Bu Help Net Security röportajında, Core4ce Başkan Yardımcısı ve Baş Bilim İnsanı Curtis Arnold, sıfır güven ilkelerine dayalı askeri eğitimin başlangıç noktalarını ele alıyor, temel teknolojileri ve birleşik bir sınıflandırmayı vurguluyor.
Arnold, DoD’un Sıfır Güven Katmanları kılavuzuna ve askeri bağlamda sıfır güven ilkelerinin gelecekteki evrimine ilişkin görüşler sunuyor.
Ordu sıfır güven ilkeleri için eğitim sürecine nereden başlamalı? Bu eğitimi desteklemek için önce belirli araçlar veya teknolojiler uygulanmalı mı?
Sıfır güven, DoD için güçlü bir temel oluştururken, ilk askeri eğitim, temel teknolojilere ve herkesin sıfır güvenin bileşenleri hakkında aynı şekilde konuştuğundan emin olabilecek bir sınıflandırmaya odaklanmalıdır.
Şu anda, ağ aygıtları esas olarak onlarca yıldır olduğu gibi anılıyor ve yönetiliyor. Bunlar, her ağ çözümünün sıfır güven gibi daha büyük bir entegre güvenlik mimarisine uyum sağlamak yerine benzersiz bir çözüm olarak yönetildiği anlamına gelen, boru hattı tarzında görülüyor. Bu geleneksel yaklaşım, sürekli doğrulamayı vurgulayan ve tehditlerin hem ağın içinden hem de dışından gelebileceğini varsayan sıfır güven mimarisinin ilkeleriyle keskin bir şekilde çelişiyor.
Ağ cihazı güvenliğinin ilk eğitimi ve standardizasyonu, Siber Koruma Ekibi (CPT) ekip üyelerinin geliştirilmesi gibi diğer askeri eğitim uygulamalarında olduğu gibi, temelin üzerine inşa edilebilecek kuvvetler için temel oluşturmaya yardımcı olacaktır.
Her hizmet ve kurum, sayısız sıfır güven çözümünde misyonlarına en uygun şekilde sıfır güveni uygulama özgürlüğüne sahip olduğundan, ilk olarak uygulanması gereken bir teknoloji belirlemek zordur. Ancak, güvenlik liderlerinin zihniyetlerini teknolojilerde bir değişiklik ihtiyacından veri türlerinde ve modellerinde bir değişikliğe kaydırmaları en faydalı ayarlama olacaktır.
Sıfır güven, belirli bir araç veya teknolojiyi uygulamaktan çok bir veri zihniyetine sahip olmakla ilgilidir. Kimlik doğrulama günlükleri veya cihaz sağlığı gibi birincil veri öğeleri, çeşitli teknik çözümler arasında aynı olacaktır. Bu veri kümelerinde eğitime odaklanmak, bireylerin birden fazla ortamda sıfır güveni daha iyi desteklemesini sağlayacaktır.
Yapay Zeka ve Makine Öğrenmesi dijital savaş alanının her iki tarafında nasıl kullanılıyor ve hangi potansiyel tehditlere karşı hazırlıklı olmamız gerekiyor?
Yapay zeka ve makine öğrenimi (AI/ML), savaş alanının her iki tarafında birden fazla tehdit ve endişe sunar. Dışarıdan bakıldığında, AI/ML kötü niyetli faaliyetlerin sensörlerimizin algılayabileceğinden ve Savunma Siber Operasyonları (DCO) tarafından karşılanabileceğinden daha hızlı bir oranda potansiyel olarak değişmesini veya dönüşmesini sağlar. Rakiplerimiz ayrıca kendi AI/ML modellerimizin altta yatan dil modellerine saldırmaya veya onları zehirlemeye çalışabilir. Bu, kötü niyetli faaliyetlere yanıt olarak yanlış raporlamaya veya istenmeyen eylemlere yol açabilir.
Dahili olarak, AI/ML, algılama ve yanıt faaliyetlerini otomatikleştirerek, olay raporları yazarak, Güvenlik Bilgi ve Olay Yönetimi (SIEM)/Güvenlik Orkestrasyonu Otomasyonu ve Yanıt (SOAR) imzaları ve sorguları oluşturarak ve daha fazlasını yaparak siber güvenlik çabalarımızın çoğunu destekleyebilir. AI/ML için potansiyel kullanım durumları gelecekteki siber operasyonları şekillendirecek, ancak aynı zamanda istismar edilebilecek kusurlarla birlikte geliyor. Tasarlandığı gibi çalıştıklarından emin olmak için büyük AI/ML girişimlerini izlemek üzere belirli eğitim ve gözlem ekiplerinin geliştirilmesi gerekiyor. Aynı şekilde, siber güçlerin teknolojinin nasıl çalıştığını daha iyi anlamaları gerekiyor, böylece kendi seviyelerinde etkileri anlayabilir ve AI/ML tarafından getirilecek geniş yeteneklerden en iyi şekilde yararlanabilirler.
Özel sektörden, askeriyenin sıfır güven eğitimi ve uygulaması için benimseyebileceği dersler veya en iyi uygulamalar var mı?
Tüm büyük BT ve siber girişimlerde olduğu gibi, kamu ve özel sektörler arasındaki iş birliği giderek daha önemli hale geliyor. Teknoloji ve tehdit manzarası sürekli değişiyor ve diğer birçok alandan daha hızlı bir şekilde ortaya çıkıyor. Hükümet, değişen manzarayı ele almak için kurallar ve politikalar geliştirmek için çok çalışıyor. Bu kurallar/politikalarda mümkün olan en bilgili kararları almaları gerekiyor ve bu yalnızca özel sektörle yakın iş birliğinden gelebilir.
Birlikte, ülke için en iyi kararların alındığından emin olabilirler. Sektör bu alanda teknoloji gelişimine öncülük ediyor ve her gün yeni yetenekler ve süreçler geliştiriyor. Hükümet teknolojik yeniliklerle başa çıkmak için politikalar geliştirirken ve güncellerken bunların sıklıkla paylaşılması gerekiyor.
DoD’nin Sıfır Güven Katmanları kılavuzuna genel bir bakış sağlayabilir misiniz? Başlıca hedefleri nelerdir? Bu kılavuz, silahlı kuvvetler genelinde sıfır güvene yaklaşımı nasıl standartlaştırıyor?
DoD’nin Sıfır Güven Katmanları kılavuzu, bir kurumun metodik, aşamalı bir yaklaşımla sıfır güven mimarisini nasıl düzgün bir şekilde uygulayabileceğine dair net, uygulanabilir bir rehberlik sağlamayı amaçlamaktadır. DoD’nin katmanları, yedi ayağın her birinde (Kullanıcı, Cihazlar, Uygulamalar ve İş Yükleri, Veri, Ağ ve Ortam, Otomasyon ve Orkestrasyon ve Görünürlük ve Analiz) uygulanması gereken standartları veya yetenekleri tanımlar. Bu, birden fazla teknik çözümdeki yeteneklere odaklanan standart bir yaklaşıma olanak tanır.
Bu önemlidir çünkü DoD büyüklüğündeki bir organizasyonda standart çözümleri neredeyse imkansız kılan birden fazla görev türü vardır. Ancak, departman genelinde güvenli bir temel sağlamak için her görevin karşılaması gereken bir standarda hala ihtiyaç vardır.
Sıfır güven ilkelerinin askeri bağlamda nasıl evrildiğini görüyorsunuz? Dijital savaş alanı genişlemeye devam ederken hangi ek önlemler gerekli olabilir?
Ordu, sıfır güven, veri merkezli bir ortama doğru evrilmeye devam edecek. Sıfır güven ilkeleri, görev sahiplerini ve yetenek sağlayıcılarını veriler hakkında düşünmeye ve bunlara farklı şekilde erişmeye zorluyor. Savunma Siber Operasyonları (DCO) perspektifinden, verilerin sadece sınırda değil, her açıdan ve her yönden korunması gerektiğini vurguluyor.
Bu, yalnızca verileri koruyan daha güvenli bir ortam sağlamakla kalmayacak, aynı zamanda olası yanlış yapılandırmaları, sızıntıları veya kötü amaçlı faaliyetleri belirlemek için ek sensörler içeren standart bir yaklaşım da sağlayacaktır.
Bu girişimi desteklemek için gereken en önemli önlem, DoD’nin yeni teknolojileri anlayabilmesini ve ortaya çıkan tehditlerle mücadele edebilmesini sağlamak için endüstri ortaklarıyla eğitim ve işbirliği yapılmasıdır.