2014 yılında, ABD sistemlerini ve verilerinin siber saldırıya karşı korunmasının önemini kabul eden Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), siber güvenlik çerçevesini (CSF) yayınladı. CSF bir dizi siber güvenlik en iyi uygulaması ve önerisidir, uyumluluk yetkisi değil. Gönüllü, esnek çerçeve, kritik sektörlerdeki kuruluşların siber güvenlik risklerini anlamalarını ve savunmalarını ve esnekliğini artırmak için uygun adımları atmalarını kolaylaştırmak için oluşturuldu. Başlangıçta, CSF öncelikle hastaneler, kamu hizmetleri ve temel üretim sektörleri gibi kritik kritik ABD altyapısına katılan kuruluşları hedef aldı.
NIST CSF’nin temel işlevleri
CSF’nin 2014 versiyonu, birlikte genel siber güvenlik risk yönetimi için bir temel oluşturan beş temel işlev etrafında inşa edilmiştir. Bu temel işlevler:
- Tanımlamak: Kritik varlıkları, iş ortamını ve tedarik zincirini belirleyerek örgütsel riski anlayın. Organizasyon ihtiyaçlarına ve misyonuna dayalı çabalara öncelik verin.
- Korumak: Siber saldırılardan elde edilen varlıkları koruyor. Kimlikleri yönetin, verilere erişimi koruyun ve güvenli hale getirin ve kullanıcıları eğitin.
- Tespit etmek: Anomalileri, müdahaleleri veya tehlikeye atılan sistemleri sürekli olarak izleyin.
- Yanıtlamak: Olay müdahalesi planlaması, analiz, hafifletme ve iletişim stratejilerini uygulayarak bir siber güvenlik olayını tespit ederek derhal hareket edin.
- İyileşmek: Operasyonları geri yükleyin ve kurtarma planlaması yoluyla esnekliği artırın.
NIST CSF 2.0: Anahtar değişiklikler
CSF, kuruluşlara küresel olarak özel siber güvenlik ihtiyaçlarını karşılama konusunda yardımcı olan yaygın olarak kabul edilen bir siber güvenlik çerçevesi haline gelmiştir. CSF ilkelerini ve işlevlerini benimsemenin faydalarını daha da artırmak ve uygulanabilirliğini genişletmek için NIST, CSF 2.0 yayınladı. Bu yeni sürüm, siber güvenlikte yönetişim ve tedarik zinciri yönetiminin önemini vurgulayan orijinal beşe önemli bir altıncı işlevi ‘yönetiyor’.
Daha geniş uygulanabilirlik
CSF 2.0’ın tanıtımı ile NIST, çerçevenin temel rehberliğini güncelledi ve sadece kritik altyapıdakilere değil, siber güvenlik hedeflerine ulaşma ve risk yönetmede herhangi bir kuruluşa yardımcı olmak için bir kaynak paketi oluşturdu. Siber güvenlik tehditlerinin evrensel doğasını tanıyan rehber, siber güvenlik sofistike düzeylerine bakılmaksızın hem küçük hem de büyük kuruluşlar için geçerli olacak şekilde hazırlanmıştır. CSF’nin uygulanmasını kolaylaştırmak için mevcut kaynaklar bir CSF 2.0 referans aracı ve aranabilir bir referans kataloğu içerir.
Yeni bir işlev: ‘Yönetme’
CSF 2.0’ın yeni ‘Yönet’ bileşeni, siber güvenliğin önemli bir işletme riski olarak vurgulanarak, üst düzey liderlerin yönetmesi gereken finans ve itibar gibi geleneksel endişelerin yanı sıra. Bu ek, siber güvenliği kuruluş çapında bir konu olarak da tanır.
‘Yönetim’ işlevi, kuruluşun siber güvenlik risk yönetimi stratejisini, beklentilerini ve politikasını oluşturur. Siber güvenlik stratejisinin uygulanmasının, kuruluşun siber güvenlik duruşunun kapsamlı bir şekilde anlaşılmasını sağlayarak daha geniş işletme ve tedarik zinciri risk yönetimi stratejileri ile uyumlu olmasını sağlar. ‘Yönetim’ işlevi, siber güvenlik çabalarını genel örgütsel misyon ve paydaş beklentileriyle uyumlu hale getirir.
NIST CSF 2.0 ve Pentesting
CSF’nin yeni sayısı, kuruluşları siber güvenlik duruşlarını sürekli olarak iyileştirmeye teşvik ederek güvenlik açığı değerlendirmeleri ve pentesting gibi faaliyetleri savunuyor. Bu uygulamalar, CSF fonksiyonlarıyla iyi bir şekilde hizalanarak proaktif iyileştirmeler için sürekli risk görünürlüğü ve fırsatlar sunar.
- Güvenlik açıklarının tanımlanması: Güvenlik açıklarının araştırılması ve tespit edilmesi, CSF tanım işleviyle uyumludur ve risk maruziyetini vurgular.
- Kontrollerin değerlendirilmesi: Mevcut güvenlik kontrollerini atlamaya çalışmak, koruma işleviyle uyumludur ve saldırıya karşı önlemleri değerlendirir.
- Tehditlerin tespiti: Bir saldırıyı simüle etmek, kuruluşun bir saldırı sürdürüldüğünü keşfetme yeteneğini değerlendirerek algılama işleviyle uyumludur.
- Raporlar ve Öneriler: Pentesting raporları, kuruluşun risk tedavisi ile ilgili bilinçli kararlar almasına, yanıt ve kurtarma işlevlerine hizalanmasına yardımcı olmak için değerli bilgiler sağlar. Raporların üst yönetim analizi, “Yönet” işlevinin riski yönetmeye ve siber güvenlik yönetişim yapısı oluşturmaya odaklanmasıyla uyumludur.
- Sürekli test: Pentesting, CSF’nin sürekli iyileştirme yönü ile uyumlu olarak güvenlik duruşunu sürekli olarak iyileştirmeye yardımcı olacak sonuçlarla devam eden bir süreçtir.
Hackerone Pentest ile NIST CSF 2.0 ile hizalayın
Hackerone, kimlik ve erişim yönetimi, olay yanıtı, bilgi koruması ve proaktif risk değerlendirmesi gibi kilit alanları vurgulayarak güncellenmiş NIST CSF 2.0 ile uyumunuzu kolaylaştırır. Yaklaşımımız şunları sağlar:
- Kimlik ve Erişim Yönetimi: Yalnızca yetkili kullanıcıların sistemlerinize erişebilmesini, kimlikleri ve izinleri etkili bir şekilde yönetebilmesini sağlamak için kontrollerin değerlendirilmesi.
- Olay Yanıtı: Güvenlik olaylarına hızlı ve etkili bir şekilde yanıt verme ve iyileşme kapasitenizi güçlendirmek, etkiyi en aza indirmek.
- Bilgi koruma: Verilerinizi yetkisiz erişim, ifşa, değişiklik ve yıkımdan korumak için süreç ve prosedürlerin değerlendirilmesi.
- Çerçeve uyum: Pentest’lerimiz, NIST CSF 2.0’a karşı siber güvenlik uygulamalarınızı titizlikle doğrular ve kontrolleri ve en iyi uygulamalarıyla kapsamlı bir uyum sağlar.
- Eylem edilebilir içgörüler: NIST CSF 2.0 gereksinimlerine uygun olarak siber güvenlik duruşunuzu iyileştirmek için açık, eyleme geçirilebilir öneriler sunmak.
- Risk değerlendirmesi: Hackerone Pentests, güvenlik duruşunuzdaki güvenlik açıklarını ve zayıflıklarını belirleyerek kapsamlı risk değerlendirmeleri sağlar. Bu proaktif yaklaşım, kuruluşunuzun potansiyel tehditlere daha iyi hazırlanmasını sağlayarak risklerin anlaşılmasına ve azaltılmasına yardımcı olur.
NIST CSF 2.0 uyumluluğunu ele almak için Pentesting’in nasıl kullanılacağı hakkında daha fazla bilgi edinmek için bugün Hackerone’deki uzmanlarla iletişime geçin.