นี่คือเหตุผลที่ OMB ดูเหมือนจะเดินขบวนไปสู่คำสั่งหรืออย่างน้อยก็สรุปเฉพาะเจาะจงว่า “กลยุทธ์เชิงลึกในการป้องกัน” จะมีลักษณะอย่างไรสำหรับรัฐบาลซึ่งอาจรวมถึงการประเมินซ้ำว่าหน่วยงานสามารถติดตั้งการยืนยันตัวตนแบบสองปัจจัยบนแอปพลิเคชันหรือระบบได้เร็วเพียงใด ในตอนแรก OMB บอกให้เอเจนซี่บรรลุเป้าหมาย 75 เปอร์เซ็นต์ในระหว่างการวิ่ง แต่แหล่งข่าวกล่าวว่าพวกเขาถอยห่างและกำหนดให้พนักงานใช้สองปัจจัยในการตรวจสอบความถูกต้องกับเดสก์ท็อปเท่านั้น
ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่า แม้ว่าการทำงานแบบ 2 ปัจจัย
บนเดสก์ท็อปจะช่วยได้ แต่ก็ไม่ได้ปิดช่องว่างขนาดใหญ่ที่แฮ็กเกอร์มักใช้ประโยชน์“ในสภาพแวดล้อมปัจจุบัน เทคนิคที่เราเห็นบ่อยที่สุดคือการสเปียร์ฟิช และถ้าแฮ็กเกอร์ทำ 100 ครั้งและปล่อยเขา 10 ครั้ง ก็แสดงว่าสองปัจจัยบนเดสก์ท็อปเป็นเรื่องตลก” ผู้เชี่ยวชาญด้านความปลอดภัยกล่าว “แฮ็กเกอร์เพียงแค่ต้องรอให้คนที่ใช่ยอมให้เขาเข้ามา จากนั้นค่อยย้ายเข้าไปข้างในเพราะไม่มีแพตช์สำหรับระบบที่หันเข้าหากันภายใน การย้ายไปสู่แนวคิดเชิงลึกในการป้องกันหมายความว่าหากคุณมีรอยร้าวในชั้นหนึ่ง คุณก็สามารถอยู่รอดได้เพราะคุณมีการป้องกันในชั้นอื่นๆ แต่ถ้าคุณมีรอยร้าวในหลายระดับ แสดงว่าคุณมีปัญหา”
เจ้าหน้าที่รัฐคนแรกตระหนักว่ายังมีงานอีกมากที่ต้องทำ“การรักษาความปลอดภัยทางไซเบอร์ของรัฐบาลไม่ใช่สิ่งที่เราต้องการให้เป็น แต่การวิ่งก็บรรลุผลตามที่ควรและทำให้เราก้าวไปข้างหน้าอย่างรวดเร็ว” เจ้าหน้าที่กล่าว “ขณะนี้มีผู้ใช้ที่ได้รับสิทธิ์น้อยกว่ามากที่สามารถเข้าสู่ระบบด้วยรหัสผ่านเท่านั้น และนั่นคือความสำเร็จที่สำคัญ ตอนนี้เราต้องเปลี่ยนการวิ่งเป็นการวิ่งมาราธอน เราได้ทำกิจกรรมต่างๆ มากมายและนั่นเป็นสิ่งที่มีค่า และตอนนี้เราต้องรักษาจังหวะของเราไว้”กล่าวว่าสำนักงานของ CIO จัดงานแสดงสินค้าไอทีทุกปีและเปิดให้พนักงาน NASA ทุกคน
นอกเหนือจากนวัตกรรมแล้ว Rinaldi ยังให้ความสำคัญ
กับการจัดหาโครงสร้างพื้นฐานและบริการด้านไอทีให้กับ JPL ภายใต้งบประมาณ 28 ล้านดอลลาร์
Rinaldi กล่าวว่าจุดสนใจที่สำคัญในช่วงไม่กี่ปี ที่ผ่านมาคือกลยุทธ์ด้านข้อมูลและดิจิทัลคำของบประมาณเริ่มต้นของ Wagner ที่สำนักงานของเขากำลังรวบรวมสำหรับปี 2560 คือ 7 ล้านดอลลาร์มากกว่าที่ OPM กล่าวว่าเขาสามารถมีได้สำหรับความปลอดภัยด้านไอที
“เช่นเดียวกับใครก็ตามที่ฉันตั้งงบประมาณไว้ ฉันมีเงินมากกว่า 7 ล้านเหรียญเพราะฉันมีความปรารถนามากกว่านั้น และบางคนก็ชอบ ‘ใช่ ไม่ จะไม่เกิดขึ้น’” เขากล่าว
หนึ่งในข้อร้องเรียนที่มีมาอย่างยาวนานเกี่ยวกับ CDM คือขนาดของโปรแกรมและระยะเวลาที่ใช้ในการดำเนินการตั้งแต่สัญญาจ้างจนถึงการดำเนินการเต็มรูปแบบ
และหาก OPM ที่มีงบประมาณทางไซเบอร์ค่อนข้างน้อยและเครือข่ายที่พอประมาณกำลังประสบปัญหากับการตัดสินใจซื้อหรือรอ ลองนึกดูว่าแผนกต่างๆ ของ Veterans Affairs, Transportation and Energy ซึ่งทั้งหมดอยู่ในกลุ่ม B ร่วมกับ OPM จะต้องผ่านอะไรมาบ้างและทำอย่างไร พวกเขาใช้เงินจำนวนมากในขณะที่รอ DHS และผู้รับเหมาเพื่อดำเนินการย้าย
อาจไม่มีคำตอบสำหรับปัญหานี้เช่นกัน ในกรณีนี้ DHS และ Booz Allen ไม่สามารถโยนคนหรือเงินไปที่ปัญหาได้ การกำหนดค่าเครื่องมือบนเครือข่ายต้องใช้เวลาเพื่อทำให้ถูกต้อง และยิ่งหน่วยงานมีขนาดใหญ่และเครือข่ายที่ซับซ้อนมากเท่าใด ก็จะยิ่งใช้เวลานานขึ้นเท่านั้น
นั่นอาจเป็นข้อบกพร่องอย่างหนึ่งของโปรแกรมอย่าง CDM ที่ไม่สามารถหลีกเลี่ยงได้ ดังที่ Wagner กล่าว เขาเป็นผู้สนับสนุนรายใหญ่ของ DHS และ GSA ในฐานะทั้งหุ้นส่วนและแนวคิดที่อยู่เบื้องหลัง CDM แต่เขารู้โดยตรงว่าความเสี่ยงนั้นสูงเกินกว่าจะรอเครื่องมือใหม่ ทำให้เขาเหมือนกับคนอื่นๆ ที่ต้องใช้จ่ายเงินที่พวกเขาหวังว่าจะทำได้ ไม่จำเป็นต้องมีในปี 2559 และต่อๆ ไป
“CISA แนะนำให้กำหนดค่าการจัดการแพตช์และโปรแกรมการจัดการช่องโหว่ให้เกินข้อกำหนด BOD 19-02 และจัดลำดับความสำคัญของช่องโหว่และอุปกรณ์บางอย่างเหนือรายการอื่น ๆ ซึ่งเป็นส่วนหนึ่งของการดำเนินการด้านความปลอดภัยตามปกติ” DHS กล่าว “CISA คาดหวังให้หน่วยงานต่างๆ เริ่มกำหนดกลยุทธ์การแก้ไขล่วงหน้าก่อนกำหนดเส้นตาย 15 และ 30 วัน เพื่อเร่งการแก้ไขช่องโหว่และช่วยให้รวมข้อมูลการแก้ไขเข้ากับแผนการส่งไปยัง CISA ได้อย่างง่ายดายเมื่อผ่านเกณฑ์พื้นฐาน CISA กำลังชดเชยเวลาดำเนินการสั้น ๆ โดยจัดทำแผนการแก้ไขที่มีประชากรส่วนใหญ่เตรียมไว้ล่วงหน้าเพื่อให้บุคลากรของหน่วยงานดำเนินการให้เสร็จสิ้น หน่วยงานจำเป็นต้องกรอกฟิลด์ข้อมูลสำหรับขั้นตอนการบรรเทา ข้อจำกัด และวันที่เสร็จสมบูรณ์โดยประมาณเท่านั้น การดำเนินการนี้จะทำให้หน่วยงานต่างๆ รายงานช่องโหว่ที่ถูกต้องภายในแผนการแก้ไข
Credit : สล็อตออนไลน์ / สล็อตยูฟ่าเว็บตรง
