Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumların siber güvenlik savunmalarını güçlendirmelerine yardımcı olmak için tasarlanmış önemli bir kaynak olan Güvenilir İnternet Bağlantıları (TIC) 3.0 Güvenlik Yetenekleri Kataloğu’nun (SCC) 3.2 sürümünü yayınladı.
Bu güncellenmiş sürüm, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik Çerçevesi (CSF) Sürüm 2.0’ın en son kılavuzuyla uyumlu olup TIC’nin modern standartları sürdürmesini sağlar.
Yeni sürüm, özellikle kuruluşların bulut tabanlı hizmetleri ve merkezi olmayan altyapıları giderek daha fazla benimsemesi nedeniyle, kuruluşların BT ortamlarını güvence altına alma becerilerini artırıyor.
Güvenlik Yetenekleri Kataloğunun Rolü
TIC 3.0 SCC, federal kurumlar için kapsamlı bir güvenlik kontrolleri, yetenekler ve en iyi uygulamalar seti sunan önemli bir kaynaktır. Kataloğun amacı, kurumlara güvenli ağ ortamlarını uygulama ve siber güvenlik standartlarına uygunluğu sağlama konusunda rehberlik etmektir.
Daha karmaşık bilgi işlem ortamlarına hızlı geçişle birlikte SCC, kurumların bulut, mobil ve şirket içi altyapılar da dahil olmak üzere çeşitli bilgi işlem ortamlarında güvenlik önlemlerini korurken yeni risklere uyum sağlayabilmelerini sağlar.
TIC 3.0 SCC’nin 3.2 sürümü, NIST Siber Güvenlik Çerçevesi’nin (CSF) en son güncellemelerini entegre ederek önceki sürümlere dayanmaktadır. BOS, wyapılandırılmış bir yaklaşım sağlarSiber güvenlik risklerini yönetmeye yönelik ch, Yönet, Tanımla, Koru, Tespit Et, Yanıt Ver ve Kurtar’ın temel işlevlerine dayanmaktadır. Bu işlevler kuruluşların risk yönetimi stratejileri için hayati öneme sahiptir ve artık güncellenen kataloğun güvenlik yeteneklerine yansıtılarak TIC’nin siber güvenlik risklerini yönetme, olayları tespit etme ve tehditlere yanıt verme konularında en iyi uygulamalarla uyumlu olmasını sağlar.
TIC 3.0’ın Temel Güvenlik Hedefleri
TIC 3.0 programı, özellikle bulut ve mobil hizmetlerin kullanımının artmasıyla birlikte federal veriler çeşitli güven bölgelerinden geçerken riskleri azaltmayı amaçlayan belirli güvenlik hedeflerinin ana hatlarını çiziyor. Bu hedefler, verinin konumuna veya aktarım yöntemine bakılmaksızın ölçeklenebilir ve tutarlı koruma sağlamak üzere tasarlanmıştır.
Güncellenen Güvenlik Yetenekleri Kataloğu, kurumların bu hedefleri uygulamasına yardımcı olarak federal verilerin güvenli yönetimini sağlar. Temel hedeflerden biri, veri bağlantılarının yetkili etkinliklerle uyumlu olmasını sağlamak için filtrelemeye, hassas verilere erişimi kısıtlamak için en az ayrıcalık ve varsayılan reddetme politikalarını uygulamaya odaklanan Trafiği Yönetme’dir.
Bir diğer önemli hedef ise, yetkisiz erişimi önlemek için iletişim kanallarını güvence altına alarak hassas verilerin aktarım sırasında gizli kalmasını sağlayarak Trafik Gizliliğini Korumaktır. Trafiğin Bütünlüğünü Koruyun, aktarılan verilerin değişmeden kalmasını sağlamayı ve verileri siber suçluların müdahalesine karşı korumayı amaçlamaktadır.
Son olarak, Etkili Müdahalenin Sağlanması hedefi, siber güvenlik olayları sırasında hasarı azaltmak ve çevrimiçi tehditlere karşı güvenlik politikalarını uyarlamak için zamanında eyleme geçme ihtiyacını vurguluyor.
Evrensel ve PEP Güvenlik Yetenekleri
Güncellenen SCC, güvenlik yeteneklerini iki ana kategoriye ayırır: Evrensel Güvenlik Yetenekleri ve PEP (Politika Uygulama Noktası) Güvenlik Yetenekleri. Her iki kategori de federal kurumların ağlarını güvence altına almalarına ve etkili risk yönetimi önlemlerini uygulamalarına yardımcı olmak için gereklidir.
Evrensel Güvenlik Yetenekleri
Evrensel güvenlik yetenekleri, özel kullanım durumlarına bakılmaksızın tüm federal kurumlar için geçerli olan ve kurumsal düzeydeki riskleri ele almak için geniş siber güvenlik önlemlerini uygulamalarına yardımcı olan üst düzey ilkelerdir. Katalogdaki temel evrensel yetenekler arasında, verilerin ve yapılandırmaların yedeklenmesini ve bir olay, arıza veya bozulma durumunda geri yüklenebilmesini sağlayan Yedekleme ve Kurtarma yer alır.
Analiz ile Merkezi Günlük Yönetimi, tehdit tespitini ve adli analizleri desteklemek için güvenlik günlüklerini toplayan, saklayan ve analiz eden bir başka kritik özelliktir. Olay Müdahale Planlaması ve Ele Alma, kurumların siber güvenlik olaylarına hazırlanmalarına ve müdahale etmelerine yardımcı olarak hızlı kurtarma ve tespit önlemlerinin alınmasını sağlar.
En Az Ayrıcalık ilkesi, gerekli minimum kaynaklara erişimi sınırlayarak potansiyel tehditlere maruz kalma oranını azaltırken Yama Yönetimi, bilinen istismarlardan kaynaklanan güvenlik açıklarını azaltmak için sistemlerin yamalarla düzenli olarak güncellenmesini sağlar.
PEP Güvenlik Yetenekleri
PEP güvenlik yetenekleri, daha ayrıntılı olan ve bir kurumun özel ihtiyaçlarına göre uyarlanabilen teknik uygulamalara odaklanır. Bu yetenekler doğrudan TIC 3.0 güvenlik hedeflerini destekler ve Sıfır Güven gibi yeni ortaya çıkan siber güvenlik mimarileriyle uyumludur.
Temel örnekler arasında, ağın bütünlüğünü tehlikeye atabilecek kötü amaçlı kodları tespit edip karantinaya alan Kötü Amaçlı Yazılımdan Koruma ve siber tehditlerin yayılmasını sınırlamak için ağları daha küçük, yalıtılmış bölümlere ayıran Ağ Segmentasyonu yer alır. Çok Faktörlü Kimlik Doğrulama (MFA), ekstra bir kimlik doğrulama katmanı ekleyerek yalnızca yetkili kullanıcıların hassas bilgilere erişmesini sağlar.
Bu yetenekler, kurumların bulut, e-posta ve ağ güvenliği çözümleri de dahil olmak üzere çeşitli ortamlarda hedeflenen güvenlik önlemlerini uygulamalarına yardımcı olmak için gereklidir.