По словам Колина Уитлатча (Colin Whitlatch), директора по технологиям Kahua, производителя программного обеспечения для управления проектами, инфраструктура является основной целью атак.
Колин Уитлатч признает, что этап строительства остается наиболее уязвимым периодом в жизни любого актива. Вот где подходит программа FedRAMP.
FedRAMP, программа федерального правительства, предоставляет передовые протоколы безопасности, реализованные поставщиками облачных услуг в проектах федерального правительства. Уитлатч, главный технический директор Kahua, облачной информационной системы управления проектами, сказал, что компания недавно получила статус FedRAMP-Moderate.
Уитлач добавил, что другие поставщики, не имеющие этого разрешения, скоро перестанут разрешено размещать данные проекта для федеральных агентств. Например, в конце прошлого года в Аризоне был опубликован первый запрос предложений, в котором поставщикам было поручено соблюдать требования StateRAMP.
По данным Техасского департамента информационных ресурсов, Техас также продвигает свою собственную версию. Эти требования распространяются на все государственные учреждения, высшие учебные заведения и общественные колледжи.
Примечание редактора: это интервью было отредактировано для ясности и краткость.
КОНСТРУКЦИЯ: Насколько уязвима строительная отрасль?
КОЛИН УИТЛАЧ: Я’ Я знаком с вектором атаки и тем, что происходит. Как только вы присоединяетесь к программе FedRAMP, они начинают уведомлять вас обо всем, что там есть.
Основные цели больше связаны со строительством или инфраструктурой. Это может относиться к таким вещам, как электросеть. Итак, что касается инфраструктуры и, безусловно, строительства. Опять же, с точки зрения правительства, существует огромный риск того, что люди могут извлечь из таких систем, как наша.
Людям нужно много схемы, потому что это важно: схемы зданий и чертежи САПР. На самом деле это то, что люди могут использовать способами, которые, к сожалению, довольно разрушительны. Как только вы узнаете, как устроено здание или как оно расположено, вы сможете пройти через него, и злоумышленник может этим воспользоваться. Итак, количество атак растет.
Что такое FedRAMP и как это помогает Kahua защищать своих клиентов?
FedRAMP — это федеральная программа, разделенная на различные уровни в зависимости от чувствительности данных. Элементы управления, которых вы придерживаетесь, направлены на то, чтобы сделать вашу систему безопасной по умолчанию. Вы увидите, что на уровне устройства, таких как ваш маршрутизатор, если что-то скомпрометировано, оно просто перестанет выполнять свои обязанности. Система останавливается, сетевой трафик отсутствует. Это простая версия аппаратного обеспечения.
Затем есть программное обеспечение. Если есть проблема с безопасностью, или что-то перестает работать, или система не делает то, что должна, она просто перестанет обрабатывать данные. Все начинается с FedRAMP. Вещи работают против скомпилированного кода, но прежде чем он будет вытеснен, более важным или не менее важным является анализ. Мы запускаем наше динамическое сканирование приложений и пытаемся взломать их со всех сторон. Подводя итог, мы проводим постоянный мониторинг и оценку. Мы постоянно читаем эти динамические сканы. Мы используем различные инструменты для проверки соответствия требованиям.
Как выглядел этот четырехлетний процесс получения статуса FedRAMP-Moderate?
Он разбит на этапы. Вы начинаете с этапа консультирования. Вы проходите консультации, чтобы убедиться, что вы собираетесь быть совместимыми с тем, что представляют собой элементы управления, как спроектировать систему и как ее построить, чтобы, как только вы дойдете до оценки, вы могли быть должным образом оценены и уполномоченный.
На это ушло три с половиной года, прежде всего потому, что мы работали с нуля, чтобы убедиться, что все охвачено. Мы не останавливаемся на FedRAMP-Moderate, есть и другие уровни, к которым мы и стремимся.
После авторизации вы сможете работать с любым государственным учреждением. Частью самой программы является непрерывный мониторинг. Есть отчеты, которые вам нужно построить, и вам нужно искать уязвимости в вашей системе. Это живая, живая, дышащая вещь.
Есть ли какие-либо обновления о том, сделают ли штаты требованием FedRAMP?
Это то, что происходит. FedRAMP — это программа федерального уровня, поэтому на уровне штата она будет проходить как программа уровня штата.
Но теперь мы видим, что все больше и больше правительств штатов говорят: «Система FedRAMP — это то, что мы хотели бы видеть». Они идут. Государства говорят, что, поскольку FedRAMP является федеральной авторизованной программой, она охватывает все, что мы хотели бы видеть с точки зрения безопасности. Я скажу, что очень важно, чтобы средства контроля на уровне FedRAMP существовали для любого правительства штата или местного уровня.
Есть ли какие-либо другие тенденции, которые вы считаете важными, чтобы упомянуть?
Безопасность никогда не прекращается. Атаки усиливаются, они не прекратятся. И тогда уровень сложности будет только возрастать. Таким образом, это то, чего вы всегда должны опасаться или, по крайней мере, остерегаться.
FedRAMP сообщит вам о тенденциях в отрасли. Одна вещь, которую вы делаете с FedRAMP, — это ежегодная переоценка. Вы собираетесь вернуться к своим элементам управления, чтобы убедиться, что ничего не произошло. Мы очень довольны тем, что предоставляет правительство, и это бесценно. Активный диалог с вовлеченными сторонами просто делает систему лучше.
И опять же, мы следуем всем отраслевым шаблонам. Происходят и другие вещи, такие как нарушение SolarWinds, от которого мы не уязвимы, но SolarWinds используется во многих установках. Не наши, а другие, и именно так в последнее время происходят некоторые атаки.