Devam eden arasında Rusya’nın Ukrayna’yı işgaliyükseltilmiş Çin ve Tayvan arasındaki gerilimve giderek artan sayıda kritik altyapıya saldırma girişimleri enerji santralleri Ve su işleme tesisleri, ABD federal hükümetinin siber uzayda izlemesi gereken çok şey var. Kâr amacı gütmeyen teknoloji ve mühendislik danışmanlığı şirketi MITRE, 2024 seçimini kimin kazandığına bakılmaksızın bir sonraki başkanlık yönetiminin odaklanacağı bir dizi önceliğin ana hatlarını çizdi.
MITRE’ler “Güvenmeyin ama Doğrulayın: Siber Savunmamızı Korumak İçin ABD Liderliğini Güçlendirmek” Bildiri, kuantum bilişimdeki ilerlemelere hazırlanmak, kritik altyapıyı korumak, liderlik rollerini netleştirmek ve federal hükümet içinde sıfır güven çerçevesi uygulamak da dahil olmak üzere önceliklendirilecek alanları belirliyor.
Öncelik 1: Kritik altyapıyı koruyun. MITRE, ABD İç Güvenlik Bakanlığı’na (DHS) sektöre yönelik kurtarma planlarını altı ay içinde güncellemesi ve Ulusal Hazırlık Sistemine yönelik büyük ölçekli kritik altyapı saldırıları yapması çağrısında bulunuyor. DHS ayrıca, bir şirketin vaka müdahale planının provasını yapması gibi, tepkileri ortaya çıkarabilecek doğal afet tatbikatlarına benzer simülasyonlar yürütmeye başlamalıdır. Ek olarak, eski sistemler gibi sıfır güven ilkelerini işleyebilmeleri için yükseltilmeleri gerekir. mikro segmentasyonve yazılım malzeme listelerinin kullanımını zorunlu kılmak (SBOM’lar), hatta onları “kriptografik ayrıntıları” listeleyecek şekilde genişletiyor. Ve 90 gün içinde federal hükümet, yerel ve eyalet hükümetlerini kendi güvenlik uygulamalarıyla desteklemenin yollarını belirlemeli.
Öncelik 2: Sıfır güven ve SBOM’ları uygulayın. Kritik altyapıyı korumak için federal hükümet, yeni yönetimin ilk altı ayı içinde tamamen sıfır güvene geçmeli ve SBOM’lar aracılığıyla güvenli yazılım geliştirilmesini talep etmelidir.
Öncelik 3: Kuantum hesaplamaya hazırlanın. Üçüncü öncelik ise hazırlıklı olmaktır. kriptografik olarak alakalı kuantum bilgisayarlar. Altı ay içinde federal hükümet, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) standartlarına dayalı kuantum sonrası kriptografiye (PQC) hazır olup olmadığını değerlendirmelidir. iyi yoldalar içinde özel sektör. Hükümet, hangi sistemlerin yükseltilmesi gerektiğini belirlemek için SBOM’lardan gelen kriptografik bilgileri kullanabilir. MITRE ayrıca, NIST’in PQC standartlarıyla uyumlu ticari ve açık kaynaklı yazılımların yapımında uzmanlık kaynağı olarak PQC Coalition’ın (kendi oluşturduğu bir endüstri grubu) kullanılmasını önermektedir.
Öncelik 4: Yetkilileri netleştirin ve güçlendirin. En önemli dört önceliğin sonuncusu, siber güvenlik liderlerinin ve kuruluşlarının rol ve sorumluluklarını netleştirmektir. İlk 90 gün içinde yeni yönetim, kilit devlet dairelerindeki personelin siber güvenliğine ilişkin yetki, rol ve sorumlulukları kapsamlı bir şekilde haritalandırmalı ve netleştirmeli ve gerektiğinde yetkiyi genişletmelidir. Son olarak MITRE, Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) DHS içinde kalması yerine bağımsız bir kurum olarak geliştirilmesini öneriyor.