2014 yılında, ABD sistemlerini ve verilerini siber saldırılara karşı korumanın önemini kabul eden Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Siber Güvenlik Çerçevesini (CSF) yayınladı. CSF, bir uyumluluk talimatı değil, bir dizi siber güvenlik en iyi uygulamaları ve önerileridir. Gönüllü ve esnek çerçeve, kritik sektörlerdeki kuruluşların siber güvenlik risklerini anlamalarını ve savunmalarını ve dayanıklılıklarını iyileştirmek için uygun adımları atmalarını kolaylaştırmak için oluşturuldu. Başlangıçta CSF öncelikle hastaneler, kamu hizmetleri ve temel imalat sektörleri gibi kritik ABD altyapısında yer alan kuruluşları hedef aldı.
NIST CSF’nin Temel İşlevleri
CSF’nin 2014 versiyonu, genel siber güvenlik risk yönetiminin temelini oluşturan beş temel fonksiyon etrafında oluşturulmuştur. Bu temel işlevler şunlardı:
- Tanımlamak: Kritik varlıkları, iş ortamını ve tedarik zincirini tanımlayarak organizasyonel riski anlayın. Organizasyonun ihtiyaçlarına ve misyonuna göre çabaları önceliklendirin.
- Korumak: Varlıkları siber saldırılara karşı koruyun. Kimlikleri yönetin, verilere erişimi koruyun ve güvenli hale getirin ve kullanıcıları eğitin.
- Tespit etmek: Anormallikleri, izinsiz girişleri veya güvenliği ihlal edilmiş sistemleri sürekli olarak izleyin.
- Yanıtlamak: Olay müdahale planlaması, analizi, hafifletme ve iletişim stratejilerini uygulayarak bir siber güvenlik olayının tespit edilmesi üzerine derhal harekete geçin.
- İyileşmek: Kurtarma planlaması yoluyla operasyonları geri yükleyin ve dayanıklılığı artırın.
NIST CSF 2.0: Temel Değişiklikler
CSF, küresel olarak kuruluşlara özel siber güvenlik ihtiyaçlarını karşılamada yardımcı olan, geniş çapta kabul gören bir siber güvenlik çerçevesi haline geldi. NIST, CSF ilkelerini ve işlevlerini benimsemenin faydalarını daha da geliştirmek ve uygulanabilirliğini genişletmek için CSF 2.0’ı yayımladı. Bu yeni sürüm, siber güvenlikte yönetişim ve tedarik zinciri yönetiminin önemini vurgulayarak orijinal beşine çok önemli bir altıncı işlev olan ‘Yönetim’i getiriyor.
Daha Geniş Uygulanabilirlik
CSF 2.0’ın kullanıma sunulmasıyla birlikte NIST, çerçevenin temel kılavuzunu güncelledi ve yalnızca kritik altyapıdakilere değil, tüm kuruluşlara siber güvenlik hedeflerini karşılama ve riski yönetme konusunda yardımcı olacak bir kaynak paketi oluşturdu. Siber güvenlik tehditlerinin evrensel doğası dikkate alınarak hazırlanan kılavuz, siber güvenlik gelişmişlik düzeylerine bakılmaksızın hem küçük hem de büyük kuruluşlara uygulanabilecek şekilde hazırlanmıştır. CSF’nin uygulanmasını kolaylaştırmak için mevcut kaynaklar arasında bir CSF 2.0 Referans Aracı ve aranabilir bir referans kataloğu bulunmaktadır.
Yeni Bir Fonksiyon: ‘Yönetmek’
CSF 2.0’ın yeni ‘Yönetim’ bileşeni, siber güvenliğin önemli bir kurumsal risk olduğunun altını çiziyor ve bunu üst düzey liderlerin yönetmesi gereken finans ve itibar gibi geleneksel kaygıların yanına yerleştiriyor. Bu ekleme aynı zamanda siber güvenliğin kuruluş çapında bir sorun olduğunu da kabul etmektedir.
‘Yönetim’ işlevi, kuruluşun siber güvenlik risk yönetimi stratejisini, beklentilerini ve politikasını oluşturur. Siber güvenlik stratejisinin uygulanmasının daha geniş kurumsal ve tedarik zinciri risk yönetimi stratejileriyle uyumlu olmasını sağlayarak kuruluşun siber güvenlik duruşunun kapsamlı bir şekilde anlaşılmasını sağlar. ‘Yönetim’ işlevi, siber güvenlik çabalarını genel kurumsal misyon ve paydaş beklentileriyle uyumlu hale getirir.
NIST CSF 2.0 ve Pentest
CSF’nin yeni sayısı, güvenlik açığı değerlendirmeleri ve sızma testleri gibi faaliyetleri savunarak kuruluşları siber güvenlik duruşlarını sürekli olarak iyileştirmeye teşvik ediyor. Bu uygulamalar, CSF işlevleriyle iyi uyum sağlayarak sürekli risk görünürlüğü ve proaktif iyileştirmeler için fırsatlar sağlar.
- Güvenlik Açıklarının Belirlenmesi: Güvenlik açıklarını araştırmak ve tespit etmek, CSF Tanımlama işleviyle uyumlu olup, maruz kalınan riskleri vurgular.
- Kontrollerin Değerlendirilmesi: Mevcut güvenlik kontrollerini atlamaya çalışmak, saldırılara karşı korumaları değerlendiren Koruma işleviyle uyumludur.
- Tehditlerin Tespiti: Bir saldırının simüle edilmesi, Tespit işleviyle uyumlu olup, kuruluşun bir saldırının ne zaman devam ettiğini keşfetme yeteneğini değerlendirir.
- Raporlar ve Öneriler: Sızma testi raporları, kuruluşun Yanıt Verme ve Kurtarma işlevleriyle uyumlu olarak risk tedavisine ilişkin bilinçli kararlar almasına yardımcı olacak değerli bilgiler sağlar. Raporların üst düzey yönetim analizi, “Yönetim” fonksiyonunun risk yönetimi ve bir siber güvenlik yönetişim yapısı oluşturmaya odaklanmasıyla uyumludur.
- Sürekli Test: Sızma testi, CSF’nin sürekli iyileştirme yönü ile uyumlu olarak güvenlik duruşunun sürekli olarak iyileştirilmesine yardımcı olacak sonuçların mevcut olduğu devam eden bir süreçtir.
HackerOne Pentest ile NIST CSF 2.0’a uyum sağlayın
HackerOne, kimlik ve erişim yönetimi, olaylara müdahale, bilgi koruma ve proaktif risk değerlendirmesi gibi temel alanları vurgulayarak güncellenmiş NIST CSF 2.0 ile uyumunuzu kolaylaştırır. Yaklaşımımız şunları sağlar:
- Kimlik ve Erişim Yönetimi: Yalnızca yetkili kullanıcıların sistemlerinize erişebilmesini sağlamak için kontrolleri değerlendirmek, kimlikleri ve izinleri etkili bir şekilde yönetmek.
- Olay Müdahalesi: Güvenlik olaylarına hızlı ve etkili bir şekilde müdahale etme ve bu olaylardan kurtulma kapasitenizi güçlendirmek, etkiyi en aza indirmek.
- Bilgi Koruması: Verilerinizi yetkisiz erişime, ifşa edilmeye, değiştirilmeye ve yok edilmeye karşı korumaya yönelik süreç ve prosedürlerin değerlendirilmesi.
- Çerçeve Hizalaması: Pentestlerimiz, siber güvenlik uygulamalarınızı NIST CSF 2.0’a göre titizlikle doğrulayarak kontrolleri ve en iyi uygulamalarıyla kapsamlı uyum sağlar.
- Uygulanabilir Bilgiler: NIST CSF 2.0 gereklilikleri doğrultusunda siber güvenlik duruşunuzu iyileştirmeye yönelik net, eyleme dönüştürülebilir öneriler sunmak.
- Risk değerlendirmesi: HackerOne sızma testleri, güvenlik duruşunuzdaki güvenlik açıklarını ve zayıflıkları belirleyerek kapsamlı risk değerlendirmeleri sağlar. Bu proaktif yaklaşım, risklerin anlaşılmasına ve azaltılmasına yardımcı olarak kuruluşunuzun potansiyel tehditlere karşı daha hazırlıklı olmasını sağlar.
NIST CSF 2.0 uyumluluğunu ele almak amacıyla pentestin nasıl kullanılacağı hakkında daha fazla bilgi edinmek için bugün HackerOne uzmanlarıyla iletişime geçin.