Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
Ajanslar 2024 Son Tarihine Doğru Yarışırken Bir dizi Uygulama Zorlukla Karşı Karşıya
Chris Riotta (@chrisriotta) •
30 Kasım 2023
Bir federal yetkili Perşembe günü yaptığı açıklamada, ABD federal kurumlarının sıfır güven mimarisinin temel gereksinimlerini karşılayabileceklerini göstermek için bir yıldan az zamanları olduğunu ancak çoğunun hala ağlarında ne olduğunu bulmanın ilk adımıyla boğuştuğunu söyledi.
Ayrıca bakınız: İsteğe Bağlı | Sıfır Güven Devrimi: Uzaktan Çalışma ve Bulut Hakimiyeti Çağında Güvenlikte Ustalaşmak
Başkan Joe Biden, Mayıs 2021’de, kullanıcıları ve varlıkları tekrar tekrar yeniden doğrulamaya tabi tutan güvenlik çerçevesi olan sıfır güvene öncelik veren bir yönetici emri imzaladı. Beyaz Saray daha sonra kurumlara kimlik sistemlerini ve erişim kontrollerini iyileştirmek gibi sıfır güven görevlerini tamamlamaları için önümüzdeki Eylül ayına kadar süre tanıyacak kılavuzu uygulamaya koydu.
Ulusal Standartlar ve Teknoloji Enstitüsü güvenlik mühendisi ve Ulusal Siber Güvenlik Mükemmeliyet Merkezi proje yöneticisi Alper Kerman, çoğu kurumun ağlarında çalışan her cihazın tam bir envanterini değerlendirme aşamasında takılıp kaldığını söyledi.
Nextgov/FCW’nin ev sahipliği yaptığı sıfır güveni sağlamaya odaklanan bir etkinlikte Kerman, “Kuruluşunuz için doğru ZTA çözümünü oluşturmak için analiz etmeniz gerekiyor” dedi. Çoğu kurumun ağ bileşenleri, bilgi sistemleri, kullanıcı türleri, kullanım kalıpları ve daha fazlası hakkında kapsamlı bilgilerden yoksun olduğunu, bunun da federal ağları kapsamlı siber saldırılara karşı savunmasız bıraktığını söyledi.
NIST Ulusal Siber Güvenlik Mükemmeliyet Merkezi, federal kurumlar için sıfır güvenin sağlanmasına yönelik bir dizi en iyi uygulama ve rehber geliştirmek amacıyla endüstri işbirliğiyle bir projeye öncülük ediyor. Kerman, SP 1800-35A başlığı altında yayınlanacak olan kılavuzun bundan sonra yayınlanmak üzere hazırlandığını söyledi.
Kerman’a göre, ellerinde bir varlık envanteri olsa bile ajanslar genellikle hangi cihazları kendi ortamlarında tutacaklarına karar vermekte zorlanıyor.
Federal ağlarda halihazırda kurulu olan bazı teknolojiler sıfır güven özelliklerine sahip olsa da Kerman, çoğu kurumun kaçınılmaz olarak yeni yazılım ve hizmetler tedarik etmek zorunda kalacağını ve bunun potansiyel olarak maliyetli ve zaman alıcı bir engel haline gelebileceğini söyledi.
Kerman, eski sistemlerin birçok kuruluş için büyük bir zorluk olduğunu söyledi: “Çünkü onları ZTA ortamında ‘kaldırıp taşıyamıyoruz’ ve bırakamıyoruz [and] daha sonra bu ortamın, işlevlerinin ve uygulamalarının çalışmasını bekleyin.”
Bunun yerine, sıfır güveni başarıyla başarmak için ajansların uzun vadeli bir oyun oynaması gerekecek. Bunun, tüm paydaşların federal sistemleri korumak için üzerlerine düşeni yapmalarını sağlamak için doğru araçlara ve teknolojilere yatırım yapmak ve iş gücünü eğitmek anlamına geldiğini söyledi.
Kerman, “Güvenlik ihlalleri meydana geldiğinde hepimizi etkiler” dedi. “Dolayısıyla kuruluştaki herkesin sıfır güvenin faydalarını ve bunu nasıl destekleyeceğini anlaması gerekiyor çünkü bunun birlikte çalışma şeklimiz üzerinde etkisi olacak.”