Dijital Operasyonel Dayanıklılık Yasası (DORA), finansal kurumlar ve BT sağlayıcıları için 2025 yılına kadar güçlü siber risk yönetimi, raporlama, kırmızı ekip oluşturma ve test etme konularını vurgulayan katı AB kuralları belirliyor.
Dijital Operasyonel Dayanıklılık Yasası (DORA), şirketlerin kesintilerle nasıl başa çıkacağına ilişkin bir dizi AB kuralıdır. Her yarım on yılda bir dijital güvenlik gereksinimleri artıyor gibi görünüyor ve AB bu artan taleplerin büyük bir parçası.
Finansal kurumların artık risk yönetimine yeni bir yaklaşım sergilemeleri gerekiyor; yeni çerçevenin başlayacağı Ocak 2025 olacak. Bankaları, sigortacıları, yatırım firmalarını ve diğer finans şirketlerini yönetecek. Üçüncü taraf BT sağlayıcıları da benzer incelemelerle karşı karşıyadır.
Bunun bir sonucu da kırmızı ekip aracılığıyla güvenlik doğrulamanın her zamankinden daha önemli hale gelmesidir. Ancak bu değerlendirmelerin gerçek siber güvenlik tehditlerini nasıl yansıttığına bakmadan önce DORA gerekliliklerine bakalım.
DORA Gereksinimleri
DORA’nın çerçevesi, BT risk yönetiminin bu sütunlara öncülük ettiği beş öğeye ayrılabilir. Kurumların sonuçta siber tehditleri tespit etmek, engellemek ve bunlarla mücadele etmek için net protokollere ihtiyacı var. Güçlü yönetişim elbette isteğe bağlı değildir ve yazılı stratejilerin mevcut olması gerekir.
Hızlı olay raporlama eskisinden daha fazla önem taşıyor. Büyük BT sorunları yetkililere derhal bildirim yapılmasını gerektirir ve finansal kuruluşların tehdit odaklı testlerden geçmesi gerekir. Hizmet sağlayıcılar, kurumun dayanıklılık standartlarına uymaları gerektiği için gözetimden kaçamazlar.
Test protokolleri kapsamlılık gerektirir ve ağların değerlendirmeye ihtiyacı vardır. Güvenlik planlarının gelişebilmesi için güvenlik açıklarının tanımlanması gerekir. DORA sonuçta sürekli dikkatli olunması ve koruyucu önlemlerin geliştirilmesi için baskı yapıyor.
Kırmızı Takım Nedir?
Kırmızı takım oluşturmanın nasıl yardımcı olduğunu anlamak için, ne olduğunu hızlıca gözden geçirelim. Kırmızı ekip oluşturma, uzman profesyonellerin karmaşık saldırı modellerini kopyalayarak temel kontrollerin ötesine geçmesidir. Hatta teknik uzmanlığı sosyal manipülasyonla harmanlıyorlar ve fiziksel güvenlik de bu kapsama giriyor.
Takımlar farklı yetenekleri bir araya getirerek geniş bir beceri karışımını silah haline getirecek. Bazıları ağ penetrasyonuna odaklanırken diğerleri sosyal mühendislikte üstündür. Tehdit analistleri tüm bunları bir araya getiriyor ve beklenmedik senaryolar başlatılıyor. Girişimlerden önce de herhangi bir uyarı verilmediğinden, gerçek meydan okuma koşulları yaratılır.
Kırmızı Takım Oluşturma DORA Gereksinimleriyle Nasıl Uyumludur?
Bu metodoloji, DORA’nın test talepleriyle tam olarak uyum sağlıyor ve operasyonel dayanıklılığı belgelerle değil eylem yoluyla kanıtlıyor.
DORA kapsamında finans firmalarının düzenli saldırı tatbikatları yapması gerekiyor. İlk ikisi dahili olarak yapılmalı, ancak üçüncüsü harici bir kırmızı ekip uzmanı tarafından yapılmalıdır.
DORA ayrıca, müdahale yeteneklerini artırmak için kırmızı takımlar ile savunmacılar (mavi takım) arasında bir işbirliği olan mor takımlaşmayı da zorunlu kılıyor.
Ekipler kritik işlevleri sistematik olarak araştırır ve karmaşık saldırı zincirlerinden yararlanır. Tedarik zinciri zayıflıkları açıkça ortaya çıkıyor.
Sonuç olarak dokümantasyon doğal bir şekilde akıyor ve her saldırı yolu yeni kanıtlar üretiyor. Kuruluşlar, savunmaları güçlendirirken ve olay müdahale prosedürlerini pratik uygulama yoluyla geliştirirken uyumluluk kanıtı elde eder.
Kırmızı Takım Oluşturmanın Faydaları
Kırmızı ekip oluşturma, güvenlik duruşlarının kapsamlı bir değerlendirmesini sağlayarak DORA uyumluluğu arayan finansal firmalara önemli faydalar sağlar. Bu proaktif yaklaşım, normalde geleneksel testlerle tespit edilemeyecek güvenlik açıklarının belirlenmesine ve düzeltilmesine yardımcı olur.
Metodoloji yalnızca DORA için geçerli değildir; bu yeni AB kurallarından çok önce de mevcuttu. Bunun nedeni, olay müdahale prosedürlerini gerçekçi koşullar altında test ederek güçlendirmesidir ve bu metodolojinin geçmişi onlarca yıl öncesine dayanmaktadır.
Kırmızı ekip çalışmaları aynı zamanda güvenlik yatırımlarının etkinliğinin doğrulanmasına ve düzenleyicilere gerekli özenin gösterilmesine de yardımcı olur.
Son Söz
Kırmızı ekip, hayati önem taşıyan DORA uyumluluk desteği sağlar, ancak sonuçta kişinin güvenlik yeteneklerini sıkı testlerle kanıtlar. Dokümantasyon, mevzuat gerekliliklerini doğal olarak karşılıyor ve 2025 yaklaştıkça bu metodoloji giderek daha değerli hale geliyor.
İLGİLİ KONULAR
- 2024 Yılının En İyi Ücretli ve Ücretsiz OSINT Araçları
- Dış Varlıklar için Zafiyet Risk Yönetimi
- Rusya Hackerları BRc4 Kırmızı Takım Penetrasyon Aracını Kötüye Kullanıyor
- Paydaşlara Özel Güvenlik Açığı Kategorizasyonu Nedir?
- MSP’ler için Siber Güvenlik Yönetim Yazılımının Özellikleri