.jpg)
Özel sektörün kamu hizmetleri, telekomünikasyon, bankacılık, ulaşım ve tıbbi ağları modern dünyada fiziksel, zihinsel ve ekonomik refahın bir parçası haline geldi. Aynı zamanda devlet aktörlerinin benzeri görülmemiş bir tehdidi altındalar; yakın zamanda Savunma Bakanlığı’nın siber güvenlik stratejisinin gizli olmayan özetiyle de vurgulandı; bu stratejide Çin’in “teknoloji sırlarını çaldığı ve DIB’i baltaladığı” belirtiliyordu. [defense industrial base]ve çatışma durumunda Çin’in “büyük olasılıkla ABD Anavatanına karşı yıkıcı siber saldırılar başlatma niyetinde olduğu” belirtildi. ABD içinde, petrol ve gaz boru hatlarına ve raylı sistemlere karşı olanlar da dahil.”
DIB ve kritik altyapı, yakın rakiplerimizin açık tehdidi altında ve kendi mücevherlerini korumak için ABD hükümetinin sınıflandırılmış sistemlerinden seçilmiş en iyi uygulamaları uygulamaları iyi olacaktır.
Korunan Bölgeler ile İnternetin Nerede ve Nasıl Kesiştiğini Anlayın
İster kamu hizmetlerinin operasyonel teknoloji (OT) ağlarında, ister ilaç ağlarının araştırma ve geliştirme bölgelerinde veya hastanelerin tıbbi ekipman ağlarında olsun, ağların bazı bölümlerinin diğerlerinden daha güvenli olması gerekir. Ancak, potansiyel olarak savunmasız eski teknolojilerin kritik bir kısmını içeren kamu hizmeti şirketlerinin OT ağlarında bile, toplam segmentasyon bir efsanedir ve bunun iyi bir nedeni vardır: Şirketler giderek daha fazla büyük veri analitiğinin, İnternet bağlantılı finansal sistemlerle entegrasyonların ve benzerlerinin gücüne ihtiyaç duymaktadır. Etkili bir iş yürütmek için hizmetler.
Korunan bölgelerin daha geniş BT ağlarına bağlanmasında risk yönetimine yönelik sağlam bir yaklaşım, Ulusal Güvenlik Memorandumu 8’in (NSM-8) nispeten belirsiz bir bölümünde bulunabilir: Ağların çakıştığı alanlar etrafında görünürlük ve titizlik geliştirin. Etki alanları arası sistemlerin (sınıflandırılmış ağları sınıflandırılmamış ağlara bağlamaktan sorumlu sistemler) “hayati önem taşıdığını” ilan ederek [national security systems] Merkezi görünürlük gerektiren” ve bunları denetlemek için NSA’nın Çıtayı Yükselt programını kuran ABD hükümeti, ağdaki bu doğası gereği riskli bağlantı noktaları etrafında tutarlı bir düzeyde risk değerlendirmesi ve güvenlik titizliği sağladı.
Kuruluşlar da aynısını yaparak riski daha iyi yönetebilir ve korunan bölgeler ile daha geniş ağ arasında köprü kurmak için kurnazca ve benzersiz ancak çoğunlukla incelenmemiş çözümler yerine tutarlı bir yaklaşım sağlayabilir. Bu merkezi görünürlük noktaları kuruluşlar içinde olgunlaştıkça, bu kritik ağ bağlantı noktalarındaki riskleri en aza indirmek için en iyi uygulamaları ve teknolojileri anlamak üzere bilgi paylaşımı ve analiz merkezleri (ISAC’ler) veya özel işbirlikçi ağlar aracılığıyla endüstri düzeyinde de birleşebilirler.
Kritik Kuruluşu Kritik Altyapıyla Birlikte Koruyun
Yukarıda değinildiği gibi, kritik altyapı kuruluşlarının en önemli varlıkları iyi korunuyor olabilir, ancak daha az güvenli bir BT ağında ve bazen de tek bir ağda barındırılan, İK, müşteri hizmetleri, finans, lojistik gibi işlevleri etkinleştiren kritik bir kuruluşla çevrelenmişlerdir. Kuruluşun operasyonel bölümlerine nüfuz eden güvenlik kültüründen bir adım uzaklaştı. Ancak, bir saldırganın kritik kuruluştaki bir çalışanı tehlikeye atabileceği ve sonunda daha hassas sistemlere doğru ilerleyebileceği ağ içinde yanal hareket tehdidi, bunu akıllıca olmayan bir yaklaşım haline getirmektedir. NSA, CISA, FBI ve diğerlerinin ortak tavsiye niteliğindeki raporunda, Çin destekli tehdit aktörlerinin kritik altyapı ağlarında “karadan geçinen” ve tespit edilmekten kaçınmak için kötü amaçlı yazılım yerine yerel hizmetleri kullanan “toprakla geçinen” kişilerin vurgulanmasıyla risk daha da artıyor. bir dayanak noktası oluşturdular.
İstihbarat topluluğu, ister operasyonel ister destek rolünde olsun, tüm çalışanların zorunlu olarak kritik kuruluş kavramını uzun süredir benimsemiştir. — Kapsamlı bir uygunluk sürecini tamamlayın ve destek ağlarını, görev ağlarıyla aynı titizlikle koruyun. Bunu yaparak, yalnızca belirli bir sınıflandırma düzeyindeki uç noktalarını ve sistemlerini teknik uzlaşmalardan korumakla kalmaz, aynı zamanda kuruluşu kimlik avı gibi insan kaynaklı saldırılara karşı daha az savunmasız hale getiren bir güvenlik kültürü de geliştirirler.
Özel sektör şirketlerinin çalışanlarını ABD güvenlik izni için gerekli olan aynı derecede incelemeye tabi tutması savunulamaz olsa da, kritik kurumun tamamını eğitim, önleyici siber güvenlik mimarisi ve güvenlik kültürü aracılığıyla güvence altına alarak hükümetten bir sayfa alabilirler. Tüm kritik kuruluşun, kuruluşlarına yönelik ortak risklerden haberdar olmasını sağlayan güvenlik.
Tasarım Yoluyla Talep Güvenliği
Sağlam bir siber güvenlik mimarisi oluşturmanın karmaşıklığı, CISA direktörü Jen Easterly’nin belirttiği gibi, “Böyle bir teknolojinin tasarım gereği tehlikeli olduğunu farkında olmadan normal kabul etmeye başladık.” Bu, bazılarının tasarımı gereği tehlikeli olduğu kanıtlanmış çok sayıda güvenlik ve ağ yönetimi çözümünün dağıtılması ihtiyacını doğurdu.
Genel olarak ABD hükümeti ve özel olarak Savunma Bakanlığı, teknolojiye hazırlık değerlendirmesi ve operasyonel test ve değerlendirme konusunda uzun süredir sıkı süreçler uyguluyor. Bu süreçler, her ne kadar maliyetli ve uzun olsa da, ABD hükümetinin en kritik işlevlerini yürütmek ve savaş savaşçılarını desteklemek için konuşlandırılacak teknolojilerin güvenliğini, olgunluğunu ve operasyonel hazırlığını sağlamak üzere tasarlanmıştır. ABD devlet kurumları, güvenliğe yönelik güçlü bir bakış açısı da dahil olmak üzere satın alma süreçlerinde dikkatli davranarak, teknolojilerinin tehlikeye atılması riskini en aza indiriyor.
Özel sektör kuruluşlarının teknoloji konusunda aynı derecede test ve değerlendirme yapmalarını tavsiye etmek pratik olmayacaktır. Ancak CISA’nın ortak “Tasarıma Göre Güvenlik ve Varsayılan” ilkelerine yönelik soruları birleştirmek cazip bir alternatiftir. Güvenlik liderleri, düzenleyici sertifikalara güvenmenin ötesine geçerek (birçoğu, temel teknolojinin doğasında olan güvenlik yerine üreticinin süreçlerini ve politikalarını test eder), hem kritik altyapının hem de kritik kuruluşun güvenliğini artırmak için satın alma ekipleriyle ortaklık kurabilir. Bu tür soruların birkaç örneği şunları içerir:
- Çözümünüz, bir saldırganın bir katmanı yenmesi durumunda birden fazla güvenlik katmanı içeriyor mu?
- Bir yazılım malzeme listesi sağlıyor ve sürdürüyor musunuz?
- Hangi donanım mimari korumaları mevcut?
- Bu çözümün dağıtımını “sertleştirmek” için ne gereklidir?
Devletin güvenlik süreçleri genellikle sıkıcı ve külfetli olarak görülüyor ancak bunlardan öğrenilen derslerin uygulanmasına gerek yok. Bu üç önemli dersi almak ve bunları yalnızca kritik altyapının değil aynı zamanda daha geniş kapsamlı kritik işletmenin güvenliğine uygulamak, özel sektörün bir ulus devlet tehdidine karşı koyması için zorunludur.