Yazan: Ian Robinson, Titania’nın Baş Mimarı
ABD’deki ticari kritik ulusal altyapı (CNI) kuruluşlarını güvende tutmak, ulusal güvenlik açısından hayati öneme sahiptir ve uluslararası çatışmalar ve siber saldırılar artıp işletmeler, hükümetler ve vatandaşlar için gerilim yaratırken bu konu hiç bu kadar gündemde olmamıştı. Bu 16 kritik sektörün (bunlardan birkaçı iletişim, enerji, finansal hizmetler) varlıkları, sistemleri ve ağlarıyla birlikte o kadar hayati önem taşıyor ki, bunların bozulması veya yok olması ülkenin operasyonlarını sekteye uğratabilir ve kamu sağlığını veya güvenliğini ciddi riske atabilir.
CNI ağlarındaki ödeme kartı verileri ve ödeme sistemleri, sahip oldukları zenginlikler sayesinde siber suçlular için doğal bir hedeftir. Kuruluşların en son veri güvenliği standartlarını (PCI DSS 4.0) karşılamaları için son tarih yaklaşıyor. Mart 2024’e kadar uyumluluk hedeflerine ulaşılması gerekiyor ve acı gerçek şu ki, son araştırmalara göre bu kuruluşların yalnızca %37’si ağlarındaki uyumluluk risklerini etkili bir şekilde kategorize etme ve önceliklendirme yeteneğine sahip. Sürekli gelişen siber güvenlik tehditleri karşısında bu eksiklik, kritik ulusal altyapının güvenlik duruşuna ciddi bir tehdit oluşturmakta ve uyum konusunda sağlam ve öncelikli bir yaklaşım ihtiyacını vurgulamaktadır.
Risk Temelli Önceliklendirmenin Zorunluluğu
Bu zorluğun aciliyetinin bilincinde olarak kuruluşların CDE ağının güçlendirilmesine yönelik risk temelli bir önceliklendirme yaklaşımını benimsemelerinin zamanı geldi; Risk tabanlı güvenlik açığı yönetimi (RBVM) olarak da bilinir. Bunun anahtarı, kötüye kullanım kolaylığını, güvenliğe olası etkisini ve düzeltme kolaylığını belirlemek için ağ uzmanlığından yararlanan yanlış yapılandırmaların ayrıntılı bir risk analizidir. Bu yetenek otomatikleştirilmiştir ve gerekirse ağ ölçeğinde ve sürekli olarak mevcuttur. Risk odaklı çözümler kullanan kuruluşlar, uyumluluk riski eğilimlerini belirleyebilir ve gelişen siber tehditlere karşı savunmalarını verimli ve stratejik bir şekilde güçlendirmek için en kritik güvenlik açıklarını proaktif bir şekilde ele alabilir.
Otomasyon Uyumlulukta Devrim Yaratıyor
Geçmişte, PCI DSS uyumluluğunun sağlanması, ağ altyapısı cihaz kontrollerinin belirli gereksinimlere göre zahmetli manuel eşlemesini gerektiriyordu. Hataların çoğalmasına yatkın, zaman alıcı bir süreç. Ancak yeni çözümler, QSA’lara kanıt sağlamak için test prosedürlerine ayrıntılı erişimle hazır eşlemeli ağ cihazı kontrollerinin otomatikleştirilmesine olanak tanır. Uyumluluk raporları, yönlendiricilerin, anahtarların ve güvenlik duvarlarının PCI DSS 4.0 gereksinimlerini karşılayıp karşılamadığını gösterir. Uyumsuzluklar da riske göre önceliklendirilir, böylece kuruluşlar boşlukları tespit edebilir. Bu, dahili güvenlik ekiplerinin, PCI DSS uyumluluk duruşunu geliştirmenin temel bir yönü olan azaltıcı eylemi hızlı ve verimli bir şekilde kategorilere ayırmasına ve önceliklendirmesine olanak tanır.
Doğru Araçları Seçmek
Ödeme kartı sektöründe yirmi yılı aşkın deneyime sahip sertifikalı bir NSA kriptanalisti ve PCI uzmanı, yakın zamanda piyasadaki çoğu ürünün PCI’yi gerçekten anlamadığını ve satıcıların nadiren veri güvenliği gereksinimleri konusunda derinlemesine bir anlayışa sahip olduğunu, bu nedenle şirketlerin bunu araştırmasının önemli olduğunu paylaştı. Bir çözüm seçerken. Çözümlerin bir kuruluşun PCI DSS 4.0 gereksinimlerini ne kadar iyi karşıladığını ölçmesi çok önemlidir.
Otomatik risk tabanlı önceliklendirme çözümlerinin seçilmesi, yapılandırmaların tam olarak nasıl ve nerede istenen duruma uymadığını belirleyerek bir işletmeyi daha güvenli ve dayanıklı bir geleceğe doğru yönlendirebilir. Analiz, belirlenen sorunları düzeltmek için yapılması gerekenleri raporlayarak düzeltme süresini kısaltabilir.
Sonuçta, bir sorunu düzeltmek için gereken süreyi kısaltmak, bir yapılandırmanın uyumlu olmadığını ve bunun nasıl azaltılabileceğini bilmek kadar önemlidir.
Güvenli Bir Gelecek için Proaktif Önlemler
Proaktif güvenlik yaklaşımları, kart sahibi veri ortamlarını (CDE) nihai olarak koruyacak olan yapıştırıcıdır.
Saldırganların nasıl çalıştığını anlamak bunun anahtarıdır ve riski, saldırıya maruz kalma durumunu ve dolayısıyla CDE gibi ağın kritik alanlarını korumak için ağ oluşturma cihazlarının hangi öncelik ile iyileştirilmesi gerektiğini değerlendirmek için gereklidir.
Bu, iyileştirme çabalarını ve kaynaklarını en çok ihtiyaç duyulan yerlere hedeflemek için gereklidir; risk önceliklendirmesi ve iyileştirme konusunda bilgi sağlamak için saldırı yüzeyi güvenlik açığı değerlendirmelerini ve tehdit istihbaratını kullanmak, kuruluşların en kritik olanı ve aynı zamanda istismar edilme olasılığı en yüksek olanı görmesine olanak tanır. Kuruluşun riskine bir saldırganın merceğinden bakmak, RBVM’yi bir sonraki seviyeye taşır; yalnızca bir güvenlik açığını keşfetmenin çok ötesine geçerek, gerçek dünyadaki tehdit bağlamında riskin anlaşılmasına ve bir işletme üzerindeki potansiyel etkisinin anlaşılmasına yardımcı olur.
Gelecek yılın son teslim tarihi yaklaşırken, kuruluşların PCI DSS uyumluluk duruşlarını yeni boyutlara yükseltmek için kanıta dayalı raporlamayı benimsemelerinin zamanı geldi. Ancak aynı zamanda RBVM’yi destekleyen çözümler bulmak ve her bir uyumsuzluğun risk analizini sağlamak için de ideal bir fırsattır; yararlanma kolaylığını, potansiyel güvenlik etkisini ve düzeltme fizibilitesini belirlemek için ağ oluşturma uzmanlığından yararlanır. Bu, kuruluşların uyumluluktan güvenlik sağlamasını sağlayacaktır.
RBVM ile desteklenen ve Sıfır Güven ağ bölümlendirmesi gibi stratejilerle birleştirilen proaktif bir güvenlik yaklaşımı, kuruluşların güvenlik açıklarını stratejik olarak ele almalarına olanak tanır, gelişen siber tehditlere karşı savunmalarını güçlendirir ve operasyonları ve potansiyel olarak ulusal güvenliği korur.
yazar hakkında
Ian Robinson, Titania’nın Baş Mimarı
Baş Mimar Ian Robinson, konfigürasyon değerlendirme çözümleri Nipper Enterprise ve Nipper’ın benzersiz yeteneklerini sürekli olarak geliştirmek için Titania’nın müşterileri ve ortaklarıyla yakın işbirliği içinde çalışıyor; Her ürün yol haritasının, kuruluşlara öncelikle en kritik ağ güvenliği ve uyumluluk risklerini azaltmak için ihtiyaç duydukları öngörüyü sağlayarak stratejik olarak müşteri değeri oluşturmasını sağlamak. Tam yığın geliştirmede güçlü bir geçmişe sahip olup, bir dizi farklı dili akıcı bir şekilde konuşabilmektedir ve zarif, iyi tasarlanmış ve yenilikçi siber güvenlik çözümleri oluşturmak için gereken çok çeşitli platformlar, çerçeveler, kütüphaneler ve entegrasyonlar konusunda bilgilidir.
Ian’a çevrimiçi olarak [email protected] adresinden ve şirket web sitemiz https://www.titania.com/ adresinden ulaşılabilir.