แนวทางของเอเจนซี่ในการรักษาความปลอดภัย IoT เน้นความแตกต่างในแนวทางการรักษาความปลอดภัยทางไซเบอร์

แนวทางของเอเจนซี่ในการรักษาความปลอดภัย IoT เน้นความแตกต่างในแนวทางการรักษาความปลอดภัยทางไซเบอร์

แม้จะมีความพยายามล่าสุดของทำเนียบขาวในการนำมาตรฐานบางอย่างมาสู่ความปลอดภัยทางไซเบอร์ของรัฐบาลกลาง แต่หน่วยงานต่าง ๆ ก็ยังคงใช้เส้นทางที่แตกต่างกันในการรักษาความปลอดภัยระบบและข้อมูลของตนSean Kelley หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของหน่วยงานคุ้มครองสิ่งแวดล้อมกล่าวในการประชุม AFCEA Energy and Earth Science IT ในกรุงวอชิงตัน ดี.ซี. เมื่อวันที่ 18 กรกฎาคม ว่าเมื่อพูดถึงแนวทางของหน่วยงานของเขาใน

การรักษาความปลอดภัยระบบสำหรับ Internet of Things นั้น

 ทั้งหมดเกี่ยวกับการปฏิบัติตามและ “ยิงหมาป่าใกล้ระเบียง”“Internet of Things เป็นหนึ่งในสิ่งที่อยู่ในใจของฉันและกังวล เรากำลังดูอยู่ แต่ฉันคิดว่ามันสูงพอสำหรับระดับความสำคัญของสิ่งที่ฉันควรดูทุกวันหรือไม่ ไม่ฉันไม่ทำ” เคลลี่กล่าว “ฉันคิดว่าสิ่งที่เราต้องโฟกัสคือเราจะแน่ใจได้อย่างไรว่าผู้ที่ไม่ได้ทำสิ่งนี้ถูกต้องหรือไม่ทำสิ่งที่ถูกต้อง … [ว่า] พวกเขากำลังทำในสิ่งที่ถูกต้อง จากนั้นเราจะสามารถเริ่มเปลี่ยนจากท่าทางตอบโต้เป็นเชิงรุกได้ ฉันเข้าใจว่าทำไมมันถึงมีอยู่ มันมีเหตุผล ฉันจะบอกว่าวันนี้ยังจำเป็นอยู่มาก นั่นเป็นเพียงเพราะฉันต้องการเห็นการเปลี่ยนแปลงไปสู่ท่าทางเชิงรุก ซึ่งกำลังดูที่ … เราจะทำให้บุคลากรของเรามีระดับความเชี่ยวชาญที่เหมาะสมได้อย่างไร ทำให้กระบวนการของเราเติบโตพอที่จะรองรับเทคโนโลยีเหล่านี้ได้

Robert Powell ที่ปรึกษาอาวุโสด้านความปลอดภัยทางไซเบอร์ในสำนักงานของ Chief Information Officer ของ NASA ชี้ให้เห็นว่าการปฏิบัติตามกฎระเบียบเป็นวิธีการจัดการความเสี่ยง

        Insight by Maximus: การมีข้อมูลเพียงปลายนิ้วจะมีความสำคัญหากเป็นข้อมูลที่ถูกต้องในเวลาที่เหมาะสม ในแบบสำรวจพิเศษของ Federal News Network เราถาม feds เกี่ยวกับความพยายามของหน่วยงานของตนในการเปลี่ยนข้อมูลให้เป็นข่าวกรองที่นำไปปฏิบัติได้ ซึ่งจะนำไปสู่การบริการที่ดีขึ้น

“ฉันมักจะคิดในขอบเขตของความเสี่ยง” พาวเวลล์กล่าว

 “ฉันคิดว่าคุณสามารถจดจ่อกับการปฏิบัติตามกฎระเบียบมากเกินไป และพยายามทำเกรดดีๆ หรือคะแนนดีๆ หรือเป็นมิตรกับสิ่งแวดล้อมหรืออะไรที่เป็นคุณ ในเมื่อสิ่งที่เราต้องโฟกัสจริงๆ คือความเสี่ยง หากคุณลืมหลักการพื้นฐานที่ว่าฉันจะจัดการความเสี่ยงได้อย่างไร ทำไมเราถึงต้องมีกระบวนการความเสี่ยงด้วย? หากเราดำเนินการฝึกซ้อมการปฏิบัติตามกฎระเบียบโดยไม่เน้นความเสี่ยง นั่นก็ถือเป็นโมเดลที่ล้มเหลว”

สำหรับแนวทางของ IoT นั้น NASA ได้เริ่มคณะทำงานภายในที่มุ่งเน้นไปที่ระบบควบคุมอุตสาหกรรม

“หน่วยงานของเราตระหนักดีว่าอุปกรณ์ IoT เช่น ICS มีความสำคัญต่อภารกิจของเราเพียงใด” Powell กล่าว “เราต้องแน่ใจว่ามีแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยอยู่ในสถานที่”

แม้ว่า IoT สามารถช่วยหน่วยงานต่างๆ เช่น EPA รวบรวมและแบ่งปันข้อมูลด้านสิ่งแวดล้อมจำนวนมาก แต่อุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตแต่ละเครื่องที่เชื่อมโยงกับบทสนทนาดิจิทัลนั้นก่อให้เกิดภัยคุกคามด้านความปลอดภัยหรือเป็นสื่อกลางสำหรับภัยคุกคาม เช่น บ็อตเน็ต

นักข่าว Meredith Somers พูดคุยเรื่องนี้ใน Federal Drive กับ Tom Teminเครื่องเล่นเสียงใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียง

ดาวน์โหลดเสียง

“ปัญหาคือเมื่อคุณเริ่มมองหาบ็อตเน็ต และคุณเริ่มมองหาการโจมตีในปัจจุบัน ส่วนใหญ่เป็นแบบอัตโนมัติ” เคลลีย์กล่าว “เมื่อฉันอนุญาต Internet of Things หรือเซ็นเซอร์หรืออุปกรณ์การวิจัยใดๆ บนเครือข่าย มันก็เหมือนกับผู้ใช้วงใน มันเป็นภัยคุกคามที่ใหญ่ที่สุดที่ฉันมีภายในเครือข่าย”

เมื่อมีนักแสดงที่ไม่ดีเข้ามา พวกเขาไม่จำเป็นต้องเก่งกาจขนาดนั้นเพื่อย้ายผ่านระบบเพื่อรับสิทธิ์ของผู้ดูแลระบบ Kelley กล่าว

ทำความเข้าใจกับความเสี่ยง

คำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ของทำเนียบขาว กำหนดให้หน่วยงานต่าง ๆ ใช้แนวทางระดับองค์กรในการประเมินและลดความเสี่ยงทางไซเบอร์ ในขณะที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติมีกรอบการจัดการความเสี่ยง  เพื่อใช้เป็นแนวทางปฏิบัติที่ดีที่สุดสำหรับหน่วยงาน

การคิดในขอบเขตของความเสี่ยง  อาจสมเหตุสมผลสำหรับหน่วยงานอย่าง NASA ซึ่งอาศัยความร่วมมือระหว่างประเทศ การแบ่งปันและการเชื่อมต่ออุปกรณ์และระบบ และยังมีงบประมาณเกือบ 2 หมื่นล้านดอลลาร์

credit : สล็อตเว็บแท้ / 20รับ100 / เว็บสล็อตออนไลน์