Walt Szablowski, Eracent Kurucusu ve Yönetim Kurulu Başkanı
Sadece birkaç ay önce, FAA ülke çapındaki tüm uçuşları durdurdu ve bu da binlerce uçuş gecikmesine neden oldu. Ülke, böylesine aşırı bir tedbire yol açabilecek olası ve sarsıcı senaryoları teorileştirirken bastırılmış bir panik vardı; sistemdeki bir aksaklık bunlardan biri değildi. Ancak bu, FAA’nın resmi kararıydı. Yanlışlıkla silinen bir dosyanın ABD hükümetinin en büyük ulaşım acentesi üzerinde nasıl bu kadar derin bir etkisi olabilir? Beyaz Saray, bu kadar kolay istismar edilebilecek siber güvenlik açıklarını hedeflemek için Sıfır Güven Mimarisine doğru ilerliyor.
Ülke Çapında Yer Durdurma. Ne oldu?
11 Ocak 2023’te FAA ülke çapında bir Yer Durdurma (GS) başlattı.1 Bu yanıt, FAA açısından sert bir önlemdi ve 11 Eylül 2001’de gerçekleştirilen benzeri görülmemiş terör saldırılarından bu yana ülke çapında uygulanmadı.2 Şiddetli hava, ekipman arızası veya yıkıcı bir olay nedeniyle tepkisel olarak bir GS başlatılır.
O gün spekülasyonlar yaygınlaştı. Yeni bir terör saldırısı mıydı? Bir siber saldırı mı? FAA’nın yanıtı, medyayı veya genel olarak halkı yatıştırmak için çok az şey yaptı. FAA, GS’yi Hava Görevlerine Bildirim (NOTAM) Sistemini bozan bir gecede meydana gelen kesintiye bağladı.3 NOTAM, hava felaketlerini önlemek için Ulusal Hava Sahası Sisteminin herhangi bir anormal durumu tarafından tetiklenen gerçek zamanlı uyarılar yayınlar.4
İstemeden Bir Dosya Silindi mi?
Peki ne oldu? Federal havacılık yetkilileri, bu tamamıyla önlenebilir fiyaskonun, rutin bakım yapan ve yanlışlıkla bir dosyayı diğeriyle değiştiren bir mühendisin sonucu olduğunu bildirdi.5 Bu olay, FAA’nın yazılım arıza güvenliği altyapısında feci bir başarısızlıktı. Yerinde bir yedekleme sistemi yok muydu?
ABD Ulaştırma Bakanlığı Genel Müfettiş Ofisi, uzayan program gecikmeleri nedeniyle FAA’nın Yeni Nesil Hava Taşımacılığı Sistemini entegre etmede devam eden zorluklara atıfta bulunan bir rapor yayınladı. Konuşma konusu olan mesele; Uçakları izlemek için kağıt uçuş şeritleri kullanan hava trafik kontrolörlerinin eskimiş uygulamasının planlı bir modernizasyonunun 2029 yılına kadar yürürlüğe girmesi beklenmiyor.6
EO 14028
12 Mayıs 2021’de Beyaz Saray, Federal kurumların Sıfır Güven Mimarisini benimseyerek ve çok faktörlü kimlik doğrulama şifrelemesinin dağıtımını zorunlu kılarak siber güvenliği ve yazılım tedarik zinciri bütünlüğünü geliştirmesini zorunlu kılan 14028: Ulusun Siber Güvenliğini Geliştirme İcra Emri yayınladı.7 Tüm sivil devlet kurumlarının uyum için yürürlük tarihi Eylül 2024’tür.8
Asla güvenme. Daima Doğrulayın.
Sıfır Güven Mimarisi, her zaman iç ve dış ağ tehditlerinin varlığını varsayarak siber güvenlik tedarik zinciri ilişkilerinin tüm bileşenlerine kör inancı ortadan kaldırır. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) şu anda eski hükümet siber güvenlik programlarını inceliyor. CISA’nın Sıfır Güven Olgunluk Modeli, devlet kurumlarına Sıfır Güven stratejileri ve çözümleri geliştirme ve uygulamada yardımcı olmayı amaçlamaktadır.9
FAA zaten bir Sıfır Güven sistemine sahip olsaydı, NOTAM sistemindeki bu yalıtılmış güvenlik açığı alanı hemen işaretlenirdi. Gerekli kontroller gerçek zamanlı olarak anında yedek sisteme geçilirdi.
İşlem Yok = Siber Güvenlik Yok
Sıfır Güven modelinin teorik uygulaması, yalnızca onu izleyen ve onu yapılandırılmış ve denetlenebilir bir sürece dönüştüren süreç kadar etkilidir. Bileşenleri, yazılım uygulamaları, kurumsal verileri, politikaları ve denetim riski analizi ile birlikte tüm ağları ve uç noktaları destekleyen, hızlandıran ve birleştiren kapsamlı bir çerçeve gerektirir.
Geleneksel güvenlik yaklaşımları, ağa erişim sağladıktan sonra tüm yazılım bileşenlerinin güvenli olduğu sonucuna varır. Sıfır Güven konfigürasyonunda, her bileşen sürekli olarak kendisine güvenilebileceğini kanıtlamalıdır. Federal ve kurumsal düzeyde uygulanması, FAA’nın başına gelenler gibi sistem çapında arızaları önlemek için kritik bir BT girişimidir.
Nelerin Korunması Gerekiyor?
En önemlisi, işletmelerin ve devlet kurumlarının, her kuruluşun kendine özgü gereksinimlerine uyan ve bunları destekleyen bir siber güvenlik sistemi tasarlamak için neyi korumaya ihtiyaç duyduklarını tanımlamaları gerekir. Her şey risk analizi ile ilgili. Ağın boyutu nedir? Ağda hangi yazılım var? Ağda hangi veriler var ve nerede? Güvenlik açıklarının istismar edilmeden önce tanımlanması ve hafifletilmesi gerekir. Ve bu uyanık olmayı gerektirir. Bütünsel siber güvenlik, açıkça tanımlanmış, yönetilen ve sürekli gelişen Sıfır Güven Mimarisi gerektirir. Bir süreci tasarlamak bir şey, bunun sürekli raporlama yoluyla gerçekten gerçekleştiğinden emin olmak başka bir şey.
Çoğu şirket, hatanın kendi kuruluşlarında olduğunu varsayarak siber güvenlik yazılımlarının başarısız olmasını ve onları başka bir şey denemeye sevk etmesini bekler. Sıfır Güven “bir ve bitti” değildir. Başarılı yürütme, otomatikleştirilmiş ve tekrarlanabilir bir süreçte tek bir yönetim ve raporlama platformunda eksiksiz ağ görünürlüğü gerektirir.
Sıfır Güven ve VPN
Kimse siber tehditlere karşı güvende değil. Yazılım satan veya kullanan herhangi bir kuruluş uyanık olmalıdır. FAA, NOTAM sisteminin saldırıya uğradığını reddetse de, mevcut Sıfır Güven Mimarisi eksikliği onu siber güvenlik tehditlerine açık bırakıyor.
Siber tehditler, kötü amaçlı yazılım, fidye yazılımı, kimlik avı veya kurumsal hesap devralma gibi birçok biçimde gelir. Sanal Özel Ağlara (VPN’ler) dayanan kurumsal siber güvenlik için, güvenliği ihlal edilmiş bir harici cihaz tüm ağa bulaşabilir. Uzak ve hibrit çalışanların yaygınlığının artmasıyla, VPN güvenlik açıkları daha belirgin hale geliyor.10 VPN’ler ağın çevresi içinde bulunur ve sınır içindeki herhangi bir şeye güvenilebileceğini varsayarak yalnızca erişimi olan kullanıcıların ağla etkileşime girmesine izin verir.
Sıfır Güven, hiçbir şeye ve hiç kimseye güvenilemeyeceğini varsayarak, tam tersi bir yaklaşımı benimser. Tüm ağı denetler ve giriş elde etmek için sürekli yetki talep eden bir bekçi olarak hizmet eder. Kuruluşların, rutin olarak test edilen, iyi tanımlanmış ve planlanmış bir süreç üzerine kurulu teknolojileri uygulaması zorunludur.
Hackerlar Bugün Bir NASDAQ Şirketi Olabilir
Siber saldırılar o kadar yaygın hale geldi ki, şirketler sürekli tehditle uğraşmayı, mafyayla uğraşmak gibi iş yapmanın bir maliyeti olarak görüyor. Yeni nesil ‘etik bilgisayar korsanları’, ağlarına yeniden erişim sağlamak için para talep ederek şirketlere zorbalık yapmak için fidye yazılımı saldırılarını kullanıyor. Talep edilen miktar, hedef kuruluşu iflas ettirmeyecek olması bakımından ‘makul’dür. Ne de olsa, bilgisayar korsanları da tekrar müşteri istiyor.
Medyada büyük bilgisayar korsanları hakkında daha az gürültü var çünkü bilgisayar korsanları çok fazla dikkat çekmek istemiyor; müşterilerini oluşturmak istiyorlar. Bilgisayar korsanlığı başlı başına bir iştir.
FAA Daha Güvenli mi?
FAA NOTAM sisteminin 30 yaşında olduğu ve güncellenmesi için en az altı yıl olduğu bildiriliyor.11 EO 14028’in iyi niyeti, ancak onu uygulamamanın sonuçları varsa gerçeğe dönüşebilir. Yetkinin yerine getirilmesi karmaşık, kafa karıştırıcı ve zaman alıcıdır ve saldırıya uğramanın bir cezası yoksa, inisiyatifi takip etmek için hiçbir motivasyon yoktur.
FAA’nın kapatılması, tüm devlet kurumlarının ve sivil kuruluşların yanıtlaması gereken bir uyandırma çağrısıdır.
yazar hakkında
Walt Szablowski, Eracent’in Kurucusu ve Yönetim Kurulu Başkanıdır ve Eracent’in yan kuruluşlarının (Eracent SP ZOO, Varşova, Polonya; Bangalore, Hindistan’da Eracent Private LTD ve Eracent Brezilya) Başkanı olarak görev yapmaktadır. Eracent, müşterilerinin günümüzün karmaşık ve gelişen BT ortamlarında BT ağ varlıklarını, yazılım lisanslarını ve siber güvenliği yönetme zorluklarını aşmasına yardımcı olur. Eracent’in kurumsal müşterileri, yıllık yazılım harcamalarında önemli ölçüde tasarruf sağlar, denetim ve güvenlik risklerini azaltır ve daha verimli varlık yönetimi süreçleri oluşturur. Eracent’in müşteri tabanı, dünyanın en büyük kurumsal ve devlet ağlarından bazılarını ve BT ortamlarını içerir. Düzinelerce Fortune 500 şirketi, ağlarını yönetmek ve korumak için Eracent çözümlerine güveniyor. https://eracent.com/ adresini ziyaret edin.