Coğrafi özel, hükümete özgü sektöre özgü
Siber güvenlik yetkilileri, sıfır güven, güvenli bir şekilde tasarım yaklaşımı için büyük bir itiş başlattı
Jayant Chakravarti (@Jayjay_tech) •
12 Şubat 2025
Avustralya hükümeti, açıklamadan başlayarak işletmeler için proaktif siber savunma stratejileri konusunda rehberlik yayınladı: Mevcut stratejileri kullanan başarılı siber saldırıları önlemek neredeyse imkansız.
Ayrıca bakınız: FedRamp ve Stateramp’ı anlamlandırıyor
Avustralya Sinyalleri Müdürlüğü Avustralya Siber Güvenlik Merkezi, rehberliğin kuruluşların siber saldırılara dayanıklı modern, savunulabilir bir ağ mimarisi oluşturmasına yardımcı olacağını söyledi.
Rehberlik, “Bir olayın meydana gelmesi durumunda, bir olayın meydana gelmesi durumunda, bir ağın en kritik varlıklarına ve sistemlerine yönelik riski ve zararı önemli ölçüde en aza indirmek için ağların tasarımında, mimarisinde ve yapımında adımlar atılabilir.” Diyor.
Merkez, yerli işletmelere siber esnekliği artırmak için sıfır güven ve güvenli tasarım ilkeleri benimsemelerini tavsiye ediyor ve bu uygulamalar, kuruluşların ağ güvenlik mimarileri tasarlarken atıfta bulunabileceği en son “modern savunmasız mimari için temellere” dahil edildi.
Mimari çerçeveler, kuruluşların siber savunma yeteneklerini bütünsel olarak geliştirmelerine ve İnternet’e bağlı BT, kurumsal hareketlilik ve operasyonel teknoloji ağlarını güçlendirmelerine yardımcı olmak için daha önce yayınlanan ACSC’nin bilgi güvenliği kılavuzunu ve temel sekiz olgunluk modelini tamamladı.
İlk olarak 2017’de yayınlanan ve Kasım 2023’te güncellenen temel sekiz olgunluk modeli, kuruluşların sekiz azaltma stratejisini benimseyerek olgunluk seviyelerini kademeli olarak artırmalarına yardımcı olur: yama uygulamaları, yama işletim sistemleri, çok faktörlü kimlik doğrulamasını mümkün kılar, yönetim kontrolünü mümkün kılar, uygulama kontrolü sağlar, Microsoft Office makrolarını kısıtlamak, kullanıcı uygulamalarının sertleştirilmesi ve düzenli yedeklemelerin gerçekleştirilmesi.
Aralık 2024’te yayınlanan Bilgi Güvenliği Kılavuzu, bilgi teknolojisini ve operasyonel teknoloji sistemlerini, uygulamaları ve verileri korumak için CISOS, CIO’lar ve diğer siber güvenlik liderleri için bir siber güvenlik çerçevesi olarak hizmet vermektedir.
ACSC, BT ortamlarını güçlendirmek için önceki çerçeveleri uygulayan kuruluşların, sıfır güven ve güvenli tasarım uygulamaları uygulayarak ağlarını daha da güçlendirmek için yeni temelleri kullanmaları gerektiğini söyledi.
Siber güvenlik ajansının eğitim kılavuzları, hükümetin 2030 yılına kadar Avustralya’nın dünyanın en güvenli ülkesi haline getirme hedefinde yerli işletmeleri ve işletmeleri daha esnek hale getirme aciliyetini temsil ediyor.
Hükümet, 2023’ün sonlarında, fidye yazılımı ödemelerine yasağı savunan 587 $ siber güvenlik stratejisini, siber olayların zorunlu raporlanmasını ve kritik altyapı sektörlerine ilişkin yeni raporlama gereksinimlerini serbest bırakarak başladı (bakınız: Avustralya, siber suçu yenmek için 587 milyon dolarlık bir stratejiyi açıkladı).
Hükümet o zamandan beri ülkenin bilgi teknolojisi ortamlarını güçlendirmek için bir dizi tavsiye ve rehberlik yayınladı. Aralık ayında ASD, 2030 yılına kadar mevcut birkaç şifreleme algoritmasını aşamalı olarak, gelecekte kuantum hesaplama özellikli siber saldırılara karşı savunmasız olacağını söyledi. Çıkarılacak şifreleme algoritmaları arasında ECDSA veya eliptik eğri dijital imza algoritması ve EDDSA veya Edwards eğrisi dijital imza algoritması, 128 bit güvenlik gücü ve 128 bitten fazla güvenlik mukavemeti olmayan dijital imzalar için RSA bulunur (bakınız: Avustralya 2030 yılına kadar zayıf şifreleme algoritmalarını aşamalı olarak kaldıracak).
Hükümet ayrıca, sektörün artan siber saldırılara karşı hazırlığını artırmak için hükümet ve özel hastaneler ve sağlık klinikleri için bir siber güvenlik bilgi paylaşım ağı kurulmasına yardımcı olmak için Ocak ayında 6,4 milyon dolarlık bir hibe duyurdu.
ASD’ye göre, modern savunulabilir mimarinin en son temelleri teknoloji agnostiktir ve kuruluşlar bunları mektupla takip etmek için zorunlu değildir, ancak ağlarını çevrelerine ve iş hedeflerine göre güçlendirmek için rehberlik çerçevesini kullanırlar.