YORUM
Temmuz ayında sektör, yakın tarihin en büyük teknoloji kesintilerinden birine tanık oldu. 5,4 milyar dolar zarar. CrowdStrike, istisna işleme mantık hatasıyla bir Hızlı Yanıt İçerik Kanalı Güncellemesi dağıttığında, otomatik güncellemeler hakkında yapıcı konuşmaların kapısını açtı: ne zaman kullanılmalı, ne zaman kullanılmamalı, ne zaman kullanılmamalı, bizi az mı çok mu güvende kılıyorlar. Düşünmenin ve sormanın zamanı geldi: Durmaksızın yenilik, yazılım geçerliliği ve pazara sunma hızı arayışımızın maliyeti nedir? CIA üçlüsünde dengeyi yeniden kurmak için öncelikleri nasıl yeniden belirleyebiliriz?
BT ve güvenlik ekipleri tehditlerin önünde kalma konusunda büyük bir baskı altındadır. Ancak takımların hız uğruna doğru kontrol ve dengelerden ödün vermemesi gerekiyor. CrowdStrike olayı, sektöre en güvenli ve güvenilir sistemlerin bile başarısız olabileceğini ve ekiplerin kritik güncellemeleri nasıl test edip dağıttığını yeniden gözden geçirmenin zamanının geldiğini hatırlatıyor.
CIA Üçlüsü: Önceliklerin Yeniden Dengelenmesi
CIA üçlüsü Teknoloji platformlarının Gizliliğini (güvenlik), Bütünlüğünü (doğruluk) ve Kullanılabilirliğini temsil eden siber güvenliğin temel dayanağıdır. Siber güvenlik topluluğu (hem satıcılar hem de müşteriler) çok uzun süredir bu üçlüdeki C’ye odaklanmıştı. Ancak CIA üçlüsünün siber güvenlik programının tüm kapsamını temsil etmesi gerekiyor. Gizlilik ve veri güvenliğine odaklanan sektör, güvenliği gereğinden fazla vurguladı ve bunu yaparak denklemi hızlandırdı. Ekipler artık ortaya çıkan tehditlere ve günlük saldırılara karşı bir adım önde olmak için daha hızlı yanıt veriyor ve güncellemeleri daha hızlı dağıtıyor; ancak bu, hatalara ve uygunsuz testlere yol açıyor.
Bu arada, I ve A ikincil statüye düşürüldü, hatta diğer teknoloji ekiplerine dış kaynak olarak verildi. Bütünlük (ekosistemin ve temel verilerin doğruluğu, eksiksizliği ve tutarlılığı) hız adına tehlikeye atıldı. Odak noktasının çalışma süresi ve güvenilirliği sağlamak yerine hızlı iyileşmeye kayması nedeniyle erişilebilirlik de zarar gördü; tüm bunlar hızlı yenilik ve algılanan tehditlere yanıt verme adına yapıldı.
CrowdStrike etkinliği bize bir şey öğrettiyse, o da artık hem satıcıların hem de müşterilerin, CIA üçlüsünün üç temel direğinin de yeniden dengelenmesinin ayrılmaz öneminin ve temel ihtiyacının farkına varmaya kendilerini yeniden adamalarının zamanı olduğudur. Ekipler bunu yaparak daha dayanıklı sistemler oluşturabilir.
Yazılımdan Kritik Altyapıya Geçiş
Liderlerin, CIA üçlüsüne özgü temel kontrol ve denge sistemlerini başarmak için üç önemli değişiklik yapması gerekiyor.
1. Şeffaflık: Satıcılar, ürün güncellemeleri konusunda daha şeffaf olmalı ve müşterilere güncellemelerin nasıl uygulanacağı konusunda daha fazla kontrol sağlamalıdır. Müşteriler, politika gereği manuel olarak güncelleme yapabilmeli, güncellemeleri aşamalı olarak dağıtabilmeli ve önceki kararlı sürümde kalabilmelidir.
CrowdStrike olayında karmaşık güncelleme kesintiye neden oldu. Ekip ilk olarak Şubat ayında bir yapılandırma dosyası dağıttı. Daha sonra Temmuz ayında bir Hızlı Yanıt İçerik Güncellemesi uygulamaya koydu. Bu güncellemenin bir parçası olarak, önceki konfigürasyon dosyasını kullanan bir konfigürasyon içeriği doğrulayıcısı güncellemeyi uygulamaya çalıştı ancak istisna işleme rutinlerindeki “mantık hatası” nedeniyle kademeli güncelleme, kötü şöhretli “mavi ölüm ekranı” ile sonuçlandı. birçok Windows sunucusu ve iş istasyonu için. Bu kanal güncellemeleri genellikle tamamı aynı anda gerçekleşen bir dizi aşamalı güncellemedir. CrowdStrike müşterilerinden kaçı güncelleme stratejisindeki bu nüansı anladı? Belli değil ama güncelleme üzerinde sınırlı kontrolleri vardı ve işletmenin tamamını etkilemeden önce sertifikalandırılıp test edilebilmesi için güncellemeyi gerçekleştiremediler.
2. Satıcı testini yeniden değerlendirin: CrowdStrike gibi platformlar, kritik altyapının temel bir bileşeni haline geldi. Güvenlik satıcıları güvenliği artırmak için sık sık otomatik güncellemeler uygular, ancak bu aynı zamanda “güven ama doğrula; çalıştırmadan önce yürü; test test test” döngülerini hızlandırmak anlamına da gelebilir. Hız önemli olsa da bu olay, ekipleri güncellemeleri nasıl dağıtacaklarını, bütünlüğü ve kullanılabilirliği nasıl sağlayacaklarını ve iş esnekliğini nasıl koruyacaklarını daha yakından incelemeye zorlayacaktır.
BT ve güvenlik ekipleri, satıcı testlerine ve otomatik güncellemelere olan aşırı güveni yeniden değerlendirmelidir. Küçük ekipler bile önemli bir yüke katlanmadan ne zaman güncelleme yapacaklarını seçme esnekliğine sahip olabilir. Güncelleme otomatiktir ancak güncellemenin yapılacağı zaman ve yer seçilebilir. Liderler, güncellemenin geçerliliğini ve kararlılığını doğrulamak ve değerlendirmek için hazırlama ve test ortamlarını kullanarak kademeli güncellemeleri uygulamayı düşünmelidir. Güncelleme nedeniyle bütünlüğün ve kullanılabilirliğin tehlikeye girmeyeceğinden emin olmak için daha fazla yetenek sağlamak için beklemeye karşı şimdi güncellemenin değerine daha fazla güven ve önem verilmelidir.
3. Test ortamlarını iyileştirin: Şirketler, siber güvenlik ekiplerinin, güvenlik güncellemelerini ve uygulamalarını sertifikalandırmak ve test etmek için yeterli test ortamlarına sahip olmasını sağlamalıdır. BT ve geliştirme ekiplerine gösterilen özenin aynısı siber güvenliğe de uygulanmalıdır.
Güvenlik artık bir yazılım değil; kritik altyapının temel bir bileşenidir. CrowdStrike etkinliğinde görüldüğü gibi bankalar, toplu taşımaimalat ve finans piyasalarının tümü, güvenlik ekosistemindeki bir başarısızlık nedeniyle mahvolabilir. Sektör, çözümlerin birkaç tedarikçiye yakınlaştığını görmeye devam ettikçe, bu platformları daha dayanıklı hale getirmek önemlidir.
Siber güvenlik becerimizin gerçek ölçüsü, dayanma kapasitemizde yatmaktadır. Ekipler, geçmişte bize iyi hizmet eden kanıtlanmış değişim yönetimi modellerini benimsemeli, aynı zamanda yeni teknoloji ve yeni potansiyel tehditlere uyum sağlayacak şekilde gelişmeli ve kapsamlarını genişletmelidir. Satıcılar, çözümlerimizi ve güncellemelerimizi nasıl ve neden dağıtacakları konusunda müşterilere daha fazla kontrol ve esneklik sağlamalıdır. Teknoloji ve güvenlik uygulayıcıları da bu anı, öncelikleri yeniden düşünmek ve güvenlik araçlarımızı güçlendiren güvenlik, bütünlük ve kullanılabilirlik faktörlerini dengeleme ve dengeleme konusunda yeniden taahhütte bulunmak için bir netlik çağrısı olarak kullanmalıdır.
Bu, dayanıklı bir güvenlik geleceği yaratır, temel güveni yeniden kazanıp yeniden inşa eder ve ekiplerin bir daha asla rehavete kapılmadan, hıza ve kolaylığa diğer her şeyden vazgeçerek değer vererek her tehdide karşı koymalarını sağlar.