Nisan ayına kadar, tüm federal kurumların ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı’nın (CISA) “kurumun BT varlıklarına ve ilgili güvenlik açıklarına yönelik görünürlüğü artırmaya yönelik ölçülebilir ilerleme kaydetmeye” yönelik yeni bir talimatına uymaya başlaması gerekiyordu. Basit bir dille bu, varlıklarını izleme ve güvenlik açıklarını değerlendirme konusunda daha iyi olmaları gerektiği anlamına gelir.
Bağlayıcı Operasyonel Direktif 23-01’e (BOD 23-01) uymak tek başına kurumları güvenli hale getirmese de, riskleri belirlemek ve daha iyi güvenlik programları oluşturmak için iyi bir temel sağlar. Nihayetinde, federal BT müdürlerinin bu BOD gerekliliklerinin lafzından öteye gitmeleri ve ağ operasyonlarını ve güvenlik süreçlerini iyileştirmek için bu yeni yetenekleri nasıl kullanabileceklerini düşünmeleri gerekecek.
CISA BOD 23-01’i Anlamak
Yeni talimat, başarılı bir siber güvenlik programı için geniş ölçekte operasyonel uyumluluğu geliştirmek için gerekli olan iki faaliyete odaklanıyor: varlık keşfi ve güvenlik açığı sayımı.
Varlık keşfi ilişkili tüm IP adreslerini (ana bilgisayarları) tanımlayarak bir kurumun ağ altyapısında bulunan tüm ağ adreslenebilir varlıklarını bulmak anlamına gelir. Bu genellikle özel mantıksal erişim ayrıcalıkları gerektirmez ve daha gelişmiş analitik ve güvenlik araştırmaları için hayati bilgilerdir. Ancak ağlar büyüdükçe, daha karmaşıklaştıkça ve sanallaştıkça ve kullanıcılar daha geniş bir cihaz yelpazesi kullanarak daha fazla konumdan bağlandıkça ağa bağlı varlıkları keşfetmek zorlaşıyor. CISA ile ilgili çoğu, kendin getir (BYO) ve adres almış ve ağda bulunan ancak olmaması gereken diğer yetkisiz cihazlardır. Keşif her iki sorunu da çözer: mevcut olan onaylı cihazların onaylanması ve mevcut ancak yetkisiz cihazların algılanması.
Güvenlik açığı sıralaması ağ varlıklarındaki şüpheli güvenlik açıklarını belirler ve bildirir. Ana bilgisayar özniteliklerini (örneğin işletim sistemleri, uygulamalar ve açık bağlantı noktaları) algılar ve eski yazılım sürümleri, eksik güncellemeler ve yanlış yapılandırmalar gibi güvenlik açıklarını ve sorunları belirlemeye çalışır. Ayrıca, ana bilgisayar özniteliklerini tanımlayarak ve bunları bilinen güvenlik açıkları hakkındaki bilgilerle eşleştirerek güvenlik ilkelerine uyumun veya bu ilkelerden sapmaların izlenmesini içerir.
Yetki, federal kurumların yerine getirmesi gereken birkaç genel gerekliliği belirtir:
- Cihazların bir envanterini tutmak için her yedi günde bir otomatik varlık keşfi gerçekleştirme
- Teknik olarak mümkün olduğunda ayrıcalıklı veya istemci tabanlı araçlar kullanarak yazılım güvenlik açıklarını belirleme (erişim sorunlarının en derin denetimini sağlamak için)
- Ajansın varlıklarını ne sıklıkta numaralandırdığını, varlıklarının kapsamını ve güvenlik açığı imzalarının ne kadar güncel olduğunu izleme
- Bu varlık ve güvenlik açığı bilgilerini CISA’nın Sürekli Teşhis ve Azaltma (CDM) federal panosuna sağlama
Yetki ayrıca, varlık keşfi ve güvenlik açığı sayımının ne sıklıkta gerçekleştirileceği, bu taramaların nasıl yürütüleceği ve bu verilerin CISA’ya bildirilmesi gereklilikleri gibi daha fazla ayrıntı içerir. Daha da önemlisi, CISA bu hedeflerden herhangi birinin nasıl karşılanacağını belirtmez, ancak bunu her kurumun BT liderliğinin takdirine bırakır.
Bunun Federal Ajanslar İçin Anlamı Nedir?
Bu yetkilendirmeden, uyumluluk değerlendirmelerini birkaç yılda bir yapmaya yönelik eski yaklaşımın yeterli olmayacağı açıktır. Ajansların, geniş ölçekte ve etki alanlarında varlıkları keşfetmelerine ve güvenlik açıklarını bulmalarına olanak tanırken aynı zamanda düzenli, sürekli durum raporlaması sağlayan bir ağ otomasyonu ve görünürlük çözümü oluşturmaları veya satın almaları gerekecektir.
Bu gereksinimlerin karşılanması, bir kurumun siber saldırılara karşı güvende olacağı anlamına gelmez, ancak BT kaynaklarının güvenliğini artırmaya yardımcı olur. Örneğin, siber güvenlik riskini önemli ölçüde azaltan güncellemeler, yapılandırma yönetimi ve diğer güvenlik ve yaşam döngüsü yönetimi etkinlikleri ile güvenlik açığı iyileştirme gibi acil etkinlikler için varlık görünürlüğü gereklidir. Ancak federal hükümetin ölçeğine ve karmaşıklığına sahip bir ağ topolojisi için – geniş cihaz dağıtımı ve sanallaştırılmış hizmetler ile – otomasyon, en iyi güvenlik uygulamalarını gerçekleştirmenin tek gerçekçi yoludur (cihaz sabit yazılımını güvenlik yamalarıyla güncelleme, parolaları düzenli olarak değiştirme ve güvenlik duvarı yapılandırma kaymasını önleme).
BOD 23-01 ile uyumlu
Yeni CISA yetkisi, bireysel ajansların ağlarını en iyi nasıl güvence altına alacaklarını belirlemelerine izin veren tarihsel yaklaşımın işe yaramadığının fark edilmesinden kaynaklanmaktadır. Uygulamada, kaynakları kısıtlı ajanslar, agresif güvenli erişim doğrulamasının önceliğini kaldırdı. Ayrıca, sorunu daha da kötüleştiren yeni teknolojiler, yeni uygulamalar ve yeni projeler nedeniyle ağlarının ne sıklıkta değişeceğini de tam olarak hesaba katmadılar. Bu sonuçta federal BT altyapısının güvenliğinin azalmasına yol açtı.
Bununla birlikte, bu yeni görevlendirmenin, onu karşılayacak herhangi bir ek finansmanla gelmediği göz önüne alındığında, ajanslar, belirtilen haftalık zaman dilimlerinde gerekli tüm görünürlük ve güvenlik açığı değerlendirmelerini gerçekleştirmek için mevcut operasyonel ve mühendislik kaynaklarını nasıl kullanacaklarını yeniden düşünmelidir. Aslında, gerekli topoloji, güvenli erişim ve uyumluluk ihtiyaçlarını tanımlamak için mevcut konu uzmanlarından daha iyi yararlanmak için ağ otomasyonunu demokratikleştiren bir çözüme ihtiyaçları olacak. Tek bir mühendis bir cihazı bir kez test edebilir veya bir güvenlik açığı taraması oluşturabilirken, otomasyon sürekli olarak bu işi tüm altyapı genelinde otomatik olarak istediğiniz sayıda çoğaltabilir ve yürütebilir.
Hepsini bir araya koy
Gerçek şu ki, bu otomatikleştirilmiş yaklaşım, BOD 23-01 yönergesinin gerekliliklerini etkili bir şekilde karşılamanın tek yoludur. Otomasyon, kabul edilen en iyi uygulamaları veya BOD 23-01’de yer alanlar gibi yinelenen herhangi bir ağ görevini ölçekte uygulayabilir.
Sonuç olarak, BOD 23-01 yetkisi, ABD federal hükümetinin dijital ayak izini güvence altına almak için memnuniyetle karşılanan bir ilk adımdır. Neyin bağlı olduğunu ve güvenlik açığını neredeyse gerçek zamanlı olarak anlamak, potansiyel sorunları ve olası saldırı vektörlerini istismar edilmeden önce belirlemede uzun bir yol kat edecektir. Federal BT müdürleri, yetkinin gerekliliklerini başarılı bir şekilde karşılamayı umuyorlarsa, geleneksel emek yoğun yaklaşımların ötesine geçmeli ve ağ otomasyonunu düşünmelidir.