اونا رو پولاشون به هم نزدیک کرد ما رو باورامون
پنتاگون در فضای سایبری اسیب پذیر است
بازرس کل وزارت دفاع آمریکا اعلام کرد آسیبپذیریهای شناسایی شده در رویدادهای مختلف این وزارت خانه رفع نمیشوند.
بارزس کل پنتاگون به تازگی گزارش داده است، این وزارت خانه از زمان انتشار گزارش سال 2012 تاکنون تلاشی مداوم را برای رفع آسیبپذیریهای شناخته شده انجام نداده است. بر همین اساس گروههای سایبری قرمز نتایج ارزیابیها انجامگرفته را به سازمانها گزارش نداده و به طور مؤثری در برای رفع یا کاهش آسیبپذیریهای شناخته شده تلاش نکردهاند.
در گزارش مذکور آمده است، آسیبپذیریهای شناخته شده در هر دوره از تمرینات نظامی، رزمایشها، ارزیابیهای عملیاتی و سازمانی که توسط گروههای قرمز شناسایی میشوند، در اکثر موارد رفع نمیگردند.
در متن گزارش آمده است:
حصول اطمینان از کاهش آسیبپذیریهای اجزا وزارت دفاع برای دستیابی به نتایج بهتر یک مسئله حیاتی است. به علاوه ما متوجه شدیم که پنتاگون یک رویکرد یکپارچه و مشخص را به منظور پشتیبانی و اولویتبندی اقدامات گروه قرمز سایبری در اختیار ندارد؛ بلکه با رویکردهایی خاص کارمندان را آموزش داده و به توسعه ابزارهای برای این گروه میپردازد.
در سند یاد آمده است دلیل نداشتن رویکردی یکپارچه توسط پنتاگون این است که سازمانی را به انجام هماهنگیها و اولویتبندی فعالیتها گروه قرمز اختصاص نمیدهد. همچنین منابع موردنیاز هر تیم را مورد ارزیابی قرار نداده و نیازهای آموزشی آنها را بر پایه اولویتهای موجود مشخص نمیکند. در واقع به دلیل عدم وجود راهکارهای مؤثر برای آموزش نیروها، توسعه ابزارهای جدید برای گروههای قرمز و اولویتبندیها، اعضای این گروهها توانایی رسیدگی به درخواستهای فعلی را ندارند؛ بنابراین با توجه به تقاضاهای روزافزون، به مسائل آینده نیز رسیدگی نخواهد شد.
بازرس کل وزارت دفاع آمریکا 7 توصیه را برای رفع چالش یاد شده و مسئولیت سازمانی آن مطرح کرده است:
گزارشهای گروه قرمز را در رابطه با آسیبپذیریهای سیستم مورد بررسی و ارزیابی قرار دهید و راهکاری سازمانی، هماهنگ و متناسب را برای رفع آنها به وجود آورید.
از تهیه و پیادهسازی یک فرایند مبتنی بر ریسک به منظور ارزیابی تأثیر آسیبپذیریهای شناسایی شده اطمینان حاصل شود و بودجه اختصاصیافته برای رفع آنها اولویتبندی شود.
از اجرای فرایندها تهیه گزارش بر اساس یافتههای گروه قرمز و ارائه آنها به سازمانهایی که مسئولیتی انجام اقدامات اصلاحی را دارند اطمینان حاصل کنید.
فرایندی را برای نظارت روی فعالیتهای گروه قرمز توسعه بدهید. این فرایندها شامل هماهنگسازی و اولویتبندی مأموریتها، بهمنظور حصول اطمینان از انجام اقدامات بر پایه اولویتها میشود.
به منظور تعیین تعداد گروههای قرمز موردنیاز برای انجام مأموریتها باید روی حداقل سطح کارمندان، ترکیب تواناییهای آنها برای پاسخ به نیازها فعلی و آینده، تحقیق و ارزیابی صورت گیرد.
بر اساس 3 قانون موجود برای گروههای قرمز استانداردهای آموزشی باید شناسایی و ارزیابی شوند.
شناسایی و توسعه ابزارهایی که برای انجام مأموریتها توسط گروههای قرمز موردنیاز هستند.
مطلبی دیگر از این انتشارات
اسرائیل آماده مقابله با حملات سایبری روسیه و چین
مطلبی دیگر از این انتشارات
بدافزار TrickBot
مطلبی دیگر از این انتشارات
شرکت Zerodium در صدد هک کردن سه VPN معروف دنیا