Teddra Burgess, Kıdemli Başkan Yardımcısı, Kamu Sektörü, Tanium
Başkan Biden’ın yeni 773 milyar dolarlık savunma bütçesine yönelik eleştiri sıkıntısı yaşanmadı. Bu şaşırtıcı değil, çünkü federal bütçeler her zaman dikkat çekiyor – ve ilgili gerçek rakamlardan bağımsız olarak siyasi duruş ve parmakla işaret etmek için bol fırsat sunuyor.
Rakamlar bir yana, Amerika’nın siber savunması söz konusu olduğunda, partizanlığı rafa kaldırmak ve siber güvenliğimizin güçlü ve dayanıklı olmasını sağlamak için çok taraflı yollar aramak için elimizden gelenin en iyisini yapmalıyız.
Bu tür bir endişe federal hükümetin çok ötesine uzanıyor: K-12 okulları, belediyeler, üniversiteler ve akla gelebilecek her özel sektör endüstrisi gibi hedeflere yönelik fidye yazılımları ve diğer suç amaçlı siber saldırılar artıyor, bu nedenle yalnızca ulus devletle karşı karşıya değiliz. siber savaş. Aslında, suç çeteleri bir süredir tüketici verilerine ve kişisel olarak tanımlanabilir bilgilere (PII) savaş açmaktadır. Pandemi sırasında tehdit aktörleri, tehditleri artırarak ve 2022 boyunca tırmanmaya devam edeceğine inandığımız saldırı vektörlerini genişleterek küresel tedarik zincirleri aracılığıyla artan kırılganlığımızdan yararlandı.
Ukrayna’daki savaş, siber hazırlığa olan ilgiyi hızlandırdı. Ancak, son birkaç on yıldır siber savaşa hazırlanan bizler bile, tam ölçekli bir siber çatışmaya girmemiz gerektiğinde tam hazırlığı sağlamak için şimdi araç setlerimizi yeniden değerlendiriyoruz. Siber savaş, nispeten yeni bir savaş türü olabilir, ancak buna hazırlanmak, fiziksel savaşa hazırlanmaktan daha az acil olmamalıdır.
Bunu yapmak için, devlet kurumlarının ve askeri şubelerin ele alması gereken siber hazırlığın dört ana bileşeni vardır: niyet, siber hijyen, kontroller ve insanlar.
Niyet Neden Önemlidir?
Dwight Eisenhower askeri sanayi kompleksinin tehlikeleri üzerine dönüm noktası niteliğindeki konuşmasını yaptığında, tartışmalı konularda anlaşmaya varılması ve denge için çabalayarak ve ilerleme arayarak sağduyulu davranma ihtiyacından bahsetti. İyi muhakeme eksikliğinin eninde sonunda dengesizliğe ve şaşırtıcı olmayan bir şekilde hüsrana yol açtığını zekice belirtti – bu, ister kamu ister özel olsun, kuruluşlarını güvenlik içinde tutmakla görevli günümüzün bilgi güvenliği şefleri (CISO’lar) için çok tanıdık bir duygu. değişen saldırı vektörlerinin yüzü.
Geçtiğimiz yirmi yıl, Eisenhower’ın askeri kompleksinden farklı olarak gelişen bir siber güvenlik endüstriyel kompleksine yol açtı. Ancak güvenlik sağlayıcılarının Hydra benzeri büyümesine, risk seviyelerini kontrol etme iddiasındaki binlerce yeni yeteneğe ve güvenlikle ilgili ürün ve hizmetlere yapılan harcamalardaki artışa rağmen, saldırı vektörleri büyümeye devam ediyor. Büyüdükçe, zaten maliyetli olan bir güvenlik altyapısını sürdürmek için genellikle gereksiz harcamalara katkıda bulunurlar.
Sonuç olarak, mevcut güvenlik yatırımlarımızın neler sağladığını, sonuçlarının hala geçerli olup olmadığını ve hala hangi boşlukların mevcut olduğunu daha iyi anlamak için sahip olduğumuz çözümleri ve kullandığımız yaklaşımları yeniden düşünmek ve yeniden düzenlemek önemlidir. Uygun kontrollerimiz var mı? Meydana gelen zorlukları aşmak için gerçek veya neredeyse gerçek zamanlı olarak ölçeklendirebilir miyiz? Mevcut araçlarımız gerçekten vaatlerini yerine getiriyor mu? Günün sonunda, kuruluşların teknoloji yığınlarını derinlemesine düşünmeleri ve sürekli olarak değerlendirmeleri çok önemlidir, aksi takdirde yalnızca bütçelerini boşa harcamadıklarını, aynı zamanda çok daha fazlasını riske attıklarını göreceklerdir.
Bazı alanlarda gerideyiz ve daha iyisini yapabiliriz; küresel olarak olabileceğimiz kadar hazırlıklı değiliz. Ancak güçlü siber güvenlik liderliğine ve günümüzün zorluklarını karşılamak için doğru niyetlere sahibiz. Günümüzde saldırılar daha karmaşık, katmanlı ve hedeflidir. Tehdit aktörleri et paketleme tesislerini kapattı, kritik altyapıyı bozdu ve devlet kurumlarını yağmaladı. Artık ulus devlet siber saldırılarının sonuçlarıyla da karşı karşıyayız; su, petrol ve elektrik gibi kamu hizmetleri ile uyduların ve iletişim sistemlerinin olası bozulması. Fiziksel ve siber savunmaya yönelik tehditlerin yanı sıra, kaosa ve kafa karışıklığına neden olmak için tasarlanmış yanlış bilgilendirme kampanyalarının potansiyel saldırıları vardır. Masanın dışında hiçbir şey yok: Saldırganlar bizi en çok yaralayan yere saldıracaklar.
Başkan Biden’ın bütçe önerisi doğru yönde atılmış bir adım, ancak bunun yeterince büyük olup olmadığı ve doların nereye gittiği konusunda tartışmalar devam ediyor. Niyetin sonuçlara yol açtığı yer burasıdır.
Temel bilgilere geri dönmek
Bilgisayar korsanları, ağ ve veri varlıklarına girmek için kaba kuvvet taktiklerine ihtiyaç duymazlar: çalıntı veya güvenliği ihlal edilmiş kimlik bilgileriyle giriş yapabilirler ve sıklıkla yaparlar. Üçüncü taraf yazılımlardaki zayıflıklardan yararlanırlar. Çalışanları bile onlar için kirli işleri yapmaları için kandırıyorlar. Devlet kurumları, haklı olarak bu riskleri azaltmaya, teknoloji karmaşıklığını azaltmaya, daha iyi uyumluluk sağlamaya ve hassas veri ihlallerini önlemek için ne gerekiyorsa yapmaya odaklanmıştır.
Ama bu yeterli değil. Ajanslar öncelikle kendi ortamlarında nelerin yaşadığını anlamalıdır: BT varlıkları nelerdir? Ajansına kaç cihaz bağlanıyor? Kaç sunucu? Ağda ne var? Bulutta ne var? Cihazlarda ve diğer uç noktalarda hangi araçlar yapılandırılır? Araçlar doğru yapılandırılmış mı? Ortamlarındaki her şeyi kesinlikle görebilir ve en güncel verilerle gerçek zamanlı değişiklikler yapabilirler mi?
Varlıkların sayısı veya üzerlerinde çalışan yazılım hakkında bir miktar belirsizlik bile varsa, teknoloji liderleri kapsamlı bir risk değerlendirmesi yapmalıdır. Sahip olduğunuzu bilmediklerinizi korumanın bir yolu yoktur, bu nedenle ekiplerin tüm BT ve güvenlik varlıklarını envanter haline getirmesi ve doğrulaması gerekir.
Bunu akılda tutmak yardımcı olabilir Son zamanlarda ankete katılan kuruluşların yüzde 79’u bulut altyapılarında genişleyen görünürlük boşluklarını rapor ederken, yüzde 75’i son kullanıcı ve IoT cihazlarında aynı sorunu buldu. Federal, eyalet ve yerel kurumlar arasında benzer boşluklar var ve bu da onların varlıklarını yakından tanımalarını zorunlu kılıyor – herhangi bir zamanda üzerlerinde çalışan her yazılım parçası da dahil.
Bir ajansın varlıklarına ilişkin mutlak netliğe sahip olmasının ardından, bir sonraki adım, ister dizüstü bilgisayarlar, PC’ler veya sanal makineler olsun, tüm uç noktalarını önleme öncelikli çözümler kullanarak bulutta güvenceye almaktır. Kurumlar, çoğu özel sektör gibi siber güvenliğe yaklaşırsa, tehditleri tespit etmeye ve bunlara yanıt vermeye veya araçlarla temel eksiklikleri gidermeye odaklanırsa, uç noktalarını veya verilerini güvende tutamazlar. Bir gram önlem, bir kilo tedaviye bedeldir.
Bir ajansın tüm varlıklarını tanımlayıp envanterini çıkardıktan sonraki son adım, sürekli olarak temiz, güvenli bir ortam sağlamaktır – bu, yazılımı güncellemek ve yamaların yüklenmesinden kimin sorumlu olduğuna karar vermek, güvenlik açığı taramalarını çalıştırmak ve belirlemek için bir süreç oluşturmak anlamına gelir. Sorunlar bir kez keşfedildikten sonra nasıl giderilir.
Her gün keşfedilen ortalama 50 yaygın güvenlik açığı ve risk vardır. Yazılım geliştiriciler, kodlarını sürekli olarak güncelliyorlar; bu, yıllık veya hatta üç aylık yama ve güncelleme taramalarının bunu kesmeyeceği anlamına geliyor. Günlük tarama da işi bitirmez çünkü tek bir tarama, her 24 saatte bir ortaya çıkan diğer 49 tanesini gözden kaçırır. Ajanslar, gerçekten korunmaya devam etmek için sürekli olarak kör noktaları araştırmalı ve belirlemelidir.
Uygun kontroller olmadan uyumluluk başarısız olur
Siber hijyenin temellerinde uzmanlaşmak, her alanda dayanıklılığı artırır. Ajanslar, yalnızca uyumluluk standartlarına bağlı kalmanın güvenlik sağladığını düşünme alışkanlığına girdiklerinde siber dayanıklılıklarını kaybederler.
Dayanıklılığı sağlamak için ajanslar[1] uyumluluk standartlarına ek olarak kontroller oluştururken siber hijyen, güvenlik açığı düzeltme eki, kapsamlı varlık yönetimi, kullanıcı eğitimi, e-posta korumaları ve parola alışkanlıklarını iyileştirmeyi içerecektir. yazı olarak– Her ihlalin ölümü, insan hatasının neredeyse her zaman bir rol oynadığını gösterir. Uyum standartları bile insanları denklemden çıkaramaz. Uyum tek başına bir saldırıyı engelleyemiyorsa, bir kurumun güvenlik stratejisi de olamaz.
İyi haber şu ki, tam olarak hangi kontrollerin uygulanacağı konusunda yön arayan ajanslar için açık bir kılavuz var. Ulusal Standartlar ve Teknoloji Enstitüsü’nden (NIST) İç Güvenlik Bakanlığı’nın (DHS) Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) kadar, en iyi uygulamaları, araçları ve bunları bir yola koymak için çerçeveler arayanlar için sayısız ücretsiz kaynak var. başarıya.
Siber güvenlikte başarılı olmak için ekibi çeşitlendirin
Birçok eksikliğimize rağmen, insanlar tehdit aktörlerine karşı savunmada kritik bir bileşen olmaya devam ediyor. Siber ortam geliştikçe, BT ve güvenlik ekipleri de gelişmelidir. Siber güvenlik ekipleri, ortaya çıkan tehditleri karşılamak için yaratıcı problem çözme ve çeşitli fikirler ve taktikler kullanmalıdır. Ne yazık ki, sınırlı bakış açıları, bir ekibin saldırıları hafifletme ve kapsamlı bir şekilde yanıt verme yeteneğinin önünde bir engel oluşturur.
Takımlar, benzerliklerinin ve farklılıklarının gücünden yararlandıklarında daha güçlüdür. Problem çözme, stratejik planlama ve inovasyon, çeşitlilik ve kapsayıcılıktan yararlanır. Daha da önemlisi, çeşitlilik yeniliği yönlendirir. Bilgisayar bilimcisi ve teknolojide kadın konusunda öncü olan Dr. Telle Whitney’in dediği gibi, “Kimin katkıda bulunabileceğini sınırladığımızda, çözebileceğimiz sorunları da sınırlamış oluyoruz.” Şu anda karşı karşıya olduğumuz, inovasyonu boğmak istemiyorsak çözülebilecek ve çözülmesi gereken temel bir zorluğa işaret eden akıllıca sözler.
Cinsiyet çeşitliliğinin karar verme, problem çözme ve işbirliği alanlarında her türden kuruluş için kritik öneme sahip olduğu kanıtlanmıştır. Cinsiyet çeşitliliği olan şirketler yüzde 21 daha olası ortalamanın üzerinde karlılığa sahip olmak ve eşit sayıda erkek ve kadın istihdam eden şirketler, yüzde 41 daha yüksek gelir. Farklı ekipler Yüzde 87 daha iyi karar vericiler bireylerden daha. Araştırmalar, cinsiyet çeşitliliği çabalarının küresel GSYİH’yı 28 trilyon dolar artırmak Eğer küresel işgücü 2025 yılına kadar eşit derecede cinsiyet çeşitliliğine sahip olursa.
Bütçeler, yalnızca arkalarındaki niyetler kadar önemlidir. Cumhuriyetçiler ve demokratlar önümüzdeki aylarda satır öğelerini tartışabilirler, ancak mevcut siber tehdit ortamımızı düşündüğümüzde bu zaman kaybı olur. Kamu sektörünün siber hazırlık durumunu iyileştirmek için doğru araçlar parmaklarımızın ucunda – bu araçların doğru kişilerin eline geçmesi ve başarısız olmamalarını sağlamak için kontrollerin devreye alınması meselesi sadece. Başkan Biden en azından bir noktada haklıydı: “Zamanımızın belirleyici tehditlerinden birini karşılamak için herkesin üzerine düşeni yapması gerekiyor.” Bugünkü uyanıklığımız ve aciliyetimiz, yarınki saldırıları önleyebilir veya en azından şiddetini azaltabilir.
yazar hakkında
Teddra Burgess, Tanium’da Kamu Sektörü Kıdemli Başkan Yardımcısıdır ve yirmi yılı aşkın geniş endüstri uzmanlığına sahip deneyimli bir uzmandır. Kariyeri boyunca Teddra, Kuzeydoğu ve ABD Federal Satış Başkan Yardımcısı olarak görev yaptığı Hewlett Packard, Micro Focus International, CA Technologies, SAI Global ve ASG Technologies dahil olmak üzere birçok yüksek profilli teknoloji şirketinin başarısında etkili olmuştur.
Teknolojide kadın+ ve beyaz olmayan insanları geliştirmenin bir savunucusu olan Teddra, 2019 yılında kadın+ kurucular için sermaye yaratarak melek yatırımcılığın çehresini değiştiren bir kuruluş olan Pipeline Angels’a bağımsız bir yatırımcı olarak katıldı. Cornell Üniversitesi ve Women in Technology, AFCEA, NAACP ve Mocha Moms, Inc dahil olmak üzere çeşitli topluluk ve profesyonel organizasyonlarda aktiftir. Aynı zamanda Delta Sigma Theta Sorority, Inc.’in bir üyesidir.
Teddra’ya E-posta adresinden çevrimiçi olarak ulaşılabilir: [email protected], Twitter: @teddratburgess, LinkedIn: https://www.linkedin.com/in/teddrathomasburgess/ ve şirketimizin web sitesinde http://www.tanium.com/.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.