Siber güvenlik: Beyaz Saray federal kurumlar için sıfır güven stratejisini uygulamaya koyuyor

Biden Yönetimi piyasaya sürülmüş Hükümeti "sıfır güven" güvenlik modeline doğru yönlendirecek federal kurumlar için yeni bir siber güvenlik stratejisi.

Yaklaşık 30 sayfalık plan, federal kurumların sistemleri güvence altına almak ve güvenlik olayları riskini sınırlamak için önümüzdeki iki yıl içinde alması gereken düzinelerce önlemi ortaya koyuyor. Hükümet hâlâ iyileşme sürecinde SolarWinds skandalıRus bilgisayar korsanlarının birçok ABD kurumunun hükümet sistemlerinde aylarca harcadığı görüldü.

Ayrıca bakınız: DHS: Amerikalılar olası Rus siber saldırılarına hazırlıklı olmalı

Devlet kurumlarının, 2024 mali yılının sonuna kadar, yukarıda açıklanan önlemlerin çoğunu uygulamaya koyması gerekiyor. Plan, daha sıkı ağ bölümlendirmesini, çok faktörlü kimlik doğrulamayı ve yaygın şifreleme. Departmanlara, tedbirleri uygulayacak ve belirli bilgileri hassasiyete göre sınıflandıracak lider adaylarını atamaları için 60 gün veya 120 gün süre veriliyor.

Beyaz Saray söz konusu Büyüyen karmaşık siber saldırı tehdidi, "Federal Hükümetin artık kritik sistemleri ve verileri korumak için geleneksel çevre tabanlı savunmalara güvenemeyeceğinin altını çizdi."

"Sıfır güven stratejisi, kurumların bu tür tehditleri daha hızlı tespit etmelerini, izole etmelerini ve bunlara yanıt vermelerini sağlayacak. Ajanslara yönelik bir dizi spesifik güvenlik hedefini detaylandıran yeni strateji, kapsamlı bir Federal Hükümeti ulusumuzu korumaya yardımcı olacak yeni bir siber güvenlik paradigmasına geçirmek için yol haritası. Beyaz Saray, bu hedeflerin mevcut sıfır güven modelleriyle doğrudan uyumlu olduğunu ve onları desteklediğini belirtti.

Hareket, ülkenin sistemlerini güvence altına almaya yönelik geçen yıl başlayan daha büyük bir çabanın parçası icra emriyle.

Eylül ayında Beyaz Saray stratejinin ilk taslağını yayınladı. Nihai taslak, siber güvenlik uzmanlarından, şirketlerden ve kar amacı gütmeyen kuruluşlardan gelen görüşleri içeriyor.

Beyaz Saray, son dönemdeki gelişmelere dikkat çekti. Log4j güvenlik açığı "düşmanların kapıya adım atmak için yeni fırsatlar bulmaya devam edeceklerinin en son kanıtı."

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Direktörü Jen Easterly, sıfır güvenin hükümetin savunmasını modernize etmek ve güçlendirmek için çok önemli bir unsur olduğunu söyledi.

Easterly, "Düşmanlarımız altyapımızı ihlal etmek için yenilikçi yollar aramaya devam ederken, biz de federal siber güvenliğe yaklaşımımızı temelden dönüştürmeye devam etmeliyiz" dedi. "Ortak bir olgunluk temeline ulaşmaya çalışırken CISA, ajanslara teknik destek ve operasyonel uzmanlık sağlamaya devam edecek."

Ayrıca bakınız: CISA, kötüye kullanılan 13 güvenlik açığını listeye ekledi; bunlardan 9'unun düzeltme tarihi 1 Şubat'tır

Bir dizi kuruluş, federal hükümetin güvenlik duruşunu güncellemesi ve belirli sistemleri kilitlemek için daha fazlasını yapması gerektiğini belirterek bu hareketi destekledi.

Google Cloud'un CISO'su Phil Venables, Google'ın uzun süredir modern güvenliğin benimsenmesini savunduğunu söyledi sıfır güven gibi yaklaşımlar sergileyecek ve federal hükümeti "sıfır güvene doğru ilerlerken" destekleyecektir seyahat."

Tripwire'ın stratejiden sorumlu başkan yardımcısı Tim Erlin, mutabakatın ABD hükümeti genelinde siber güvenlik açısından ileriye doğru atılmış önemli bir adım olduğunu söyledi. Ancak stratejinin sıfır güvenin temel ilkelerinden biri olan dürüstlük izleme konusunda daha net bir rol sağlamamasının "talihsiz" olduğunu belirtti.

"Hem CISA hem de NIST'ten gelen belgeler, sıfır güvenin önemli bir bileşeni olarak dürüstlük izlemeyi içeriyor, ancak OMB mutabakatı benzer bir muamele içermiyor. Bu mutabakat, Uç Nokta Tespiti ve Yanıtı (EDR) ile ilgili önemli gereksinimleri ve tartışmaları içeriyor ve bunu yaparken belirli bir teknolojiye aşırı güvenme riskini taşıyor" dedi Erlin.

"EDR halihazırda Yönetilen Tespit ve Yanıt (MDR) ve Genişletilmiş Tespit ve Yanıt'a dönüşüyor. Siber güvenlik teknolojisi ortamı hızlı bir şekilde hareket ediyor ve kurumların kendilerini eskimiş bir yeteneği uygulamaya koymak ve çalıştırmak zorunda kalmaları konusunda gerçek bir risk var."