Federal Ajanslar Sıfır Güven Konusunda İlerleme Sağlıyor, ancak Zorluklar Devam Ediyor
Dr. Matthew McFadden, Siber, General Dynamics Information Technology (GDIT) Başkan Yardımcısı
Biden yönetimi, bir yıldan biraz daha uzun bir süre önce, tüm kurumlar için ortak bir hedef belirleyen Ulusun Siber Güvenliğini Geliştirmeye ilişkin Yürütme Kararı’nı (EO) yayınladı: Sıfır Güven Mimarisi’ne doğru ilerlemek için en iyi güvenlik uygulamalarını benimsemek. Sıfır güven, “asla güvenme, her zaman doğrula” kavramı etrafında geliştirilmiş bir siber güvenlik çerçevesidir. Bir kuruluşun ağının içinde veya dışında olsun, tüm kullanıcıların uygulamalara ve verilere erişmek için sürekli olarak doğrulanmasını gerektirir.
OMB sıfır güven stratejisi notu, teknik referans mimarileri ve Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) Siber Güvenlik Olgunluk Modeli dahil olmak üzere EO’yu sıfır güven uygulaması hakkında kapsamlı rehberlik izledi.
GDIT’in Siber Uygulaması, ilerlemeyi değerlendirmek ve sıfır güvene giden yolda devam eden sıkıntılı noktaları belirlemek için BT karar verme sürecinde etkili olan 300 federal liderle (%60 sivil ve %40 savunma) anket yaparak sektör araştırması yaptı. Rapor, sıfır güven planlaması, sıfır güven hakkında bazı yanlış anlamalar ve bazı öngörülen uygulama zorlukları etrafında sağlam bir ivme buldu.
Sıfır Güven Momentumu
Ankete katılanların yüzde yetmiş altısı, kurumlarının yerinde veya iş başında resmi bir sıfır güven planına sahip olduğunu bildirdi. Üçte ikisi, federal sıfır güven gereksinimlerini zamanında veya mali yıl (FY) 2024 son tarihinden önce karşılayacaklarını söyledi; yüzde 21 daha o zamana kadar gereksinimleri karşılamaya yaklaşacak.
Ankete katılanların yaklaşık yarısı, sıfır güven stratejilerinin ve uygulama planlarının geliştirilmesinde ajanslara yardımcı olacak bir yol haritası olan CISA’nın Sıfır Güven Olgunluk Modelini kullanarak sıfır güven uygulamalarını oluşturuyor. Bu model beş temel sütun etrafında inşa edilmiştir: kimlik, cihaz, ağ, uygulama iş yükü ve veri.
Olgunluk düzeylerini değerlendirmek için bir çerçeve olarak olgunluk modelindeki sütunları kullanan katılımcıların çoğu, şu anda ya geleneksel ya da ileri olgunluk düzeyinde olduklarını bildirdi; çok azı optimal seviyeye ulaştı. Yanıt verenler, veri ve kimlik sütunlarında en olgun kişilerdir. Neredeyse tümü, gelecekteki en önemli yatırım önceliklerinin cihaz koruması (yüzde 92) ve bulut hizmetleri (yüzde 90) olduğunu söyledi. Her on kişiden altısı, MY24’ün sonuna kadar sürekli olarak cihaz duruş değerlendirmelerini (örneğin, uç nokta algılama ve yanıt araçlarını kullanarak) çalıştırabileceklerine inanıyor.
Sıfır Güven Yanılgıları
Anket sonuçları aynı zamanda sıfır güvenin faydaları hakkında bazı yanlış kanıları da belirleyerek kavram ve uygulanması hakkında sürekli eğitim ihtiyacına işaret etti. Örneğin, katılımcılar sıfır güven yaklaşımının en büyük yararının (yüzde 57), doğru kullanıcıların doğru zamanda doğru kaynaklara doğru erişime sahip olması olduğunu söyledi, ancak yalnızca dörtte biri, hareketsiz ve aktarım halindeki ayrıntılı veri korumasının bir çözüm olduğunu söyledi. üst fayda. Verilere ve uygulamalara doğru zamanda doğru erişimi sağlamak için kurumlar, çalışanların ihtiyaç duyduğu erişimi sağlamak için iç paydaşlar, diğer kurumlar ve sivil toplum kuruluşları ile koordineli olmalıdır. Ayrıntılı bir veri koruma şeması gereklidir.
Ayrıca, ankete katılanların yarısından azı (yüzde 42), sıfır güvenin en büyük yararının siber saldırı yüzeyinde azalma olduğunu söyledi. Bu şaşırtıcı ve sıfır güven kavramının temel bir yanlış anlaşılmasını yansıtıyor gibi görünüyor: Kullanıcılara yalnızca ihtiyaç duydukları uygulamalara ve verilere erişim izni verildiğinden, herhangi bir ihlalin etkisi sınırlıdır. Esasen, her kullanıcının kaynakları etrafında mikro çevreler oluşturulur; saldırganlar ancak bir yere kadar gidebilir.
Sıfır Güven Uygulama Zorlukları
Anket ayrıca sıfır güven yolculuğundaki engelleri de vurguladı. Ankete katılanların yarısından fazlası (yüzde 58), sıfır güven uygulamasının önündeki en büyük zorluğun mevcut eski altyapıların yeniden inşa edilmesi veya değiştirilmesi gerektiği olduğunu söyledi. Bu eski sistemlerin çoğu, kötü aktörlerin bir ihlalin ardından ajans sistemlerine geniş erişim elde etmelerini sağlayan örtülü güvene dayanır.
Belki de şaşırtıcı olmayan bir şekilde, yüzde 46’sı maliyetlerin bir endişe olduğunu söyledi. Eski sistemlerin değiştirilmesi önemli bir yatırım gerektirecektir. Aynı zamanda, katılımcıların yarısı hangi teknolojilere ihtiyaç duyduklarını belirlemekte zorlandıklarını söyledi. Bu, BT ekiplerinin her zaman program yöneticileriyle yakın işbirliği içinde olmadığını gösteriyor. Görev sahipleri ve BT ekipleri arasındaki işbirliğinin geliştirilmesi, görev ve siber güvenlik teknolojisi uygulaması arasında daha güçlü bir uyum sağlayarak hangi araçların seçileceğini bilmeyi kolaylaştıracaktır.
Sıfır Güven ve Ajans Misyonları
Sıfır güvene giden yolculuk her ajans için farklı olacaktır. Halihazırda uygulanmakta olan teknolojiye, ajansın görev gereksinimlerine ve mevcut siber güvenlik duruşuna, ajans ve yüklenici kadrosuna ve daha fazlasına bağlı olacaktır.
Anket verileri, ajansların Beyaz Saray tarafından belirlenen agresif sıfır güven uygulama son tarihlerini karşılamak için çalıştığını, ancak kaynak eksikliği ve anlayıştaki temel boşlukların ilerlemelerini engelleyebileceğini gösteriyor. Bu zorlukların üstesinden gelmek için ajans BT ekipleri şunları yapabilir:
- Verilerin ve hizmetlerin her bir görev üzerindeki etkilerini anlamak için görev sahipleriyle ortak olun. Hangi verilere güvendiklerini, nerede yaşadıklarını ve nasıl kullandıklarını anlayın
- Dijital varlıkları ve bu varlıkların siber güvenliğinin ajans misyonunu nasıl etkileyeceğini belirleyin. Varlığın önemine göre güvenlik kontrollerine öncelik verin
- Mevcut altyapıyı optimize ederek hızlı kazançlar sergileyin. Yapılandırma değişiklikleri ve ilke güncellemeleri aracılığıyla sıfır güvene geçiş yapabilen uygulamaları ve hizmetleri belirleyin
- Ardından, hangi sıfır güven sütununun altına düştüklerine bakılmaksızın, misyona göre en büyük değeri sağlayan artımlı sıfır güven projelerini arayın.
Sıfır güven, yalnızca bir siber güvenlik stratejisi değil, aynı zamanda bir görev etkinleştiricidir. Birincil değeri, onlara ihtiyaç duyan insanlara tam ihtiyaç duydukları anda veri ve hizmetler sağlayarak ajans misyonlarını geliştirmektir. Görev sahipleri, sistem entegratörleri ile ortaklık kurarak ve görev için en büyük değere odaklanan sıfır güvene aşamalı bir yaklaşım benimseyen BT ekipleri, yalnızca sıfır güven gereksinimlerine uyumu değil, aynı zamanda görev başarısını da sağlayacaktır.
yazar hakkında
Dr. Matthew McFadden, Siber, GDIT Başkan Yardımcısı. Dr. Matthew McFadden, GDIT için siber stratejiye öncülük ediyor, siber araştırma ve geliştirmeye öncülük ediyor ve Federal Sivil, Savunma, Sağlık, İstihbarat ve Ulusal Güvenlik pazarları için gelişmiş siber çözümler geliştiriyor. 3000’den fazla profesyonelden, 30’dan fazla ticari siber iş ortağından ve federal hükümet sektöründeki en büyük siber misyonlardan bazılarını destekleyen programlardan oluşan bir siber işgücünü temsil ediyor.