Les tests de cybersécurité du Pentagone ne sont ni réalistes ni assez rigoureux : Rapport – Breaking Defense

Le capitaine Sarah Miller et Tech. sergent. Carrol Brewster, 834e Escadron d’opérations cybernétiques, discuter des options en réponse à une cyberattaque mise en scène lors du tournage d’une scène pour une vidéo de mission de l’Air Force Reserve Command à Joint Base San Antonio-Lackland, Texas, le 1er juin 2019. (US Air Force Photo prise par le Major Christopher Vasquez)

WASHINGTON: Un manque de tests de menaces réalistes sur le plan opérationnel et des bureaux de programme insuffisamment dotés en ressources sont les causes profondes de nombreux problèmes de cybersécurité qui mettent en danger les missions critiques du ministère de la Défense, selon le dernier rapport de l’organisme de test et d’évaluation du Pentagone.

Dans le nouveau rapport, publié jeudi, le directeur des tests opérationnels et de l’évaluation des Pentagones (DOT&E) déclare que le DoD devrait recentrer ses efforts de cybersécurité sur son personnel de cyberdéfenseurs au lieu de se concentrer principalement sur la technologie associée aux cyber-outils, réseaux et systèmes, et les former à affronter des menaces plus réelles plus tôt dans le processus.

Pour l’instant, les « équipes rouges » de cybersécurité sont trop sollicitées et celles qui testent les systèmes militaires le font avec une main liée dans le dos par rapport à ce que feraient de véritables adversaires, selon le rapport.

« Les lacunes les plus fréquentes comprenaient le temps insuffisant sur le réseau pour les cyber-agresseurs, les outils limités, les lacunes dans [tactics, techniques and procedures]des règles d’engagement irréalistes et un manque de planification de bout en bout pour une campagne cohérente de cybermenaces », a déclaré le rapport DOT&E à propos de la capacité du Pentagone à « imiter » les attaques de menaces avancées.

CONNEXES: Les problèmes de la marine avec Zumwalt pourraient nuire aux efforts d’armes hypersoniques

Le rapport a noté que les problèmes de cybersécurité étaient le problème le plus courant avec la « survivabilité » de tous les programmes évalués par le DOT&E. Les problèmes comprenaient des défis liés à l’exploitation dans un environnement de guerre électronique contesté et des menaces propres aux conceptions de systèmes, entre autres préoccupations.

La cybersécurité doit être intégrée à la conception du système, et le défenseur humain doit être inclus dès le début dans l’ingénierie de la cyberdéfense et les priorités programmatiques pour l’utilisabilité du système et la formation, selon le rapport. Les cyber-défenseurs peuvent et doivent inclure des équipes de défense de mission, des utilisateurs du système, des équipes d’intervention, des commandants et des opérateurs de réseau, qui doivent tous être formés et équipés pour lutter contre les cyberattaques afin d’accomplir des missions critiques.

Les pratiques d’acquisition actuelles rendent impossible le financement de bureaux de programme dédiés qui pourraient aider à garantir l’efficacité des cybertechnologies et à garantir que les cyber-opérateurs sont préparés avec une formation à la mesure des opérateurs de guerre cinétique, selon le rapport.

Afin d’améliorer sa position en matière de cybersécurité et d’éviter les défaillances coûteuses des technologies de cybersécurité, que le DOT&E rencontre trop souvent lors de nos cyberévaluations, le DOD doit s’assurer que le développement des technologies de cybersécurité est toujours mené par des bureaux de programme dotés de ressources suffisantes ; cela devrait inclure une expertise en cyber-ingénierie et une expertise en cyberdéfense du plus haut calibre », selon le rapport.

EN RELATION: Les hacks ont soulevé des questions sur le rôle des Pentagones dans la sécurisation du cyber et des réseaux : 2021 en revue

Au cours de l’exercice 21, le DOT&E a doté ses propres cyber-équipes rouges pour effectuer 45 évaluations de réseaux opérationnels et de missions et a constaté une formation inadéquate du cyber-personnel et une planification de test insuffisante.

Les missions du DoD étant menacées, le rapport indique que les exercices des combattants devraient mettre davantage l’accent sur la formation dans des environnements cyber contestés. Le DOT&E collabore avec l’état-major interarmées pour inclure des cyber-stress réalistes dans les principaux exercices d’entraînement.

Les équipes rouges du DOD, cependant, sont étirées par une forte demande et ne disposent pas des ressources ou du personnel nécessaires pour émuler régulièrement des attaques sophistiquées de proximité, selon le rapport. Les équipes cyber-rouges ont besoin de ressources supplémentaires, ainsi que de capacités d’automatisation, pour alléger leur charge de travail. Le DOT&E continuera d’exhorter le DOD à combler les lacunes critiques des capacités de l’équipe rouge pour améliorer [combatant command] évaluations et tests cyber-opérationnels.

CONNEXES: Se perdre: encore plus de retards dans le programme GPS protégé par Space Force

L’évaluation a également révélé que les cyber-inquiétudes du DoD reflètent de plus en plus celles du secteur commercial en raison de la dépendance croissante à l’égard des produits et de l’infrastructure commerciaux, en particulier avec les services cloud. Le rapport recommande au Pentagone de renégocier les contrats avec les fournisseurs commerciaux de cloud et d’établir des exigences pour les futurs contrats.

Le DOD utilise de plus en plus des services cloud commerciaux pour stocker des données hautement sensibles et classifiées, mais les contrats actuels avec les fournisseurs de cloud ne permettent pas au DOD d’évaluer de manière indépendante la sécurité de l’infrastructure cloud détenue par le fournisseur commercial, ce qui empêche le DOD d’évaluer pleinement la sécurité des données commerciales. des nuages. Les contrats actuels et futurs doivent prévoir des évaluations de sécurité indépendantes et réalistes des menaces par le DOD des clouds commerciaux, afin de garantir la protection des données critiques.

L’unité d’innovation de la défense des Pentagons a récemment annoncé plusieurs récompenses accordées au cours de l’exercice 21 au secteur commercial pour des projets axés sur la cybersécurité, notamment un prototype de cyber-tromperie qui met en garde contre les activités adverses, un système d’inventaire des cyber-actifs et un prototype de données sur les menaces commerciales pour le US Cyber ​​Command.

EN RELATION: Les détails de DIA poussent à moderniser le réseau top secret malgré une augmentation de 150 % des cybermenaces

L’IA/ML complique les choses

Les progrès de l’intelligence artificielle et de l’apprentissage automatique ajouteront probablement aux défis de la cybersécurité à l’avenir.

Le DOT&E a dirigé une équipe de cyber-analystes à la demande du directeur de l’information du DoD pour développer des outils d’apprentissage automatique et des tactiques, techniques et procédures pour une analyse des données de trafic réseau du DoD. Les résultats ont été communiqués au DoD CIO, au bureau du secrétaire à la Défense et aux partenaires de la mission, indique le rapport.

Au cours de l’exercice 22, le Pentagone déploie des équipes d’experts en IA et en données dans les 11 commandements de combat dans le cadre de son initiative d’accélération de l’IA et des données. Le DOT&E a déclaré dans son rapport qu’il travaillerait avec ces équipes pour identifier les opportunités d’évaluer la cybersécurité des technologies en plus des évaluations qu’il effectue déjà avec les commandements combattants.

Dans le cadre des efforts plus larges du DoD axés sur la manière dont le département gère et sécurise ses données lors du développement d’algorithmes d’IA, le Pentagone a annoncé en décembre la création d’un nouveau directeur du numérique et de l’IA. Cette décision a été signalée pour la première fois par Breaking Defense fin novembre.

Dans le cadre de la réorganisation, le service numérique de la défense, le centre conjoint d’intelligence artificielle et le directeur des données relèveront tous du CDAO, qui relèvera de la sous-secrétaire à la Défense Kathleen Hicks.

Le bureau devrait être mis en place le 1er février avec une pleine capacité opérationnelle d’ici le 1er juin.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite