Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
ABD Siber Savunma Ajansı Güncellenmiş Uygulama Planlarını Kasım Ayında Gözden Geçirmeyi Planlıyor
Chris Riotta (@chrisriotta) •
3 Ekim 2024
Üst düzey bir yetkili Perşembe günü yaptığı açıklamada, ABD’nin en üst düzey siber savunma kurumunun federal hükümet genelinde işbirliği yapma ve kritik son tarih olan Kasım ayına kadar sıfır güven mimarilerinin uygulanması konusunda somut ilerleme sağlama çabalarını hızlandırdığını söyledi.
Ayrıca bakınız: Sağlık Hizmetlerini Güvenceye Almak: Sürekli Değişen Tehdit Ortamında Riski En Aza İndirmek
Yönetim ve Bütçe Ofisi’nin bir muhtırası uyarınca kurumların 30 Eylül’e kadar çevre bazlı savunmalardan uzaklaşmaları gerekiyordu. Örtülü güveni ortadan kaldırmak, kritik varlıkları güvence altına almak ve kullanıcıları ve cihazları sürekli olarak gerçek zamanlı olarak doğrulamak da dahil olmak üzere temel güvenlik hedeflerine nasıl ulaşacaklarını özetleyen güncellenmiş sıfır güven mimarisi uygulama planlarını gelecek ay sunmaları gerekiyor. Yetkililer daha önce ajansların önemli sıfır güven kilometre taşlarına ulaşma yolunda ilerlediğini söylemişti (bkz: Federal CIO, Ajansların Sıfır Güven Kilometre Taşlarına Doğru Yolda Olduğunu Söyledi).
CISA’nın sıfır güven girişimi lideri Brandy Sanchez’e göre, kurumlar güncellenmiş sıfır güven uygulama planlarını sunmaya hazırlanırken Siber Güvenlik ve Altyapı Güvenliği Ajansı, gelecek niteliksel verilerin kapsamlı bir şekilde incelenmesini sağlamak için OMB ve paydaşlarla koordinasyon halinde çalışıyor.
Reston, Virginia’daki İleri Teknoloji Akademik Araştırma Merkezi’nin ev sahipliği yaptığı sıfır güven zirvesinde Sanchez, “Amaç birini bir kutuya koyup sopayla dövmek değil” dedi. “Bu şekilde hiçbir ilerleme kaydedemezsin.”
Sanchez, CISA ve OMB’nin fon açıklarını belirlemek, kritik desteği artırmak ve federal hükümet genelinde sıfır güveni benimsemeye yönelik teknik yardımı güçlendirmek için iki yıldan fazla veriyi (kurumların en son 2022 başlarında sıfır güven uygulama planları sunması gerekiyordu) kullanacağını söyledi. Sanchez, CISA’nın aynı zamanda kurumların sıfır güven çerçevelerinin “etkinliğini nasıl test ettiğini” de değerlendireceğini söyledi; örneğin simüle edilmiş saldırı senaryolarında penetrasyon testi kullanmak ve bilinen siber saldırı tekniklerine karşı savunmayı ölçen MITRE ATT&CK değerlendirmeleri.
Federal CIO Clare Martorana Eylül ayında ajansların hepsinin federal strateji hedeflerine ulaşma yolunda “%90’lık yüksek aralıkta” olduğunu söyledi, ancak daha önce Billington Siber Güvenlik Zirvesi’nde tutarlı fonlamanın sıfır güven çabalarını sürdürmek ve ajansları etkinleştirmek için kritik bir zorluk olduğunu belirtmişti. Değişen bütçe öncelikleri ve kaynak kısıtlamaları karşısında güçlü ZTA’ları uygulamak ve sürdürmek.
Martorana, “Bu, hükümetin uzun yıllar boyunca devam edeceği bir yolculuk” dedi. “Ama gerçek bir ilerleme görebiliyorum.”
Kasım ayında Sanchez, CISA’nın finansman açıklarını değerlendirmek ve ortak hizmetlerden Teknoloji Modernizasyon Fonu’na kadar alternatifleri tartışmak, ayrıca özel sektör kuruluşlarıyla potansiyel ortaklıklar kurmak ve federal ortamda sıfır güven uygulamalarını geliştirmek için yenilikçi teknolojilerden yararlanmak üzere kurumlarla bir araya geleceğini söyledi.
“Buradaki asıl ölçü şu; eğer doğru şeyleri yapıyorsak, doğru önlemleri uygulamaya koyuyorsak, bu siber güvenlik olaylarında ve federal kurum genelinde ciddiyetinde bir azalma görmeye başlayacağız.” Sanchez ekledi.