Biden yönetici düzeni, ABD siber güvenliğinin geleceği için sıfır güven konusunda büyük iddialarda bulunuyor

Amerika Birleşik Devletleri federal hükümeti onayladı, onayladı ve sıfır güvene ihtiyaç duydu. ABD hükümeti ve tedarikçileri için bu yürütme emri muazzam bir değişimi temsil ediyor.

Veri güvenliği

Resim: Andriy Onufriyenko / Getty Images

Bu gönderi, Ulusun Siber Güvenliğini İyileştirme Yönetmeliği ve siber güvenlik ve sıfır güven yaklaşımı üzerindeki etkisi. Biden yönetimi ayrıca bir bilgi formu: "Başkan, Ulusun Siber Güvenliğini İyileştirmek ve Federal Hükümet Ağlarını Korumak İçin Yeni Bir Kurs Düzenleyen Yönetici Siparişini İmzaladı", özellikle hükümet dışı kuruluşlar için kontrol edilmesini önerdiğimiz yürütme düzeninin sağlam bir özetini veriyor.

Forrester'ın güvenlik ve risk ekibi, on yıldan fazla bir süredir sıfır güven tamburunu vurdu. Ve şimdi, Birleşik Devletler federal hükümeti onayladı, doğruladı ve sıfır güvene ihtiyaç duydu. ABD hükümeti ve tedarikçileri için bu yürütme emri muazzam bir değişimi temsil ediyor. Ancak sivil toplum örgütleri de bunun yansımalarını hissetmeyi beklemelidir.

GÖRMEK: Kimlik hırsızlığı koruma politikası (TechRepublic Premium)

Yönetim düzeninin dalgalanma etkileri

Yürütme düzeni doğrudan özel sektöre dokunmaz, ancak bunun gibi büyük dönüştürücü çabalar, güvenlik satıcıları ve kurumsal organizasyonlar için hükümetin çok ötesinde bir değişime yol açacaktır. ABD federal hükümetinin satın alma süreçleri, bu yürütme düzeninin bazı kısımlarının ele almaya çalıştığı katı, modası geçmiş ve buzul dönemidir. Bununla birlikte, bu satın alma sürecinin katı doğası, diğer kurumsal organizasyonların gereksinimleri kodlamalarına ve standartlaştırmalarına yardımcı olmak için kullandıkları bir temel sağlar. Bu yürütme düzeni, kurumsal organizasyonlar rehberlik için ona baktıkça, büyük ölçüde hükümetin ötesine geçecektir.

Devlet alımlarında bunun gibi büyük değişiklikler, hükümetin harcadığı para miktarı göz önüne alındığında ticari teşvikler yaratır. ABD ajansının bütçe taleplerine dayanan tahminler, federal siber güvenlik harcamasının 18 milyar doların kuzeyinde olmasını sağlıyor. Örneğin, Aralık 2020, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tek başına 2,6 milyar dolar aldı finansman. Bundan sonra başlıca etki alanlarını detaylandıracağız.

SBOM gününü alıyor

2018'den beri, ABD Ticaret Bakanlığı'ndaki Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA), kuruluşların oluşturdukları, satın aldıkları ve kullandıkları yazılımın içinde ne olduğunu anlamaları için yazılım tedarik sürecinde şeffaflığı artırmak için bir endüstri çabasını koordine ediyor. Yönetici siparişinin, ürünlerin bir yazılım malzeme listesi (SBOM) sağlaması gerekliliği, kuruluşların ürünlerinde hangi güvenlik açığı bulunan yazılım bileşenlerini hızlı bir şekilde belirlemelerine izin vererek riski yönetmelerine yardımcı olacaktır.

SBOM genellikle gıda ambalajındaki bir içerik listesiyle karşılaştırılır – çoğumuz sadece içerik listesine bakarken, gıda alerjisi olanlar yemek üzere oldukları şeyin onlara zarar vermemesini sağlamak için özel dikkat gösterir. SBOM, kuruluşların kullandıkları ve ürettikleri ürünlerin kritik güvenlik açıkları olan herhangi bir bileşen içerip içermediğini kolayca görmelerine olanak tanır. Araştırmacılar açık kaynak veya diğer yazılım bileşenlerinde yeni güvenlik açıklarını keşfettiklerinde, güvenlik ekipleri SBOM'leri hızla inceleyebilir, hangi ürünlerin bu bileşenlere sahip olduğunu belirleyebilir ve düzeltmeye öncelik verebilir.

Önümüzdeki 60 gün içinde, Ticaret Bakanı bir SBOM için minimum unsurları yayınlamalıdır. Günümüzde birden fazla SBOM biçimi vardır ve tüm yazılım bileşenleri için standartlaştırılmış adlandırma kurallarından yoksunuz. Bu maalesef ilk gün evrensel olarak tutarlı olmayacak, ancak doğru yönde bir harekettir.

Olası biçim karmaşası bir yana, kullanıcılarınıza yeterince iyi bir SBOM sağlamak önemlidir. Gıda etiketlerinde okuduğumuz tüm malzemeleri de anlamıyoruz. Yazılım bileşimi analizi (SCA), güvenlik açığı yönetimi ve üçüncü taraf risk yönetimi tedarikçilerinin, tercih edilen SBOM kurallarını tekliflerine entegre ederek müşterilerini etkinleştirmesini bekleyin.

Tedarik zinciri ve üçüncü taraf riski

Yönetici emri, "geliştiricilerin ve tedarikçilerin güvenlik uygulamalarını değerlendirmek için" kriterler geliştirmeyi içerir ve taban çizgisinin üzerine çıkan satıcıları ve ürünleri tanımlamak için bir etiketleme sistemi önerir. Yönetim düzeninin bu kısmının resmileştirilmesi ve özgüllüğü, segmente bakılmaksızın, günümüzde yazılım ve teknoloji ile uğraşan her kuruluşun karşılaştığı en büyük sorunlardan biriyle uyumludur. Şirketlerin "Sattıklarınızı Güvence Altına Almak" için gerçekten zaman ayırıp ayırmadıkları, ihlallerin ve veri kaybının yinelenen temel nedenidir ve son zamanlarda yaşanan sorunlar bu idari emrin imzalanmasını hızlandırmaktadır.

Siber güvenlik için ulusal bir ulaşım güvenlik kurulu eşdeğeri

Bu icra emriyle, nihayet siber güvenlikteki "tren kazaları" ile uğraşmak için (hem kamu hem de özel sektörden temsil edilen) bir organa sahip olacağız. Bu, kamu ve özel sektörü kapsayan bilgi paylaşımını muazzam bir şekilde geliştirecek ve kuruluşların uygun personel, güvenlik teknolojileri ve önemli süreçlerin uygulanmasına öncelik vermesine yardımcı olacaktır. Siber Güvenlik Güvenlik İnceleme Kurulunun kurulmasıyla, nihayet, başka bir kuruluşun aynı tehlikelerden nasıl kaçınabileceğine dair temel, kuralcı önerilerle birlikte, endüstriler arasında paylaşılan kritik siber olaylar hakkında bilgi edinebiliriz.

İcra düzeninde değinilen diğer alanlar

Özel sektör ve hükümet arasındaki bilgi paylaşımı ön plana çıkıyor. Standartlaştırılmış yanıt oyun kitapları, raporlama standartları, algılama, araştırma, yanıt ve iyileştirme de bunlardan bahsedilir. Çeşitli kurumlar ve kabine düzeyindeki pozisyonlar, bu yürütme düzenini federal hükümet ve özel sektör genelinde gerçeğe ve işleyişe dönüştürecek politikaları oluşturmak ve yayınlamak için son tarihler aldığından, bu alanlardaki ayrıntıların çoğu önümüzdeki 60 ila 120 gün içinde ortaya çıktı. Önümüzdeki iki ila dört ay hükümete sert bir darbe indirecek. Bundan sonra, biz okurken, sindirirken ve bu öğeleri kendi güvenlik ve risk programlarımızda nasıl uyguladığımızı düşünürken herkes için bu şekilde olacaktır.

Heyecan var çünkü bu, Birleşik Devletler için siber güvenlik tarihinde önemli bir an. Ancak tarih, çok fazla umutlanmaktan kaçınmamızı emreder. Kusurlar vardır ve biz sıradakileri keşfederiz – bunun yanlış gittiği tüm olası yollar dahil.

Porsiyonlar, sıfır güven tampon çıkartması ile yıkanmış bir teknoloji listesi gibi görünüyor

Yukarıda belirtildiği gibi, bu, kamu politikasının mevcut federal siber güvenlik modelinin bozuk ve modası geçmiş olduğunu ilk kez kabul etmesi. Bunlar, neredeyse 30 yıllık verilere ve 10 yıllık son derece zarar verici saldırılara sahip olduğumuz göz önüne alındığında atılması gereken ilk adımlar. . Forrester, bir hükümetin çerçeve olarak sıfır güveni resmileştireceğini öngördü ve kesinlikle ABD idi.

Bu yönetici emri "Daha Fazla Teknoloji Satın Almamız Gerekiyor!" sorunu çözmek için (örneğin, uç nokta tespiti ve yanıtından en az 12 kez bahsedilir), ancak genel olarak, sorunların çözülmesini sağlamak için kullandığımız listedeki son şey budur. Ve şimdi bile eski "yeni" satıcıların söylentileri pazara girme ortaya çıkıyor. Bu satıcılardan bazıları, uzaklaşmamız gereken sorunları temsil ediyor, doğru değil.

Günümüzde, çoğu ajans ve departman bu öğeler için bütçeye, bu araçları çalıştıracak personele veya bunların herhangi birini fiilen uygulamak için gereken boş zamana sahip değil. Bu, çoğu kurumsal güvenlik ürünü dağıtımının alanına girerse – dağıtımların yarısı, raf yazılımı ve kullanılan özelliklerin yalnızca% 30'u – o zaman tek yaptığımız bir "devlet güvenlik satıcısı teşvik paketi" oluşturmaktır. Bu satıcıların yatırımcıları ve hissedarları dışında kimsenin bir faydası olduğundan emin değiliz. Bunun başarılı olabilmesi için, güvenlik dönüşümünü yönlendiren gerçek teşvikler hükümetin her düzeyinde mevcut olmalıdır. Güvenlik uygulayıcıları, kontrollerin eklenmesi adına daha fazla kontrolün, daha fazla veya daha iyi güvenlik değil, yalnızca daha fazla karmaşıklık eklediğini bilir.

Güvenlik yaşam döngüsünün tamamı hakkında rehberlik hâlâ eksik

Ne yazık ki, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) kılavuzunun, şu anda içinde yaşadığımız teknoloji gerçekliğine daha fazla dayanmak için büyük ölçüde gelişmesi gerekiyor. Geçen yılın sonuna doğru ortaya çıkan mevcut kılavuz, kötü bir çevrenizdeki aktör, bir tür anormallik tespiti ile birlikte yüksek etki. Güvenlik endüstrisi bu büyülü tespit tek boynuzlu atını yıllardır kovalıyor ve bugün hala orada değil.

Bu referans mimari değer getirir, ancak güvenlik uzmanlarının karşılaştığı sürekli sorunları hesaba katması ve geliştirmesi gerekir. NIST referans mimarilerinin gerçekliğe dayanması gerekir ve kılavuzun, sıfır güvene ulaşmak için kuruluşların gerçekte uyguladıklarıyla eşleşecek şekilde gelişmesi gerekir.

Sıfır güven (nihayet) ana akıma çarptı

Spotify'da nihayet bir hit single düşüren o favori underground grubu gibi, sıfır güven de ana akıma girdi. Sıfır güven yaklaşımının artık ABD'nin federal hükümeti güvence altına alma şekli üzerinde bir etkisi olacak. Forrester, bu benimsemenin küresel olarak ve kurumsal altyapılara doğru genişlemesini bekliyor.

Bu gönderi Başkan Yardımcısı ve Baş Analist Jeff Pollard tarafından yazılmış ve orijinal olarak İşte.

Ayrıca bakın

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*