Yönetişim ve Risk Yönetimi
ABD Siber Savunma Ajansı’nın Amiral Gemisi Tehdit Paylaşımı Girişimi Büyük Engellerle Karşı Karşıya
Chris Riotta (@chrisriotta) •
1 Ekim 2024
Yeni bir gözlemci raporuna göre, ABD’nin en büyük siber savunma kurumu, azalan katılım, güvenlik kaygıları ve kritik altyapıyı koruma yeteneğini zayıflatan bir işe alım stratejisi eksikliği nedeniyle, amiral gemisi tehdit paylaşım girişimlerinden birini sürdürmek için mücadele ediyor.
Ayrıca bakınız: Sonraki Seviye Siber Sigorta Stratejisinin Geliştirilmesi
İç Güvenlik Bakanlığı Genel Müfettiş Ofisi’nin Eylül ayı raporunda, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın Otomatik Gösterge Paylaşımı programına katılımın 2017’den bu yana en düşük seviyesine düştüğü ortaya çıktı. Rapor, bu düşüşü CISA’nın bir sosyal yardım stratejisini sürdürememesine ve Kilit paydaşlarla etkileşim eksikliği, sistem aracılığıyla paylaşılan siber tehdit göstergelerinde %93’lük bir düşüşe neden oldu.
2015 Siber Güvenlik Yasası ile oluşturulan program, kamu ve özel sektör arasında siber tehdit göstergelerinin gerçek zamanlı, otomatik alışverişini kolaylaştırarak katılımcıların güvenlik açıkları, tehdit taktikleri ve kötü niyetli faaliyetlere ilişkin eyleme geçirilebilir istihbaratı paylaşmasına olanak tanıyor. Ancak uzmanlar, Information Security Media Group’a, AIS programının başlangıcından bu yana “şüpheli bir fayda” sağladığını ve bunun tamamen elden geçirilmesi gerekebileceğini, hatta gereksinimleri daha iyi karşılayan daha etkili, güvenilir tehdit paylaşım girişimleri lehine tamamen hurdaya çıkarılabileceğini öne sürdü. Hükümetin ve endüstrinin ihtiyaçları.
CISA’nın eski siber tehdit analizi şefi ve güvenlik firması SailPoint’in CISO’su Rex Booth, ISMG’ye şöyle konuştu: “CISA’daki tehdit istihbaratı paylaşım misyonu kritik ve etkilidir, ancak AIS anlamlı bir katkıda bulunmadı.” Booth, CISA’daki ekibinin, tehdit istihbaratının AIS platformu üzerinden akışını sağlamak için hükümet kaynaklarıyla koordinasyon sağlamak için önemli çaba harcadığını ancak bağlantı sorunları, sınıflandırmanın kaldırılmasındaki engeller veya resmi anlaşmaların sürdürülmesindeki gecikmeler de dahil olmak üzere “herhangi bir sayıda faktörün” operasyonlarını kesintiye uğratabileceğini söyledi. .
Booth, “CISA ve Kongre’nin, bunun devam etmeye değer bir program olup olmadığını veya hedeflerine başka yollarla daha iyi ulaşılıp ulaşılamayacağını değerlendirmesi gerekiyor.” diye ekledi.
CISA, AIS’in yanı sıra, hükümet ve özel sektör ortakları arasındaki siber savunma işbirliğini geliştirmeyi amaçlayan Ulusal Siber Farkındalık Sistemi ve Ortak Siber Savunma İşbirliği de dahil olmak üzere çeşitli tehdit paylaşımı girişimlerine öncülük ediyor. Bu girişimler de benzer şekilde eleştirilerle karşılaştı; CISA, uzmanların girişimin belirsiz üyelik kriterleri ve katılım zorlukları nedeniyle zor durumda olduğu konusunda uyarıda bulunmasının ardından bu yılın başlarında Ortak Siber Savunma İşbirliği’ni elden geçirme planlarının ipuçlarını verdi (bkz: Uzmanlar Yavaş Başlangıcı Eleştirirken CISA JCDC Yenilemesini Planlıyor).
CISA yorum taleplerine yanıt vermedi ancak IG raporuna verdiği yazılı yanıtlarda, 21 Temmuz 2025’e kadar “CISA liderliğinin değerlendirilmesi için bir dizi tavsiyeyle sonuçlanacak” AIS hizmetine ilişkin bir değerlendirmeyi tamamlamayı planladığını söyledi. Uzmanlar zaman çizelgesini “cesaret kırıcı” olarak nitelendirdi ve CISA’yı, katılımcılara daha akıcı ve özel bilgiler sunmayı amaçlayan yeni Tehdit İstihbaratı Kurumsal Hizmetler girişimi kapsamında operasyonlarının elden geçirilmesini hızlandırmaya çağırdı.
Phosphorus Security’nin CISO’su John Terrill’e göre, AIS “siber göstergelerin hem üreticilerinin hem de tüketicilerinin geri çekilmesiyle kendisini bir ölüm sarmalının içinde buldu”. “Neyse ki, CISA bunu biliyor ve umarım kanamayı durdurabilir ve bu bilgi paylaşım girişimini yeni TIES programıyla yeniden başlatabilir.”
“Asıl soru, TIES’in AIS ile aynı kaderi yaşamamak için farklı olarak ne yapacağıdır” diye ekledi.
CISA, 2023’te yeni TIES programını duyururken, AIS’in ilk günlerinden bu yana “siber güvenlik sektörünün önemli ölçüde olgunlaştığını” ve uygulayıcıların “yalnızca hacim ve hız üzerinden” bağlam ve hassasiyete ihtiyaç duyduğunu kabul etti.
Denetçiler, CISA Direktörü Jen Easterly’yi programa federal katılımı artırmaya yönelik stratejiler geliştirmeye çağırdı; isimsiz önemli bir federal kurumun, verilerinin sisteme aktarılmasıyla ilgili belirtilmemiş güvenlik endişeleri nedeniyle programdan çıktığını ve bunun katılımın azalmasına önemli ölçüde katkıda bulunduğunu vurguladı. Genel müfettiş ayrıca kuruma, gelecekteki maliyetlerin belirlenmesine yardımcı olmak amacıyla program için doğru harcama planları geliştirmesi ve sürdürmesi çağrısında bulundu.
SANS sertifikalı eğitmen ve danışman John Doyle, bulguların CISA’nın siber tehdit istihbaratı yoluyla kurumsal dayanıklılığı artırma üzerindeki etkisini tam olarak yansıtmayabileceğini söyledi. Doyle, CISA’nın çeşitli tehdit gruplarının faaliyetlerini vurgulamak için özel sektör ortaklarıyla aktif olarak işbirliği yaptığını, özellikle de ajansın ve Microsoft’un Volt Typhoon grubu hakkında hızla tavsiyeler yayınlaması da dahil olmak üzere Çinli aktörlerin kritik altyapısını hedef alan son çabalarını öne çıkardığını söyledi (bkz: ABD CISA, Volt Tayfunu’na Karşı Önleyici Eylem Çağrısında Bulundu).
Doyle, ISMG’ye şöyle konuştu: “AIS ile ilgili OIG bulguları, CISA’nın kuruluşlara iş esnekliği sağlamaya yardımcı olmak için üstlendiği çabaların yalnızca küçük bir kısmını gösteriyor.” “Bu, kuruluşun siber tehditlerle mücadeleye ve kurumsal dayanıklılık oluşturmaya yardımcı olma rolünü bütünsel olarak değerlendirmeye çalışırken dikkate almamız gereken bir şey.”