Защитные системы EINSTEIN и CDM не были разработаны для предотвращения целевых кибератак на основе новых уязвимостей или троянизированного ПО.
Федеральная оборона не была организована должным образом для обнаружения атак APT-группировок, заявил высокопоставленный чиновник Министерства внутренней безопасности, давая оценку проблем в кибербезопасности правительства США, связанных с взломом SolarWinds.
По словам Брэндона Уэльса (Brandon Wales), исполняющего обязанности директора CISA, хакеры больше не используют ту же инфраструктуру, что и во время прошлых атак, и перемещаются с сервера на сервер в США с целью остаться незамеченными. Как отметил Уэльс, финансирование в рамках так называемого закона America Rescue Plan Act («Закон о планах спасения Америки») позволит CISA внести первоначальный взнос в обнаружение подобного рода врагов.
Две из основных инициатив CISA — программа обнаружения взломов EINSTEIN, и программа усиления защиты Continuous Diagnostics and Mitigation (CDM). Конгресс потратил миллиарды на обе эти программы, однако EINSTEIN предназначена для мониторинга трафика с упором на известные угрозы, а инструменты CDM нуждаются в обновлении, с более глубоким пониманием сетей CISA. Ни один из этих инструментов не был разработан для предотвращения целевых кибератак, основанных на новых уязвимостях в ПО или использовании шпионами троянизированного ПО для распространения вредоносов.
«Финансирование Конгресса можно было бы использовать для приобретения более совершенных средств обнаружения конечных точек и реагирования в рамках CDM, которые дадут нам возможность понимать, что происходит на критически важных серверах и рабочих станциях. Это дало бы нам возможность обнаруживать больше вредоносных угроз, быстрее реагировать и работать с агентствами, чтобы блокировать аномальное поведение, прежде чем оно широко распространится в сети», — отметил Уэльс.
03-28-2025, 11:27 PM
Linear Mode
