مطالب پربازدید

1403/09/24 - 08:40- آسیا

ساخت پیچیده‌ترین سلاح سایبری زیرساختی جهان توسط ایران

کارشناسان ادعا کردند که بدافزار مرتبط با ایران زیرساخت‌های حیاتی ایالات متحده و رژیم صهیونیستی را هدف قرار داده است.

1403/09/28 - 07:37- آسیا

راه‌اندازی اولین کامپیوتر کوانتومی ساخت رژیم صهیونیستی

رژیم صهیونیستی از راه‌اندازی اولین کامپیوتر کوانتومی ساخت خود با استفاده از فناوری پیشرفته ابررسانا خبر داد.

1403/09/25 - 16:55- حملات سايبری

آغاز پخش فصل سوم سریال تهران(Tehran)

جواد محمدی

انتشار شده در تاریخ 1401/05/24 - 10:17

دفتر پاسخگویی دولت آمریکا به گارد ساحلی درباره آسیب‌پذیری‌های امنیت سایبری سیستم‌هایش هشدار داد.

دفتر پاسخگویی دولت آمریکا معتقد است گارد ساحلی این کشور بدون اعمال مداوم فرآیند مدیریت ریسک امنیت سایبری در پلتفرم IT خود، سیستم‌ها و داده‌ها را به خطر می‌اندازد.

به گزارش کارگروه امنیت سایبربان؛ برای رسیدگی به مسائل دیرینه، گارد ساحلی ایالات‌متحده قصد دارد در سال 2022، بالغ‌بر 93 میلیون دلار برای بهبود سیستم‌ها و زیرساخت‌های فناوری اطلاعات(IT) خود هزینه کند؛ اما یک گزارش جدید از دفتر پاسخگویی دولت (GAO) می‌گوید که گارد ساحلی هنوز به‌طور کامل نیازهای ظرفیت شبکه فناوری اطلاعات خود را ارزیابی نکرده و همچنین تمام فناوری‌های عملیاتی خود را در تلاش‌های امنیت سایبری خود لحاظ نکرده است.

سیستم‌های فناوری اطلاعات و فناوری عملیات(OT)، در عملیات‌های گارد ساحلی آمریکا حیاتی هستند. زیرمجموعه‌های وزارت امنیت داخلی آمریکا برای انجام 11 مأموریت قانونی خود به‌طور گسترده به سیستم‌ها و خدمات فناوری اطلاعات متکی است. این وزارتخانه همچنین بر فناوری عملیاتی که طیف وسیعی از سیستم‌ها یا دستگاه‌های قابل‌برنامه‌ریزی که مانند حسگرها و رادار با محیط فیزیکی تعامل دارند را در بر می‌گیرند، متکی است. دفتر پاسخگویی دولت نگران است که گارد ساحلی سابقه مشکلاتی در مدیریت این منابع داشته باشد و فاقد فرآیند برنامه‌ریزی ظرفیت شبکه به‌صورت مستندسازی شده باشد.

برنامه‌ریزی ظرفیت شبکه یک جنبه مهم از برنامه‌ریزی زیرساخت فناوری اطلاعات است که شامل تعیین منابع شبکه موردنیاز برای پشتیبانی از مأموریت یک نهاد است. بااین‌حال، دفتر پاسخگویی دولت دریافت که گارد ساحلی از یک فرآیند موقت استفاده می‌کند که به‌طور کامل با پنج روش رایج شناسایی‌شده توسط دفتر پاسخگویی دولت برای ظرفیت شبکه؛ مانند اجرای شبیه‌سازی و انجام تجزیه‌وتحلیل استفاده از شبکه، مطابقت ندارد.

گارد ساحلی ملزم به پیروی از چارچوب مدیریت ریسک وزارت دفاع است که دو فرآیند مدیریت ریسک امنیت سایبری متفاوت را برای شناسایی و اعمال کنترل‌های امنیت سایبری برای فناوری اطلاعات و منابع فناوری عملیاتی ایجاد می‌کند. دفتر پاسخگویی دولت دریافت که گارد ساحلی به‌طور مداوم چارچوبی را برای فناوری عملیاتی خود اعمال نمی‌کرده است؛ قصوری که این نهاد ناظر آن را تا حدی به فقدان لیست موجودی کامل و دقیق نسبت می‌دهد. به‌عنوان‌مثال، برای یک سیستم متعلق به گارد ساحلی که توسط نیروی دریایی ایالات‌متحده اداره می‌شود، این سرویس نمی‌تواند نشان دهد که بسته مجوز امنیتی کاملی را همان‌طور که در فرآیند مدیریت ریسک امنیت سایبری گارد ساحلی لازم است، از نیروی دریایی دریافت کرده و مورد تأیید واقع شده است. علاوه بر این، دفتر پاسخگویی دولت تشخیص داد که گارد ساحلی فاقد فرآیند مدیریت ریسک امنیت سایبری برای دو نوع فناوری عملیاتی - سیستم‌های کنترل صنعتی و سیستم‌های کنترل نظارتی و جمع‌آوری داده‌ها است.

دفتر پاسخگویی دولت هشدار داد که بدون لیست موجودی کامل و جامع از همه سیستم‌ها، ازجمله تمام فناوری‌های عملیاتی، گارد ساحلی نمی‌تواند اطمینان حاصل کند که اقدامات امنیت سایبری کافی را برای همه سیستم‌ها و دستگاه‌های موجود در شبکه خود اعمال می‌کند. علاوه بر این، بدون اعمال مداوم فرآیند مدیریت ریسک امنیت سایبری در پلتفرم IT، گارد ساحلی دسترسی غیرمجاز به آن دسته از سیستم‌ها یا دستگاه‌هایی که به‌طور بالقوه منجر به اختلال در سیستم و از دست دادن داده‌ها می‌شود را در معرض خطر قرار می‌دهد.

در مارس 2021، گارد ساحلی یک راهبرد ابری منتشر کرد که اهداف راهبردی خود را برای رایانش ابری در پنج سال آینده مشخص می‌کند. این راهبرد ابری و اسناد مربوطه، اکثر الزامات و راهنمایی‌های فدرال در مورد فضای ابری را شامل می‌شود. بااین‌حال، بررسی دفتر پاسخگویی دولت نشان داد که گارد ساحلی اقدامات کلیدی مربوط به امنیت و نیروی کار آن را موردتوجه قرار نداده است. در آوریل 2022، یکی از مقامات رسمی گارد ساحلی در دفتر نیروهای فضای سایبری اظهار داشت که این سرویس بودجه‌ای برای انجام تجزیه‌وتحلیل نیروی کار در فرماندهی سایبری گارد ساحلی در طول سال 2022 دریافت کرده است و این تلاش‌ها همچنان در حال انجام است. به گفته مقامات رسمی بخش منابع و برنامه‌ریزی همان دفتر، این تحلیل قرار است در ماه می 2022 آغاز و تا می 2023 تکمیل شود.

دفتر پاسخگویی دولت آمریکا هشت توصیه به گارد ساحلی این کشور برای کمک به بهبود پیاده‌سازی و امنیت فناوری اطلاعات ارائه کرده است:

توسعه سیاست‌ها و دستورالعمل‌های برنامه‌ریزی ظرفیت شبکه که توسط دفتر پاسخگویی دولت به شیوه‌های پیشرو شناسایی‌شده، ازجمله (1) جمع‌آوری فهرست کامل و دقیق سخت‌افزار، نرم‌افزار و پیکربندی‌ها (2) شناسایی پیش‌بینی‌های رشد ترافیک (3) اولویت‌بندی ترافیک شبکه (4) انجام شبیه‌سازی‌ها و تحلیل‌ها و (5) نظارت مستمر بر سلامت زیرساخت‌ها برای اطمینان از برآورده شدن تقاضا و نیازهای مأموریتی
اجرای شیوه‌های پیشرو برای برنامه‌ریزی ظرفیت شبکه.
ایجاد یک فهرست جامع و دقیق از تمام فناوری‌های عملیاتی.
توسعه یک برنامه یا راهبرد برای همسویی تمام فناوری‌های عملیاتی با چارچوب مدیریت ریسک وزارت دفاع، ازجمله چارچوب‌های زمانی برای تکمیل هم ترازی.
اطمینان از اجرای مؤثر این طرح یا راهبرد.
به‌روزرسانی خط‌مشی‌ها و رویه‌های موجود برای توصیف صریح فرآیند مدیریت ریسک امنیت سایبری برای سیستم‌های ICS و SCADA.
ارسال فهرستی از سرویس‌های ابری که الزامات FedRAMP را برآورده نمی‌کنند، به رئیس آژانس مربوطه برای ارائه به CIO فدرال.
به‌روزرسانی راهبرد ابری سرویس‌ها و سایر اسناد مربوطه به‌منظور در برگیری مهارت‌های جدید و قدیمی و دسته‌بندی‌های شغلی و هدایت و انجام تجزیه‌وتحلیل شکاف بین مهارت‌ها.

وزارت امنیت داخلی آمریکا با هر هشت توصیه موافقت کرد و گفت که اهمیت داشتن مدیریت فناوری اطلاعات بهبود یافته و فرآیندهای فناوری عملیاتی و مدیریت خطر برای همه سیستم‌ها را تشخیص داده است.

این اولین بار نیست که مدیریت فناوری اطلاعات گارد ساحلی موردتوجه دفتر پاسخگویی دولت قرار می‌گیرد. اخیراً، در ماه می، این سازمان دیده بان دولتی گزارش داد که گارد ساحلی باید نظارت بر برنامه‌های فرعی اکتساب فناوری اطلاعات خود را بهبود بخشد؛ آن هم پس از بررسی‌ای که نشان داد زیرمجموعه‌های وزارت امنیت داخلی، سطوح خطر را برای برنامه‌های فناوری اطلاعات تعریف نکرده است. به‌عنوان‌مثال، این سازمان ناظر دریافت که نظارت گارد ساحلی بر برنامه‌های فرعی اکتساب IT آن، مورد ممانعت واقع شده است، زیرا برنامه‌ها به‌طور متناقضی در حال ایجاد، بازنگری و ارزش‌گذاری ارتباطی و اهداف از پیش تعیین شده هستند.