CISA: Госорганы не готовы к обнаружению взломов типа SolarWinds

Федеральная оборона не была организована должным образом для обнаружения атак APT-группировок, заявил высокопоставленный чиновник Министерства внутренней безопасности, давая оценку проблем в кибербезопасности правительства США, связанных с взломом SolarWinds.

По словам Брэндона Уэльса (Brandon Wales), исполняющего обязанности директора CISA, хакеры больше не используют ту же инфраструктуру, что и во время прошлых атак, и перемещаются с сервера на сервер в США с целью остаться незамеченными. Как отметил Уэльс, финансирование в рамках так называемого закона America Rescue Plan Act («Закон о планах спасения Америки») позволит CISA внести первоначальный взнос в обнаружение подобного рода врагов.

Две из основных инициатив CISA — программа обнаружения взломов EINSTEIN, и программа усиления защиты Continuous Diagnostics and Mitigation (CDM). Конгресс потратил миллиарды на обе эти программы, однако EINSTEIN предназначена для мониторинга трафика с упором на известные угрозы, а инструменты CDM нуждаются в обновлении, с более глубоким пониманием сетей CISA. Ни один из этих инструментов не был разработан для предотвращения целевых кибератак, основанных на новых уязвимостях в ПО или использовании шпионами троянизированного ПО для распространения вредоносов.

«Финансирование Конгресса можно было бы использовать для приобретения более совершенных средств обнаружения конечных точек и реагирования в рамках CDM, которые дадут нам возможность понимать, что происходит на критически важных серверах и рабочих станциях. Это дало бы нам возможность обнаруживать больше вредоносных угроз, быстрее реагировать и работать с агентствами, чтобы блокировать аномальное поведение, прежде чем оно широко распространится в сети», — отметил Уэльс.