Brittany Johnston, MeriTalk Araştırma Direktörü
Mayıs 2021’de Başkan Biden, teknoloji rehberliğini ve Federal kurumları Amerikan halkını daha iyi korumak için siber güvenlik duruşlarını iyileştirmeye zorlayan yetkileri içeren Ulusun Siber Güvenliğini (siber EO) Geliştirmeye İlişkin Yürütme Kararı’nı yayınladı.
Siber EO, Doğu Kıyısı boyunca gaz kıtlığına neden olan Koloni Boru Hattı saldırısı ve kamu ve özel sektördeki kurum ve kuruluşları etkileyen Solar Winds yazılım ihlali de dahil olmak üzere, kamu ve özel sektör kuruluşlarını rahatsız eden birkaç yüksek profilli siber saldırının hemen ardından geldi. sektörler. Bu olaylar, devlet kurumları içindeki ve ülkemizin kritik altyapısındaki siber güvenlik açıklarını vurguladı.
Siber EO, eski teknolojinin modernleştirilmesi, bulut geçişinin hızlandırılması ve sıfır güven mimarisinin uygulanması dahil olmak üzere aynı siber güvenlik ilkeleri altında Federal siber politika ve uyumlu kurumlar için yeni bir ton belirledi.
Siber EO yön sağlarken, Federal siber liderler, görevleri yerine getirmek için hızlandırılmış zaman çizelgeleri, sınırlı bütçeler ve eğitimli teknoloji uzmanlarının eksikliği altında yapılması gereken işler ile karşı karşıya kaldı.
Bu baskıya rağmen, AWS, CrowdStrike ve Zscaler tarafından üstlenilen MeriTalk tarafından yapılan yeni bir araştırma, Federal siber karar vericilerin yüzde 99’unun siber EO’nun kurumları üzerinde olumlu bir etkisi olduğunu ve yüzde 91’inin siber EO’nun olduğunu söylediğini buldu. ABD verilerini ve kritik altyapıyı daha güvenli hale getirdi. Çoğu, siber EO’da belirtilen adımların ulusumuzu korumak için gerekli olduğu konusunda hemfikir.
İlerleme Yılı
Çalışma, yayınlanmasının birinci yıl dönümüne yaklaşırken, Federal teknoloji liderlerinin siber EO’ya karşı kaydedilen ilerlemeye ilişkin bakış açılarını araştırıyor. Hangi ajansların farklı yaptıklarını tanımlar ve ajans siber liderlerinin başarılı olmak için daha fazla yardıma ihtiyaç duyduklarını söylediği yerleri inceler.
Teknoloji liderlerinin yarısından fazlası, BT yönetimi ve personelinin siber güvenliğe artan bir öncelik verdiğini onaylıyor. Bununla birlikte, tüm kurumlar, siber EO hedeflerine yönelik ilerlemenin hala erken aşamalarda olduğu konusunda hemfikirdir ve bugüne kadarki siber EO çabaları nedeniyle yalnızca yüzde 15’i somut iyileştirmeler bildirmiştir. Ajanslar, resmi bir strateji oluşturma, uç nokta algılama ve yanıt çözümlerini uygulama, yazılım tedarik zinciri güvenliğini iyileştirme, araştırma ve iyileştirme yeteneklerini güçlendirme ve buluta geçiş konusunda en fazla ilerlemeyi kaydediyor.
Liderlerin yarısından azı, ajanslarının kilit siber EO hedeflerine karşı kaydettiği ilerlemeyi “mükemmel” olarak değerlendirirken, önemli bir kısmı gelecek yıl içinde bir etki görmeyi bekliyor.
Sıfır Güvene Odaklanmak
Siber EO yetkilerinin çoğu, ajans ağına, uygulamalara ve verilere erişmeden önce kullanıcıların ve cihazların kimliğinin doğrulanmasını ve yetkilendirilmesini gerektiren sıfır güven mimarisi oluşturmayı içerir. Sıfır güven mimarisi, kimlik yönetimi, erişim denetimi ve ilke zorlama gibi çeşitli teknoloji bileşenlerini içerir.
Teknoloji liderlerinin yüzde doksanı, sıfır güven mimarisinin ulusal siber güvenlik için önemli bir faktör olduğunu söylüyor ve yüzde 96’sı, Yönetim ve Bütçe Ofisi’nin (OMB) Federal Sıfır Güven Stratejisi’nin bir şekilde veya çok yardımcı olduğu konusunda hemfikir.
Yüksek önceliğe rağmen, Federal siber karar vericilerin sadece yüzde 30’u sıfır güven ilerlemesini “mükemmel” olarak değerlendiriyor. Yüzde altmış yedi, EO’nun sıfır güven mimarisi uygulamak için üç yıllık penceresinin gerçekçi olmadığını söylüyor.
“Sıfır güvene ulaşmak kolay değil. OMB’nin çok adımlı kılavuzunda sağlanan ayrıntılar bir yol sağlar, ancak beş sıfır güven sütununun çeşitli ihtiyaçlarını karşılamak için satın alabileceğiniz tek bir kutu yoktur, “diyor uyumdan sorumlu üst düzey yetkili ve küresel hükümet işleri başkanı Stephen Kovac , Zscaler. “Gerçek sıfır güveni elde etmek için sorunsuz entegrasyonla birlikte çalışan çeşitli satıcılardan birden fazla çözüme ihtiyacınız var – bu bir takım sporudur. OMB, bu kuralların tanımlanmasına yardımcı olmak için iyi bir iş çıkardı, birinci kural kullanıcıları ağdan uzak tutmaktı. Size ulaşamazlarsa, sizi ihlal edemezler.”
Ulusal siber güvenlikte ileriye dönük en önemli faktörleri değerlendirirken, teknoloji liderleri çok faktörlü kimlik doğrulama ve standart olay günlüğü dahil olmak üzere sıfır güven mimarisinin öğelerine dikkat çekti. Önümüzdeki beş yıl boyunca, teknoloji liderleri, gelişmiş siber güvenlik üzerinde en büyük etkiye sahip olacak siber EO gereksinimi olarak, uç nokta algılama ve yanıt verme yeteneklerine – sıfır güven mimarisinin bir başka unsuru – işaret ediyor.
CrowdStrike Gizlilik ve Siber Politika Başkan Yardımcısı ve Danışmanı Drew Bagley, “Sıfır Güven, siber güvenlik için altın standarttır, bu nedenle EO’nun bu yaklaşıma öncelik verdiğini görmek bizi teşvik ediyor” dedi. “Ayrıca, bulutta yerel uç nokta algılama ve yanıt verme yetenekleri, özellikle kimlik güvenliği, tehdit istihbaratı ve yönetilen tehdit avcılığı gibi diğer güvenlik yetenekleriyle entegre edildiğinde, Federal hükümet için siber güvenlik duruşunu önemli ölçüde güçlendirebilir. Bu kavramlar, özel sektörün teknolojik olarak en gelişmiş işletmeleri için en iyi siber güvenlik uygulamaları haline geldi ve kamu sektörünü bu teknolojileri ve stratejileri benimsemeye devam etmeye teşvik ediyoruz.”
Siber EO Görevlerine Ulaşmanın Önündeki Engeller
Ajanslardan siber EO’da belirtilen agresif zorunlulukları yerine getirmeleri istenirken, sadece yüzde 14’ü bunu yapmak için gereken tüm finansmana sahip olduklarını ve üçte biri gerekli finansmanın yarısına veya yarısından azına sahip olduklarını söylüyor.
MeriTalk müdürü Nicole Burdette, “Deniz değişikliği, kapsamlı siber esnekliğe odaklanıyor” diyor. “EO yön sağladı, ancak ilerleme sürekli finansman ve kaynak taahhüdü gerektiriyor. Araştırma boşlukları gösteriyor.”
Teknoloji liderlerinin yüzde seksen yedisi ayrıca zaman alıcı uyumluluk gereksinimleri kanıtı, BT personelinin diğer projelerden siber EO gereksinimlerine odaklanması, rekabet eden öncelikler konusunda kafa karışıklığı ve birlikte çalışmanın artan maliyeti de dahil olmak üzere EO’nun olumsuz etkilerini bildiriyor. özel sektör. Teknoloji liderlerinin yüzde yirmi sekizi, siber EO’nun eğitimli personel veya diğer kaynaklar için kurumlar arasında rekabet yarattığını bildiriyor; bu, Federal kurumların zaten özel sektörden teknoloji yeteneklerini işe almak için mücadele ettiği günümüz ortamında önemli.
Kaynak sorunlarının üstesinden gelmek için, yoğun işe alım ve eğitime ek olarak, ajanslar tekrarlayan görevleri otomatikleştirmeye ve isteğe bağlı uygunluk kanıtı uygulamalarını en aza indirmeye odaklanmalıdır. Ajanslar, özel sektör ortaklarına bakmalı ve uygun olduğunda destek için yönetilen hizmetleri kullanmalıdır.
Özel Sektörün Rolü
Siber EO direktiflerindeki boşluklar sorulduğunda, teknoloji liderlerinin yüzde 74’ü siber EO’nun özel sektör direktifleriyle daha yetkili olması gerektiğini düşünüyor. Ne de olsa, birçok kritik altyapı operatörü, Colonial Pipeline gibi özel şirketlerdir.
Amazon Web Services ABD Hükümeti, Kâr Amacı Gütmeyen Kuruluş ve Sağlık Hizmetleri Başkan Yardımcısı Dave Levy, “ABD Federal hükümeti, ülkenin siber güvenlik duruşunu iyileştirmek için önemli adımlar atıyor” dedi. “Siber EO’da Beyaz Saray, Federal kurumları en iyi güvenlik uygulamalarını benimsemeye, sıfır güven mimarileri uygulamaya ve güvenli bulut hizmetlerine geçişi hızlandırmaya yönlendiriyor. Her büyüklükteki kuruluş, siber güvenliklerini geliştirmek ve çalışanları ve hassas verileri siber saldırılara karşı korumak için benzer ilke ve uygulamaları dikkate almalıdır.”
Siber EO’nun yayınlanmasından bu yana geçen yıl, özel sektörle bilgi paylaşımında ilerleme kaydedildi. Siber Güvenlik ve Altyapı Ajansı, özel sektör ve eyalet, yerel, aşiret ve bölgesel hükümetlerle çeşitli bilgi paylaşım programları geliştirmiş ve uygulamıştır. Son zamanlarda, ABD Siber Komutanlığı, ulusal siber güvenliği daha da desteklemek amacıyla kritik siber tehditler hakkında içgörü ve bilgileri paylaşmak için “Tavsiye Altında” adlı bir işbirliği programı oluşturdu.
Paylaşım iki yönlü bir yoldur ve bir ihlal yaşayan kritik altyapı operatörlerine yardımcı olmak için Kongre, Altyapı Yatırımı ve İşler Yasası’na zorunlu bir raporlama gereksinimi ekledi.
İleriye Bakış
EO uygulamasıyla eğrinin gerisinde kalan ajanslar, cesur değişiklikler yapma yetkisine sahip uygulama liderleri atayarak ilerlemelerini hızlandırabilir. EO uygulamalarını “mükemmel” olarak derecelendiren ajansların, siber EO’nun etkisine güvenme ve şimdiden faydaları deneyimlediklerini bildirme olasılıkları önemli ölçüde daha yüksekti.
Bilgisayar korsanları sürekli olarak mevcut güvenlik önlemlerini aşmak için yeni yollar ararken, ajanslar sürekli olarak siber yeteneklere öncelik vermeli ve önde kalmak için aktif bir siber zihniyet benimsemelidir. Güvenilir endüstri ortakları, siber EO’nun ruhunu gerçekleştirmek ve gelecekteki saldırılara karşı korunmak için ölçeklenebilir çözümler ve yenilikçi yaklaşımlar sağlayarak ajanslara yardımcı olabilir.
yazar hakkında
Brittany Johnston, hükümetin en iyi teknoloji ortakları için entegre pazar araştırma programları geliştirdiği ve yönettiği MeriTalk’un Araştırma Direktörüdür. Anket tasarımı, veri analizi ve içgörü geliştirmede yaklaşık 15 yıllık deneyime sahip olan Brittany, Federal yöneticilerin ve ortaklarının yeni teknolojileri keşfetmesine, pazar fırsatlarını ve zorluklarını ortaya çıkarmasına ve devlet BT’sinin sonuçlarını iyileştirmek için stratejik önerileri belirlemesine yardımcı olur. Brittany’ye çevrimiçi olarak [email protected], LinkedIn ve şirketimizin web sitesi https://www.meritalk.com/ adresinden ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.