด้านนี้เพื่อให้ได้จิตวิญญาณเดียวกันในการให้บริการ”
Credit : สล็อตเว็บแท้ / 20รับ100 / เว็บสล็อตออนไลน์
