Siber Güvenlik Altyapısı Güvenlik Ajansı (CISA) ve Ulusal Güvenlik Ajansı (NSA) kısa süre önce “Kimlik ve Erişim Yönetimi: Yöneticiler için Önerilen En İyi Uygulamalar” adlı önemli bir yeni belge oluşturmak için işbirliği yaptı. Kalıcı Güvenlik Çerçevesinin (ESF) bir parçası olarak, NIST standartlarına dayalı olarak bugüne kadar CISA tarafından ortaya konan kimlik erişim yönetimi (AIM) ve siber güvenlik kılavuzunun bir damıtılmış halini sunar. Bilgi güvenliği ve risk yönetimi (ISRM) yöneticisi için özel olarak paketlenmiştir ve özel sektöre yöneliktir.
Kritik Altyapıyı Koruma İhtiyacı
Kritik altyapı ve hizmetler genellikle siber saldırılar için birincil hedeflerdir. İster Colonial Pipeline tedarik zinciri saldırısı olsun, ister bir Florida şehrinin su kaynağına girip onu zehirleme girişimi olsun, ister Ukrayna’nın elektrik şebekesini hedef alsın, kamu yaşamı ve güvenliğini toplu olarak kesintiye uğratmaya çalışan kötü niyetli aktörlerin sayısı az değil. Bu saldırılar, yalnızca toplumumuzun bağlı olduğu en hassas bilgileri, süreçleri ve sistemleri değil, aynı zamanda dünya çapında milyonlarca insanın dijital yaşamını güvence altına alma konusundaki inkar edilemez ihtiyacı gösteriyor.
Özel sektördeki en iyi siber güvenlik rehberliğini acilen sağlamlaştırmaya yönelik bu hamle memnuniyetle karşılanıyor. NIST tavsiyelerinin geçmiş özel standartlarda ve yönergelerde nasıl benimsendiğine bağlı olarak, daha geniş düzenleyici endüstrinin bu belgeye fiili bir yürüyen emirler dizisi olarak bakmasını bekleyebiliriz.
ESF Rehberine İlişkin En İyi Çıkarımlar ve Yorumlar
Genel olarak, son ESF kılavuzu, yaygın siber güvenlik terimlerinin tanımlarını eğitmeyi ve sağlamlaştırmayı, mevcut tehditlere ışık tutmayı, önemli terimleri tanımlamayı ve oyun alanında nasıl güvenli kalınacağını özetlemeyi amaçlamaktadır. Öne çıkan bazı önemli alanlar şunlardır:
1 Numara: OT’yi korumayı unutmayın. Kılavuz, BT endüstrisindeki en iyi IAM uygulamalarını standartlaştırma ve normalleştirme çabalarından dolayı geniş çapta övülmektedir. Ancak, enerji, üretim ve operasyonel teknolojiye (OT) odaklanan diğer kuruluşlar için kritik olan bazı alanlarda daha fazla açıklamaya ihtiyaç duyar. Belgede ağ bölümleme, çok faktörlü kimlik doğrulama (MFA) ve kimlik yaşam döngüsü yönetiminden bahsedilirken, yalnızca BT altyapısı perspektifine odaklanma gibi yaygın bir hataya düşüyor.
Bu alanların imalat ve enerji sektörleri merceğinden gözden geçirilmesi gerekiyor. Umut, bu belgenin gelecekteki revizyonlarının, bu sistemleri tehditlerden korumanın ve sorumlu bir şekilde hafifletmenin önemine açıkça değinirken, OT alanının gereksinimlerine ve zorluklarına özel ek ayrıntılar eklemesidir.
2 Numara: OT ağ segmentasyonu daha fazla dikkat gerektiriyor. Ağ segmentasyonundan bahsedilir, ancak yalnızca üstünkörü bir kontrol listesi öğesi olarak. Gelecekteki sürümlerin, ağ tasarımı ve tek yönlü trafik akışlarına olan ihtiyacı ve ekolu syslog ve telemetri raporlaması ile OT alanı için temel kontroller olarak yararlanılacak gerçek ağ izolasyonunu dahil etme konusunu daha da genişlettiğini görmek harika olurdu. Bunlar ve diğer OT’ye özgü tasarım hususları, daha büyük BT uygulamaları tarafından genellikle göz ardı edilir. Kritik altyapımızı gerçekten sağlamlaştırmak için bu araç ve tekniklerin daha sık vurgulanması gerekir.
3 Numara: Kimlik yaşam döngüsü yönetimi programları çok önemlidir. Genellikle “katılanlar, taşınanlar ve ayrılanlar” olarak adlandırılan kimlik yaşam döngüsü yönetimi, daha fazla genişleme ve rehberlik kullanabilen başka bir alandır. Araçlar olgunlaştıkça daha ayrıntılı erişim atanabilir. Pek çok sektörde sıfır güven uygulamalarının benimsenmesiyle, gerçek öznitelik tabanlı erişim kontrolleri yapma yeteneği her geçen gün daha ulaşılabilir hale geliyor. Bu, olgun kimlik yönetimi uygulamalarının yanı sıra, yalnızca kullanıcı dizinlerinin verimli bir şekilde koruyup teslim edebildiği gerekli meta verileri sağlamayı gerektirir.
Paylaşılan hesaplar, özellikle yüksek kimlik bilgilerine sahip olanlar, birçok temel erişim yönetimi denetimini bozar. Ne yazık ki, sistemlerin yaşı veya yapılandırma sınırlaması nedeniyle OT alanında genellikle gereklidirler. Güçlü bir yaşam döngüsü programı sağlamak için, kullanıcıların bu paylaşılan hesaplara erişim elde etmek için yüksek güvence gereksinimlerini karşılayan güçlü kimlik avına dayanıklı kimlik doğrulama yöntemlerine ihtiyacı vardır. Bu, güçlü tanımlama yöntemleri (CISA tarafından önerildiği gibi) – FIDO2/şifre veya PIV/akıllı kart, ödeme özelliğiyle paylaşılan hesap kasası oluşturma – bu hesapların ne zaman teslim alınıp teslim alındığını ve kime.
4 Numara: MFA, bir siber güvenlik programında kritik bir rol oynuyor. MFA, herhangi bir başarılı siber güvenlik programında merkezi bir rol oynar ve en iyi uygulamalar belgesi, sekiz sayfayı yalnızca bu konuya ayırarak doğrular. Genel bir en iyi uygulama, ortak/özel anahtar şifrelemesine (WebAuthn/parola veya akıllı kart/PIV gibi) dayalı modern, güvenli kimlik doğrulamadan yararlanan geçiş anahtarları, güvenlik anahtarları ve akıllı kartlar gibi kimlik avına karşı dayanıklı modern MFA çözümlerini kullanmaktır.
Bunu yapmak, kapılardaki sistemleri korur ve günlükler aracılığıyla davranışları incelerken daha yüksek bir kesinlik düzeyi sağlar. Bu yöntemlerin kimlik avına dayanıklı doğası, saldırganların hem BT hem de OT ağlarında tutunmalarını sağlayan en yaygın saldırıların çoğuna karşı korunmaya yardımcı olacakları anlamına da gelir.
Bu Rehber Siz ve İşletmeniz İçin Ne İfade Ediyor?
Yeni rehberlik, özellikle onu kuruluşunuza nasıl uygulayabileceğinizi merak etmek açısından bunaltıcı olabilir. Sonuç olarak, modern siber tehditler, modern siber güvenlik uygulamalarını zorunlu kılmaktadır. Kritik altyapıyı güvenli ve güvenli bir şekilde korumak için verilerinizi, sistemlerinizi ve tedarik zincirinizi korumak için mümkün olduğunca erken yatırım yapın. Siber güvenliği modernize ederken eski altyapıyı yönetmek zor olabilir, ancak duruşunuzu güçlendirirken sizi bulunduğunuz yerde karşılayan çözümlere stratejik olarak yatırım yaptığınızda, uzun vadede siber tehditlere karşı güvende kalmak için büyük fark yaratır.