Net güvenlik röportajında bu yardımda, Nightwing’de Ciso Dylan Owen, etkili bir savunma oluşturmak için gerçekten ne gerektiğini anlatıyor: doğru çerçeveleri seçmek, süreçleri ayarlamak ve herkesi aynı sayfada almak. Hem askeri hem de özel sektör deneyiminden yararlanan Owen, hazırlık, iletişim ve sürekli ayarlamanın daha proaktif bir güvenlik yaklaşımı oluşturmanın anahtarı olduğunu açıklıyor.
Etkili siber savunma operasyonları için hangi özel çerçeveler, süreçler veya organizasyonel uyumlar gerektiğine inanıyorsunuz?
Siber savunma operasyonlarınızı oluştururken çerçeveleri, süreçleri ve organizasyonel uyumun belirlenmesi için dikkate alınması gereken birkaç şey olduğunu düşünüyorum. Çerçeve perspektifinden bakıldığında, düşünülmesi gereken ilk şey, eğer varsa, şirketimin yapması gereken çerçeve. Kuruluşunuz finans, sağlık veya savunma gibi düzenlenmiş bir sektörde ise, CMMC veya Hitrust gibi gerekli çerçeveler vardır. Kredi kartı işlemlerini çevrimiçi olarak işliyorsanız, PCI/DSS standartlarını takip etmeniz gerekir. Nightwing için, bir DOD yüklenicisi olarak, çerçevelerimiz olarak CMMC, NIST CSF ve ISO 27001’in bir kombinasyonunu kullanıyoruz. Düzenlenmiş bir sektörde değilseniz, NIST CSF, ISO27001’i seçebilir veya kuruluşunuz için en uygun ve uygulanabilecek ve izlenebilen kontrolleri karıştırabilir ve eşleştirebilirsiniz.
Süreç açısından bakıldığında, bir kuruluşta uygulanacak dört temel süreç vardır:
- Risk Değerlendirmesi ve Yönetimi – Güvenlik açıklarını ve tehditleri keşfetmek için periyodik değerlendirmeler yapmanız ve belirlenen riskleri önceliklendirmenin ve düzeltmenin bir yoluna sahip olmanız gerekir.
- Olay Yanıtı – Bir siber olaydan korunabilmek, tespit edebilmek, yanıtlamak ve kurtarmak için bir plana ihtiyacınız var. İster kimlik avı, fidye yazılımı veya bir ulus devlet aktörü olsun, hazırlık kritiktir. Ayrıca, risk değerlendirmesinin bir parçası olarak tanımlanan belirli tehditlere nasıl yanıt vereceğinizi de bilmeniz gerekir.
- Güvenlik duruşunuzun sürekli izlenmesi ve iyileştirilmesi – Hala tanımladığınız bir riskten koruduğunuzu ve hafifletmek için kontrolleri yerine getirdiğinizi nasıl anlarsınız? BT ve siber dünyada işler hızla değişir, böylece kuruluşunuzun güvenlik duruşunu sürekli olarak izleyebilmeniz ve yeni tehditler ve boşluklar keşfedildiğinde bu duruşu iyileştirmek kritiktir.
- Güvenlik bilinci ve eğitim -Eğitim çalışanları, uzun vadede temettü ödeyecek ilk güvenlik kültürü uygulamanın anahtarıdır.
Organizasyonel olarak, gümüş mermi yoktur. Her kuruluş farklı çalışıyor, ancak siber savunma sağlamaya yardımcı olan birkaç prensip var:
- Örgütsel uyum -Yönetim kurulu, C-suite, iş liderleri ve fonksiyonel alandan alım aldığınızda, siber güvenliğin sadece bir BT perspektifinden değil, aynı zamanda iş perspektifinden de önemli olduğuna, etkili olmak çok daha kolaydır çünkü herkes aynı yönde ilerler.
- Tanımlanmış roller ve sorumluluklar – İşlerin sobapipten çıkmamasını ve gelecekte sorunlara neden olmasını sağlamak için neyin önemli olduğunu kimin sorumlu olduğunu bilmek.
- İşbirliği ve İletişim – Siber ekip ve BT, işlevsel ve iş liderleri arasındaki sürekli iletişim ve bir kuruluşun üst düzey liderliği, yanlış anlamaları önlemek ve uyum sağlamak için kritik öneme sahiptir.
Proaktif savunma genellikle söylenenden daha kolaydır. Güvenlik ekipleri reaktif güvenlikten daha proaktif bir duruşa geçmek için hangi pratik adımlar atabilir?
Ben ordudayken bir sözleri vardı: “Hazırlık kötü performansı önler.” Bunun siber güvenlik ve daha proaktif hale gelmeye çok iyi uygulandığına inanıyorum. Hazırlık birçok şey anlamına gelebilir, ancak siberde gerçekten yararlı olduğu birkaç alan vardır.
Başlamak için iyi bir yer, NIST’in olay müdahale rehberinden ‘tanım’ aşamasıdır. Tüm risklerinizi, güvenlik açıklarınızı ve varlıklarınızı tanımlamanız gerekir. Onlara öncelik verin ve ardından bu varlıklara karşı tehditleri korumanın ve tespit etmenin en iyi yolunu belirleyin. Varlıklar sadece dizüstü bilgisayarlar ve telefonlar gibi fiziksel şeyleri değil, aynı zamanda bir bulut servis sağlayıcısında, SaaS uygulamalarında ve alan adları gibi dijital öğeleri de içerir. Bu varlıklar için tehditleri, riskleri ve güvenlik açıklarını belirleyin. Onlara öncelik verin ve kuruluşunuzun onları nasıl koruyacağını ve izleyeceğini belirleyin. Çoğu kuruluşun gerçekte neye sahip oldukları hakkında çok iyi bir fikri yoktur, bu yüzden reaktif olma eğilimindedirler ve kendileri için geçerli olmayan eylemlerde zaman harcarlar.
Bir güvenlik analistine yakın zamanda açıklanan bir sıfır günün şirketi etkileyip etkilemediğine ne sıklıkla soruldu? Taramaları gerçekleştirir ve yalnızca bu yazılım parçasını veya donanımı çalıştırmadıklarını keşfetmek için verileri manuel olarak çekerler. Neye sahip olduğunuzu ve risk ve güvenlik açıklarının ne olduğunu bilerek, bu tür soruları liderlikten cevaplamak çok daha kolay ve daha hızlı hale gelir. Bu içgörü seviyesine ulaşmaya yönelik çok fazla iş var, ancak daha proaktif olma çabasına değer.
İster insanlar, teknoloji veya organizasyonel satın alma ile ilgili, savunma stratejilerini eyleme geçirirken karşılaştığınız en önemli engeller nelerdir? Bu ağrı noktalarını nasıl ele alıyorsunuz?
Nightwing’de birçok engelle uğraşmak zorunda kalmadım. Ulusal güvenlik endüstrisinde olmak, çalışanlarımız ve liderliğimiz kendi verilerimizi ve müşterilerimizi korumak için yüksek bir yükümüz olduğunu anlıyor. Bazen zorlaşan şey, neden birinin daha önce kullandığı bir süreci değiştiren bir kontrol uyguladığımızı açıklamaktır. Genel olarak değişim kuruluşlar için zordur ve bir çalışanın bir şey yapma şeklini değiştirdiğinizde veya kullanıcı deneyimlerini değiştirdiğinizde iletişim ve testler gerçekten önemlidir.
İnsanlar çok fark edilmezse veya yeni süreç veya deneyimin ne getireceği konusundaki endişelerini proaktif olarak ele alabiliyorsanız değişimi kabul etme eğilimindedir. Proaktif planlama ve iletişim yoluyla, ister eğitim veya ön test yoluyla olabildiğince çok endişeyi ortadan kaldırabilir ve hizmet merkezinizi bilinen sorunları ele alacak şekilde hazırlayabilirsiniz. Asla tüm endişelerden ve zorluklardan kurtulmayacaksınız, ancak sadece birkaç tanesi (birçok kişiye karşı) endişelenmek çok daha kolay bir dağdır.
Konsolidasyon, otomasyon veya yapay zeka gürültüyü yönetmenize yardımcı olmakta nasıl bir rol oynuyor?
Bence otomasyon muhtemelen her zaman daha fazlasını yapabileceğimiz tek şeydir ve gürültünün yönetilmesine yardımcı olmak çok önemlidir. Bir CISO olarak bile, kişisel olarak uğraşmadığımı bildiğim farklı sistemlerden çok sayıda uyarı ve e -posta alabilirim, ancak ekibim. Hızlı bir şekilde ele alındığından emin olmak için otomasyonu kullanmak, yanmayı önlemeye yardımcı olmak için gerçekten önemlidir ve bir şeyin gelen kutuma çarptığını görmek için bir tür Pavlovian tepkisi. Ekibimin daha manuel bir süreç veya ekstra dikkat gerektiren şeylere odaklanabilmesi için yanıtları veya görevleri otomatikleştirmek için tüm fırsatları gördüğümüzden emin olmak için kontrol etme eğilimindeyim. AI, otomasyona yardımcı olmak için de bir kısmı oynar.
Kırmızı takım veya rakip emülasyon egzersizlerine nasıl yaklaşıyorsunuz? Bu alıştırmalar savunma oyun kitaplarınızı nasıl bilgilendiriyor? Saldırgan test ve savunma gelişimi arasında bir geri bildirim döngüsü var mı?
Kırmızı ekip veya düşman emülasyon egzersizlerinin, teknoloji kapsamındaki boşlukları, süreç arızalarını ve dahili ekibiniz tarafından tanımlanmamış diğer güvenlik açıklarını belirlemeye yardımcı olmak için çok değerli olduğuna inanıyorum. Bu nişanlardan birini yaptığınızda, bulguları gözden geçirdiğinizde ve kuruluşunuzun güvenlik duruşunu iyileştirme ışığında yapıldığı belirlenen sorunları düzeltmeye çalıştığınızda, insanları ilk etapta yakalamadığı için suçlamakla ilgili değil.
Birçok kuruluş, bir eksiklik için birisini veya grubu suçlamak ve hatta içsel bir siyasi nokta puanlamak için kırmızı bir ekip egzersizi kullanır. Bu asla kimse için iyi bitmeyecek. Oyunun adı güvenlik duruşunuzda gelişmedir ve bunlar zayıflık alanlarını tanımlamaya yardımcı olur. Hemen veya belki de düzeltilmeyen şeyler olabilir, ancak boşluğun var olduğunu bilmek kritik ilk adımdır. Saldırgan ekip ve savunma ekibi arasında bu geri bildirim döngüsüne sahip olmak son derece önemlidir. Onsuz, neden kırmızı takım nişanını yapacağınızı bilmiyorum. Her zaman bunun katılımın bir parçası olması konusunda ısrar ediyorum. Nightwing’in kırmızı takım alanında çok fazla deneyime sahip olduğum için şanslı bir konumdayım ve iç ekibimiz için bu deneyim ve bilgiye değinebiliyorum. Bu düşman bakış açısından ulus devlet düzeyinde tam bir düşmanlık öykünmesine kadar bir mimari incelemesi kadar temel şeyler güvenlik programımızın paha biçilmez bir parçasıdır.