Ortak anahtar altyapısı oluşturmak ve dağıtmak herkesin bildiği gibi zordur. Bununla birlikte, bir grup şifreleme satıcısı, danışmanı ve diğer uzmanlar, şifrelemeye yönelik esnek bir yaklaşımı daha basit hale getirmeyi amaçlıyor.
Geçen hafta, yaklaşık 70 şifreleme sağlayıcısı ve danışmanlığından oluşan bir grup olan PKI Konsorsiyumu, hem en iyi uygulamalar kılavuzu hem de PKI altyapısının değerlendirilmesi için bir oyun kitabı olarak hizmet etmesi amaçlanan PKI Olgunluk Modeli’nin (PKIMM) ilk taslağını yayınladı. Veri güvenliği danışmanlığı 3Key’in CEO’su ve PKI Konsorsiyumu PKIMM Çalışma Grubu başkanı Roman Cinkais, girişimin herkese açık olmayı hedeflediğini ve şifreleme altyapısının nasıl iyileştirileceği konusunda rehberlik sağladığını söylüyor.
“PKI’ya genel olarak İnternet güvenliğini artırmak için kullanılabilecek değerli bir şey getirebileceğimize inanıyoruz” diyor. “Kendi uygulamanızın genel pazar uyumunu değerlendirebilir ve nasıl iyileştirebileceğiniz konusunda eyleme geçirilebilir rehberlik alabilirsiniz.”
PKIMM, siber güvenliğin bazı yönleri için yayınlanan en son olgunluk modelidir. On yılı aşkın bir süre önce, güvenlik profesyonelleri Gary McGraw ve Brian Chess, kuruluşların yazılımları güvence altına alma çabalarına ilişkin ölçümleri toplayan Olgunluk Döneminde Bina Güvenliği Modelini (BSIMM) yarattı. OWASP Yazılım Güvencesi Olgunluk Modeli (OSAMM), şirketlere yazılım güvenliği konusunda rehberlik sunan başka bir yaklaşımdır.
Girişimler, Carnegie Mellon Üniversitesi tarafından otuz yılı aşkın bir süre önce oluşturulan kıyaslama performansı için hükümler içeren en iyi iş uygulamaları çerçevesi olan daha genel Yetenek Olgunluk Modeli Entegrasyonu’ndan (CMMI) esinlenmiştir. Modeli kullanan şirketler, iş süreçlerini iyileştirmeyi ve inovasyonu teşvik etmeyi hedefliyor.
Microsoft, bir CMMI analizinde, bu tür modellerle ölçüldüğü üzere olgunluklarını geliştiren kuruluşların riskten kaçınabilir ve daha az yenilikçi olabilse de, genel olarak riski daha iyi yönettiklerini belirtti.
Şirket, “Yüksek olgunluğa sahip, yüksek kapasiteli bir kuruluş, beklenmedik, stresli olaylara kolayca yanıt verebilir” dedi. “Düşük olgunluk ve daha düşük kapasiteye sahip bir kuruluş, stres altında paniğe kapılma, kaçınılan prosedürleri körü körüne takip etme veya tüm süreci tamamen bir kenara atma ve kaosa geri dönme eğilimindedir.”
Tutarsız Kriptografi Teknolojileriyle Mücadele
PKIMM’in ilk taslağının birincil hedefi, belirli bir olgunluk oluşturmak ve ilerlemelerini ölçebilmek isteyen satıcılar ve hizmet sağlayıcılardır. Model, kuruluşların ilerlemesini 5 seviyeli bir olgunluk ölçeği kullanarak 15 farklı kategoride ölçer. En düşük seviye “ilk” ilerlemedir – öngörülemeyen ve kontrol eksikliği ile tepkisel – en yüksek seviye ise sürekli iyileştirme ile proaktif bir yaklaşımı kapsayan “optimize edilmiş” aşamadır.
PKI Çalışma Grubu’ndan Cinkais’e göre, güvenen taraflar olarak adlandırılan büyük kuruluşlar, yeteneklerini ölçmek için PKI Olgunluk Modelini kullanabilir ve hangi hizmet sağlayıcıların ihtiyaçlarını karşıladığını belirlemek için olgunluk düzeylerini kullanabilir.
“Belirli bir olgunluk düzeyinde size gereken hizmeti verebilecek birini arayabilirsiniz” diyor. “Ve elbette, size rehberlik edebilir çünkü model size yalnızca kendi uygulamanızın değerlendirmesini vermek için değil, aynı zamanda iyileştirmek için neleri benimsemeniz gerektiğini de vermek için oluşturulmuştur.”
Cinkais, şirketlerin özellikle dahili olarak PKI altyapısını kullanıyorlarsa en yüksek olgunluk düzeyine ihtiyaç duymayabileceklerini ekliyor. “En yüksek olgunluk düzeyindeki her kullanım durumuna odaklanmanıza gerek yok. Bu, ihtiyaçlarınıza bağlıdır” diyor.
Olgun Modellerin De Dezavantajları Vardır
PKIMM’in genel olarak yararlı olup olmayacağı veya yalnızca şifreleme ve sertifika endüstrisini ortak güvenlik hedeflerine yönlendirmenin bir yolu olup olmayacağı henüz belli değil. BSIMM’in yaratıcılarından biri olan Gary McGraw, şirketlerin yazılım geliştirmelerini nasıl güvence altına aldıklarına ilişkin verileri içeren yıllık bir rapor yayınlayan Gary McGraw, en iyi olgunluk modellerinin yalnızca kuralcı değil, aynı zamanda şirketlerin gerçekte ne yaptığına dair veriler de sağladığını söylüyor.
“Herhangi bir olgunluk modelinin en iyi sonucu, ‘gelişme yarışı’nın alev aldığı, kamu yararı için bir silahlanma yarışını ateşlemektir” diyor ve PKIMM’nin yaklaşımı hakkında özel bir bilgisi olmadığını da sözlerine ekliyor.
Belirli siber güvenlik sektörleri için olgunluk modelleri oluşturma yaklaşımı bir trend gibi görünüyor, diye ekliyor. “Olgunluk modellerinin bir araya getirilmesinin harika olacağını düşünüyorum, ancak gerçekte gerçekleşen daha spesifik alt alan olgunluk modellerine doğru diğer yönde hareket olduğuna dair kanıtlar görüyorum.”
Herhangi bir olgunluk modeliyle, şirketlerin yalnızca uyum değil, bir yenilik ve iyileştirme kültürü geliştirmesi gerekir. Microsoft, daha genel CMMI analizinde, genel hedefi değil, yalnızca süreç kilometre taşlarını karşılamaya odaklanan şirketlerin ağaçlar için ormanı kaçırabileceğini söyledi. Olgunluk ve güvenilirlik gelişebilir, ancak ezberci bağlılık mutlaka iyi değildir.
Şirket, “Belki de en büyük başarısızlık modu, bir seviyeye ulaşmayı hedef haline getirmek ve ardından değerlendirmeyi geçmek için süreçler ve altyapı oluşturmaktır” dedi. “Herhangi bir süreç iyileştirme faaliyetinin amacı, bir sayı değil, ölçülebilir bir iyileştirme olmalıdır.”