Onlarca yıldır CIS Kritik Güvenlik Kontrolleri (CIS Kontrolleri), yaygın siber tehditlere karşı savunmaya yönelik öncelikli güvenlik önlemlerini belirleyerek işletmelerin siber güvenlik duruşlarını güçlendirme çabalarını basitleştirdi.
Bu yazımızda güncel versiyona daha yakından bakmadan önce CIS Kontrollerinin hikayesini inceleyeceğiz.
BDT Kontrollerinin kısa tarihi
İlk günler
Bunlar, ilk olarak 2008 yılında, ekosistemin her parçasından oluşturmak, benimsemek ve desteklemek için bir araya gelen şirketleri, devlet kurumlarını, kurumları ve bireyleri bir araya getiren uluslararası bir taban konsorsiyumu tarafından SANS Kritik Güvenlik Kontrolleri (SANS Top 20) olarak tanıtıldı. Kontroller. 2015 yılında Center for Internet Security, Inc. (CIS), Versiyon 6 ile CIS Kontrollerinin mülkiyetini resmi olarak aldı. CIS Kontrollerinin arkasındaki fikir, kuruluşlara siber savunma yeteneklerini anlamlı bir şekilde geliştirmek için uygulanabilir rehberlik sağlamaktı.
Zamanla gelişen siber tehditlere ve kurumsal ihtiyaçlara ayak uydurmak için çeşitli güncellemeler getirildi. CIS Kontrolleri fikir birliğine dayalı bir süreç aracılığıyla güncellenir ve gözden geçirilir. Hükümetten, endüstriden ve akademiden uygulayıcıların her biri, çeşitli bakış açılarından (örneğin, güvenlik açığı, tehdit, savunma teknolojisi, araç satıcıları, kurumsal yönetim) derin teknik anlayış getiriyor ve saldırıları durdurmak için gereken en etkili teknik güvenlik kontrollerini belirlemek için bilgilerini bir araya getiriyor gözlemliyorlar.
Sürüm 7.1: Önceliklendirmeye odaklanma
CIS Kontrollerindeki en büyük değişikliklerden biri, Sürüm 7.1’de CIS’in, CIS Kontrollerini önceliklendirmenin yeni bir yolu olarak Uygulama Grupları (IG’ler) – IG1, IG2 ve IG3 – kavramını tanıtmasıyla gerçekleşti. Bu IG’ler, farklı büyüklükteki işletmelerin kıt güvenlik kaynaklarına odaklanmaları için basit ve erişilebilir bir yol sağlarken aynı zamanda CIS Kontrolleri programının, topluluğun ve tamamlayıcı araçların ve çalışma yardımcılarının değerinden yararlanmaya devam etmelerini sağlar.
Sürüm 8: 18 yeni 20’dir
Mayıs 2021’de CIS, siber güvenliğe yönelik önceki modele göre daha basit ve daha odaklı bir yaklaşım sunan Kontrollerin 8. Versiyonunu tanıttı. Sürüm 8, CIS Kontrollerini, cihazları kimin yönettiğinden ziyade faaliyetlere göre birleştirdi ve birleştirdi, Kontrol sayısını 20’den 18’e düşürdü ve (Alt Kontroller yerine) CIS Korumalarını tanıttı. Bu önemli değişiklik, kuruluşların güvenlik önlemlerini etkili bir şekilde strateji oluşturmasını ve uygulamasını kolaylaştırdı. Sürüm 8 ayrıca yaklaşımını cihaz merkezli savunma stratejilerinden, genel ve özel bulutların yanı sıra şirket içi sistemler de dahil olmak üzere, konumundan bağımsız olarak verileri korumayı amaçlayan veri merkezli stratejilere kaydırdı. Bu sürüm aynı zamanda IG1’i resmi olarak tüm işletmeler için temel siber hijyen, başlangıç noktası ve minimum bilgi güvenliği standardı olarak tanımladı.
Sürüm 8.1: Yönetişim ve uyumluluk
Üç yıl ileri sararak Controls v8.1’in Haziran 2024’te piyasaya sürülmesini bekliyoruz. Bu yeni yinelemeli güncelleme, operasyonları daha da kolaylaştırmayı ve bağlamı, bir arada yaşamayı ve tutarlılığı geliştirmeyi amaçlıyor.
CIS Kritik Güvenlik Kontrollerinin güncel sürümü
CIS Kontrolleri v8.1, Sürüm 8’in yinelenen bir güncellemesidir. CIS Kontrollerini geliştirme sürecimizin bir parçası olarak, belgeye yapılacak her türlü küçük veya büyük güncellemede bize yol gösterecek “tasarım ilkeleri” oluşturuyoruz. Bu revizyon için tasarım ilkelerimiz bağlam, açıklık ve tutarlılıktır. Bağlam, belirli örnekler ve ek açıklamalar ekleyerek BDT Koruma Tedbirlerinin kapsamını ve pratik uygulanabilirliğini geliştirir. Clarity, CIS Kontrollerinin benzersiz özelliklerini korurken, pratik olduğu ölçüde diğer önemli güvenlik çerçeveleriyle uyumludur. Tutarlılık, mevcut CIS Kontrolleri kullanıcıları için sürekliliği korur ve bu güncelleme nedeniyle çok az değişiklik yapılmasını veya hiç değişiklik yapılmamasını sağlar.
Her tasarım ilkesi için yaptığımız geniş kapsamlı değişiklikler şunlardır:
Bağlam
Her bir CIS Korumasının geçerli olduğu bir kuruluşun altyapısının belirli bölümleriyle daha iyi eşleştirmek için CIS Kontrollerini yeni varlık sınıflarıyla güncelledik. Yeni sınıflar yeni tanımlar gerektirir; bu nedenle daha fazla ayrıntı, pratiklik ve netlik sağlamak amacıyla çeşitli CIS Koruma Önlemlerinin açıklamalarını da geliştirdik.
Birlikte yaşama
CIS Kontrolleri her zaman gelişen endüstri standartlarına ve çerçevelerine uyum sağlamıştır ve bunu yapmaya devam edecektir. Bu, Kontrollerin işleyişinin temel ilkesidir; Kontrollerin tüm kullanıcılarına yardımcı olur. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik Çerçevesi (CSF) 2.0’ın piyasaya sürülmesi, güncellenmiş eşlemeleri ve güncellenmiş güvenlik işlevlerini gerektirdi.
Tutarlılık
Geleneksel olarak, CIS Kontrollerinde yapılan herhangi bir yinelemeli güncelleme, Kontrol kullanıcılarındaki kesintiyi en aza indirmelidir. Bu, bu güncellemede hiçbir IG’nin değiştirilmediği ve herhangi bir CIS Korumasının ruhunun aynı kaldığı anlamına gelir. Ayrıca yeni varlık sınıflarının ve tanımlarının Kontroller genelinde tutarlı bir şekilde uygulanması gerekiyordu ve bunu yaparken bazı küçük güncellemeler de eklendi.
Bu ilkeleri göz önünde bulundurarak, CIS Kontrolleri v8.1’in kapsamını aşağıdaki güncellemelerle genişlettik:
- NIST CSF güvenlik işlevi eşlemeleri, NIST CSF 2.0 ile eşleşecek şekilde yeniden düzenlendi
- Kontroller boyunca kullanılan ayrılmış kelimeler için yeni ve genişletilmiş sözlük tanımları eklendi (örn. plan, süreç, hassas veriler)
- CIS Koruma Önlemlerine yönelik yeni eşlemelerin yanı sıra revize edilen varlık sınıfları
- CIS Safeguard açıklamalarındaki küçük yazım hataları düzeltildi
- Birkaç anemik CIS Safeguard açıklamasına açıklama eklendi
Ayrıca “Yönetişim” güvenlik işlevini de ekledik. Kuruluşlar, etkili yönetişimin sağladığı yapı olmadan siber güvenlik programlarını hedeflerine ulaşmaya yönlendiremez. CIS Controls v8.1, yönetim konularını, kuruluşların siber güvenlik programlarının yönetişimini geliştirmek için uygulayabilecekleri öneriler olarak özel olarak tanımlar.
CIS Kontrolleri kurumsal güvenliği tasarlama, uygulama, ölçme ve yönetme sürecini kolaylaştırmayı amaçlamaktadır. Bu, tekrarları azaltmak için dilin basitleştirilmesini, tanımlanmış ölçümlerle ölçülebilir eylemlere odaklanmayı ve her CIS Korumasının açık ve özlü olmasını sağlamayı içerir. CIS, aşırı karmaşık veya erişilemeyen teknolojilerden uzak dururken, mevcut siber güvenlik zorluklarını ele alma ihtiyacını dengelemeye ve istikrarlı, temel bir siber savunma stratejisini sürdürmeye devam ediyor. Teknoloji sürekli değişiyor ve CIS Kontrol ekibi yapay zeka, artırılmış gerçeklik ve ortam bilişimindeki kurumsal altyapımızı incelikli ve radikal yollarla yeniden şekillendirmeye çalışan gelişmelerin farkında. Her iki gözümüzü de açık tutuyoruz ve halihazırda CIS Kontrollerinin 9. Versiyonu için fikirler üzerinde çalışıyoruz.
BDT Kontrolleri ekosistemi
CIS Kontrolleri gelecek sürümlere güncellenirken kaynaklarımızı ve araçlarımızı da paralel olarak güncel tutuyoruz. Aşağıda şu ana kadar güncellediklerimizin bir listesi bulunmaktadır ve ilerledikçe daha fazlası da gelecektir. Web sitemizdeki diğer kaynakların yanı sıra bu kaynaklara da göz atmayı unutmayın.
Sürüm 8.1 Sürümleri
Kılavuzlar
Eşlemeler
Araç güncellemeleri
Siber güvenlik tek seferlik bir çaba değildir; devam eden bir uyum ve iyileştirme sürecidir. Kuruluşunuzu CIS Controls v8.1’e güncellemek yalnızca mevcut zorlukların üstesinden gelmeye yardımcı olmakla kalmayacak, aynı zamanda siber güvenlik stratejilerinizde gelecekte yapılacak yükseltmeler için sağlam bir temel oluşturacaktır.
CIS Kontrolleri V8.1’i İndirin