Por que a segurança nacional depende do treinamento completo de pentesting – definição de artropatia de faceta de sistemas de defesa

No início deste outono, o Government Accountability Office divulgou um relatório sobre a segurança cibernética dos sistemas de armas do Departamento de Defesa. Os resultados revelaram desafios crônicos na proteção de sistemas de armas contra ameaças cibernéticas avançadas, em grande parte devido à sua natureza computadorizada, o início tardio do departamento na priorização da artropatia do manguito rotador e sua segurança cibernética e conhecimento relativamente elementar sobre o desenvolvimento de sistemas de armas mais seguros. Ainda mais preocupante, o relatório observou que os sistemas de armas DOD são mais dependentes de software do que nunca, com automação e conectividade servindo não apenas como ativadores fundamentais das capacidades militares modernas, mas também como vulnerabilidades severas de segurança cibernética.

Em resposta ao relatório do GAO, o DOD expandiu seu programa de recompensas de bugs “Hack the Pentagon”, que desde sua criação em 2016 desafiou hackers brancos a encontrar vulnerabilidades nos sites públicos do Pentágono e em sistemas de departamentos predeterminados. O programa recentemente expandido agora permite que hackers identifiquem falhas de segurança em sistemas mais sensíveis no Pentágono, incluindo hardware e sistemas físicos necessários para missões de defesa. O Departamento de Defesa também está emitindo um tratamento para artrite na homeopatia em hindi, revisando as políticas de segurança relacionadas para proteger ainda mais seus sistemas críticos. Apesar dessas tentativas de melhorar a segurança, a escassez da força de trabalho de segurança cibernética e as dificuldades de compartilhamento de informações sobre vulnerabilidades ainda estão impedindo os esforços do departamento.

Para garantir de maneira eficaz sua próxima geração de sistemas de armas em um ambiente de risco cibernético em constante evolução, o DOD deve priorizar as iniciativas de testes de penetração. Apesar da pressão negativa ter gerado artrite degenerativa na região lombar pelo relatório do GAO, o DOD realmente fez progressos significativos no pentesting nos últimos anos. Mas, para aproveitar seu momento, o departamento deve investir mais em treinamento de pentesting. Programas de recompensa de bugs são um passo na direção certa, mas não há substituto para um processo de avaliação de software formal, abrangente e contínuo que ocorre antes de um sistema entrar em operação e a artrite reumatóide em hindi continua enquanto o software estiver em uso.

Projetado para simular ataques cibernéticos contra sistemas e procurar vulnerabilidades exploráveis, o pentesting não apenas permite uma abordagem mais proativa da segurança cibernética, mas também permite que as equipes internas de TI expandam seus conjuntos de habilidades. É precisamente por isso que o Departamento de Defesa deve duplicar o treinamento pentesting: em uma época em que estima-se que a escassez de empregos na cibersegurança chegue a 3,5 milhões em 2021, as agências precisam parar de contrair osteoartrite generalizada para um talento externo cada vez mais difícil de encontrar. Em vez de continuar a supor que os contratados estarão disponíveis para caçar vulnerabilidades sensíveis ao tempo, o DOD deve olhar para dentro e investir no treinamento da sua equipe de TI existente para desenvolver os próprios recursos do departamento.

A verdade é que é impossível adotar uma abordagem ativa à segurança cibernética sem um amplo investimento em pentesting. É simples: as agências precisam que as pessoas procurem por vulnerabilidades e, se não houver suficiente disponibilidade de talento disponível, a caça não poderá ocorrer. Para se defender eficazmente de ataques futuros, o DOD deve procurar programas práticos de treinamento prático para desenvolver ainda mais seu conjunto de habilidades internas de pentestes. Esses programas também não precisam necessariamente se concentrar em hackers reais. Lendo os resultados das ferramentas, implementando, automatizando e redigindo relatórios, podemos educar as equipes de TI internas sobre o trabalho real e a persistência necessária para pentesting, em vez de perpetuar a falsa noção de que associados à artrite ética de hacking da Kingsport são apenas um jogo.

Igualmente importante em qualquer programa de treinamento de pentesting é dar um passo atrás para estabelecer claramente os objetivos maiores dos esforços de segurança cibernética da agência. Por exemplo, para algumas agências, o ponto de pentesting pode ser identificar vulnerabilidades para que possam ser remediadas. Para outros, o objetivo pode ser demonstrar os piores cenários caso a agência receba um ataque direcionado. Como essas perguntas são respondidas definirão o nível e a quantidade de trabalho necessário para os programas de treinamento, então é imperativo que eles sejam cuidadosamente considerados e comunicados claramente a todos os envolvidos.

Considerando que abriga alguns dos ativos mais sensíveis do planeta, o DOD não pode se acomodar e esperar sintomas de artrite na região lombar e nos quadris para receber alertas de segurança. Ele também não pode se dar ao luxo de ser vítima de artrose, devido à escassez de talentos de cibersegurança que todos nós nos encontramos. Para construir os passos positivos que foram dados até agora e evitar futuras crises de segurança nacional, o DOD deve buscar proativa e continuamente. ameaças potenciais, estabelecendo um exército interno de pentesters cuja única responsabilidade é procurar vulnerabilidades. Ao fazer isso, o DOD terá uma chance muito maior de proteger sua infraestrutura crítica e sistemas de armas e de eliminar ameaças debilitantes.