Yazan: Kevin Kirkwood, LogRhythm’in CISO Yardımcısı
Başkan Biden’ın, yönetimin Sıfır Güven Mimarisi arayışındaki ilk gerçek ilerlemelerinden birinin ana hatlarını çizen Ülkenin Siber Güvenliğini İyileştirmeye ilişkin Yönetici Kararnamesini yayınlamasının üzerinden iki yıldan fazla zaman geçti. Duyuru, ABD hükümetinin güvenlik savunmalarının modernleştirilmesinde ve tüm federal, eyalet ve yerel kurumların güvenliği birinci öncelik haline getirme konusunda farkındalık yaratmasında önemli bir kilometre taşı anlamına geliyordu.
Beyaz Saray’ın Eylül 2024’teki Sıfır Güven uygulama hedefine sadece bir yıl kala, birçok ABD hükümeti kurumu yakın zamanda bir Rus siber saldırısının kurbanı oldu ve bu da hükümet çapındaki Sıfır Güven arayışında daha kat edilecek çok yol olduğunun sinyalini verdi. Çeşitli federal kurumların yanı sıra okulları, hastaneleri ve yerel devlet kurumlarını da etkileyen bilgisayar korsanlığı çılgınlığı, hükümetin güvenlik önlemleri veya bunların eksikliği konusunda ekstra incelemeye neden oldu.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2023 yılının Nisan ayı ortasında, Sıfır Güven yolunda federal kurumlar için rehber niteliğinde olan Sıfır Güven Olgunluk Modeli’nin ikinci versiyonunu yayınladı. Güncellenen model ajansların gelişimini beslemeye yardımcı olan Ulusal Güvenlik Telekomünikasyon Danışma Komitesi’nin hazırladığı bir rapora göre, sıfır güven yolculuklarının “önemli ölçüde farklı aşamalarında”lar. Eski altyapının yükünü taşıyan bazı federal kuruluşlar, yakın gelecekte önerilen Sıfır Güven yönergelerini karşılamak için gerekli kaynaklara sahip değil.
Sıfır Güven Yoluna Başlamak
Her ne kadar federal hükümet tarihsel olarak üst düzey siber güvenlik profesyonelleri için bir üreme alanı olsa da, hükümetin özel sektördeki sektör profesyonellerinden birkaç ders almasının zamanı gelmiş olabilir. Kamu sektörü, özellikle federal uygulama son tarihleri yaklaşırken, sıfır güven projelerinin ilerleyişini kolaylaştırmak için iş dünyasının çeviklik ve esnekliğinin bir kısmını benimsemelidir.
Durumun Değerlendirilmesi
Bir Sıfır Güven programı oluşturmayı planlarken devlet kurumları, uygulamalarını işletmelerin kendi geçişleri için kullandıkları adımları temel alarak modellemeye çalışmalıdır. Bu, kuruluşun güvenlik duruşunun ilk değerlendirmesiyle başlar. Her ne kadar bariz görünse de, kurumların potansiyel boşlukların nerede olabileceğini anlamak için öncelikle şu anda yürürlükte olan mekanizmaları değerlendirmeleri gerekiyor. Potansiyel tehditlerin belirlenmesi Sıfır Güven’in temelini oluşturmada önemli bir ilk adımdır.
Geçişi Planlamak
Kapsamlı bir değerlendirme tamamlandıktan sonra kurum liderleri geçişi kendisi planlamaya başlayabilir. Sıfır Güven son derece karmaşık olabilir; bu da liderliğin hedefleri önceden tanımlamasını ve projenin sonucuna ilişkin beklentileri belirlemesini önemli kılar. Halihazırda CISA tarafından yayınlanmış olan kılavuz göz önüne alındığında, kurumların hedefleri tanımlamak için bir temel ve bu hedeflere ulaşmak için bir zaman çizelgesi vardır. Bu aynı zamanda sürecin uygulama için kaynakların tahsis edildiği aşamasıdır. Bütçeler kurumdan kuruma değişiklik gösterse de – özellikle federal bir kurum ile yerel bir departmanı karşılaştırırken – kuruluşların kendilerine sunulan kaynakları anlamaları gerekir. Her seviyedeki kurum liderleri, kamuya hizmet eden altyapının korunmasına yönelik güvenlik projelerinin desteklenmesini savunmalıdır.
Stratejinin Yürütülmesi
Bir eylem planının sunulmasının ardından kurumlar fiili uygulama aşamasında ilerleme kaydetmeye başlayabilir. Sıfır Güven’in uygulanması bulmacanın en karmaşık ve en önemli parçasıdır. Sıfır Güven teknolojilerinin uygulanmasında çalışanların eğitiminin önemi gözden kaçırılmamalıdır. Sıfır Güven ilkeleri kurum personeli için yeni olabilir ve ekip üyelerini yeni dağıtılan mimaride nasıl çalışacakları konusunda eğitmek için özel eğitim oturumları gerektirebilir. Bireysel katkıda bulunanlar, kötü niyetli aktörlerin Sıfır Güven savunmalarına sızmasına yardımcı olabilecek sosyal mühendislik saldırılarının kurbanı olmaktan kaçınmak için şüpheli faaliyetlere ilişkin yaygın uyarı işaretlerini bilmelidir.
Uyarlama ve İyileştirme
Dağıtım tamamlandıktan sonra bile Sıfır Güven ile iş asla tam olarak tamamlanmaz. Kurum liderliği, Sıfır Güven mimarisinin izlenmesi ve sürekli iyileştirilmesine yönelik süreçleri uygulamalıdır. Liderler, Sıfır Güven uygulamasının daha önceki planlama aşamalarında belirtilen hedeflere yönelik ilerlemeyi izlemek için performans ölçümleri oluşturmalıdır. Bir tür ölçüm olmadan Sıfır Güven girişimlerinde ilerleme kaydedildiğini göstermek zor olabilir. Kuruluşlar, Sıfır Güven teknolojilerinin ölçümlerini takip ederek ve düzenli olarak gözden geçirerek, çerçevelerini ekiplerinin benzersiz güvenlik hususlarına daha iyi uyacak şekilde uyarlamaya devam edebilir.
Daha Güvenli Bir Gelecek İnşa Etmek
Sıfır Güven uygulamasına ilişkin konuşmaların önümüzdeki yıl kamu sektörüne hakim olacağı kesin. Dağıtımda ajans ortamına özgü pek çok engel olsa da, özel şirketler Sıfır Güven stratejilerini yıllardır ince ayarlıyor. Özel sektördeki tüm bu deneme yanılma, kurumlara kendi Sıfır Güven yolculuklarında hangi adımları atmaları ve hangilerinden kaçınmaları gerektiğini gösterebilir.
yazar hakkında
Kevin Kirkwood, CISO Yardımcısı, LogRhythm. LogRhythm’in dahili güvenlik uygulamalarına liderlik ediyorum. Ekiplerim arasında yönetim, risk ve uyumluluk (GRC), uygulama güvenliği (AppSec), güvenlik operasyonları merkezi (SOC) ve fiziksel güvenlik yer alıyor. Güvenlik uygulamaları, araçları ve operasyonlarındaki bu yoğunlaşma, ekibin ve benim, çalışanları, sistemleri ve nihayetinde ürünlerimizi kullanacak olan müşterilerimizi korurken geleceğin güvenlik platformlarını oluşturmak için güvenli bir temel sağladığımızdan emin olmamızı sağlıyor. Bana LinkedIn’den ve şirketin www.logrhythm.com web sitesinden ulaşılabilir.