Siber güvenlikte en son yayınlanan en iyi uygulamaları öğrenmek istediğimde Ulusal Standartlar ve Teknoloji Enstitüsü’nü (NIST) ziyaret ediyorum. En son parola gereksinimlerinden (NIST 800-63) üreticiler için IoT güvenliğine (NISTIR 8259) kadar, NIST her zaman başlangıç noktasıdır. NIST, kuruluşun profesyonelliği ve NIST belgelerinin oluşturulmasına yardımcı olan dış uzmanlar nedeniyle ABD’de standart belirleyici olarak kilit bir rol oynamaktadır.
NIST Siber Güvenlik Çerçevesi (CSF) ilk olarak 2014’te yayınlandı ve en son 2018’de güncellendi. Çerçeve, kuruluşların iyi planlanmış ve kullanımı kolay bir çerçeve ile kritik altyapının güvenliğini ve esnekliğini geliştirmesini sağlar.
SaaS’ta devam eden büyüme ve COVID-19 nedeniyle çalışma ortamındaki büyük değişiklikler yeni güvenlik zorluklarını beraberinde getiriyor. CSF, SaaS yükselişteyken yazılmış ve güncellenmiş olsa da, hala klasik kritik altyapı güvenliği sorunlarına yöneliktir. Ancak kuruluşlar, CSF’yi modern, SaaS tabanlı çalışma ortamlarına uyarlayarak yeni risklere daha iyi yanıt verebilir.
Şahsen bu Çerçeveyi seviyorum, ancak gerçeği söylemek gerekirse, Çerçeve derinlemesine okunduğunda karmaşıklığı açıktır ve onu takip etmek zor olabilir. Bu makale, CSF’nin temel unsurlarını gözden geçirecek, temel değerlerine işaret edecek ve SaaS güvenliği için uygulamalar önerecektir.
Kuruluşunuzun NIST uyumluluğunu nasıl otomatikleştireceğinizi öğrenin
NIST CSF’ye Genel Bakış
NIST CSF, güvenliğin beş işlevini düzenler, ardından bunları kategorilere ve alt kategorilere ayırır. Alt kategoriler gerçek kontrolleri içerir. Her alt kategori için, CSF, ISO 27001, COBIT, NIST SP 800-53 ve ANSI/ISA-62443 gibi iyi bilinen standartlar ve çerçevelere çapraz referansların bir listesini içerir.
Bu çapraz referanslar, kuruluşların CSF’yi uygulamasına ve onu diğer çerçevelerle eşleştirmesine yardımcı olur. Örneğin, güvenlik yöneticileri veya diğer ekip üyeleri, şirketin uyması gereken güvenlik standardı ne olursa olsun, kararlarını haklı çıkarmak için referansları kullanabilir.
Çerçeve, tek bir belgede, siber güvenlik tehditleriyle başa çıkmak için bir dizi yaklaşımı birleştirir. Bu içerir:
- prosedürlerin ayarlanması
- Eğitim
- rolleri tanımlama
- denetleme
- izleme
Çerçevenin beş aşamalı bir çekirdek yapısı vardır: Tanımla, Koru, Algıla, Yanıtla ve Kurtar. Onları senin için mermilere ayıracağım.
Tanımlamak
NIST bu işlevi şu şekilde tanımlar:
“Sistemlere, varlıklara, verilere ve yeteneklere yönelik siber güvenlik riskini yönetmek için kurumsal anlayışı geliştirin.”
Bu işlev içinde NIST, aşağıdaki kontrol kategorilerini içerir:
- Varlık Yönetimi
- İş çevresi
- Yönetim
- Risk değerlendirmesi
- Risk Yönetimi Stratejisi
- Tedarik Zinciri Risk Yönetimi.
Korumak
NIST bu işlevi şu şekilde tanımlar:
“Kritik altyapı hizmetlerinin sunulmasını sağlamak için uygun önlemleri geliştirin ve uygulayın.”
Bu işlev içinde NIST, aşağıdaki kontrol kategorilerini içerir:
- Giriş kontrolu
- Farkındalık ve Eğitim
- Veri güvenliği
- Bilgi Koruma Süreçleri ve Prosedürleri
- Bakım onarım
- Koruyucu Teknoloji
Tespit etmek
NIST bu işlevi şu şekilde tanımlar:
“Bir siber güvenlik olayının meydana geldiğini belirlemek için uygun faaliyetleri geliştirin ve uygulayın”.
Bu işlev içinde NIST, aşağıdaki kontrol kategorilerini içerir:
- Anomaliler ve Olaylar
- Güvenlik Sürekli İzleme
- Tespit İşlemleri
Cevap vermek
NIST bu işlevi şu şekilde tanımlar:
“Tespit edilen bir siber güvenlik olayıyla ilgili harekete geçmek için uygun faaliyetleri geliştirin ve uygulayın”.
Bu işlev içinde NIST, aşağıdaki kontrol kategorilerini içerir:
- Müdahale Planlaması
- iletişim
- analiz
- Azaltma
- İyileştirmeler
Kurtarmak
NIST bu işlevi şu şekilde tanımlar:
“Dayanıklılık planlarını sürdürmek ve bir siber güvenlik olayı nedeniyle bozulan yetenekleri veya hizmetleri geri yüklemek için uygun faaliyetleri geliştirin ve uygulayın”.
Bu işlev içinde NIST, aşağıdaki kontrol kategorilerini içerir:
- Kurtarma Planlaması
- İyileştirmeler
- iletişim
CSF’yi SaaS Güvenliğine Uygulama
Kesinlikle en iyi uygulamalarda bir model olsa da, Çerçeve uygulanması bir zorluktur.
Aktarılan veriler korunur (PR.DS-2)
SaaS hizmetlerini kullanan bir şirket, bunun kendileri için ne kadar alakalı olduğunu merak edebilir. Uyumluluğun SaaS sağlayıcısının sorumluluğunda olduğunu düşünebilirler. Bununla birlikte, daha derinlemesine bir bakış, birçok SaaS sağlayıcısının güvenlik önlemleri aldığını ve bunları kullanmaktan kullanıcının sorumlu olduğunu gösterir.
Örneğin, yöneticiler HTTP aracılığıyla bir SaaS hizmetine herhangi bir bağlantıya izin vermemelidir. Yalnızca güvenli HTTPS bağlantılarına izin vermelidirler.
Veri sızıntılarına karşı koruma uygulanır (PR.DS-5)
Bu küçük bir alt kategori gibi görünebilir, ancak altında bir dev var. Veri sızıntılarını önlemek son derece zordur. SaaS uygulamasının benimsenmesi bunu zorlaştırıyor çünkü insanlar dünyanın her yerinden bunları paylaşabiliyor ve bunlara erişebiliyor.
CISO ofisinin bir yöneticisi veya üyesi bu tehdide özellikle dikkat etmelidir. SaaS’daki DLP, aşağıdakiler gibi güvenlik önlemlerini içerebilir:
- gerçek dosya yerine dosyalara bağlantılar paylaşmak
- bağlantı için bir son kullanma tarihi belirleme
- gerekli değilse indirme seçeneğini devre dışı bırakmak
- Veri analizi SaaS’de verileri dışa aktarma yeteneğinin engellenmesi
- kullanıcı kimlik doğrulaması sertleştirme
- SaaS iletişiminde yerel ayar kaydının önlenmesi
- sınırlı sayıda süper kullanıcı ve yönetici ile iyi tanımlanmış kullanıcı rolleri
Yetkili cihazlar, kullanıcılar ve süreçler için kimlikler ve kimlik bilgileri verilir, yönetilir, doğrulanır, iptal edilir ve denetlenir (PR.AC-1)
Bir kuruluş iş gücünü ve SaaS’ı benimsemesini ölçekledikçe, bu alt kategori daha zorlu hale gelir. Yalnızca beş SaaS üzerinden 50.000 kullanıcıyı yönetmek, güvenlik ekibinin 250.000 kimliği yönetmesi gerektiği anlamına gelir. Bu sorun gerçek ve karmaşıktır.
Daha da zorlayıcı olan her SaaS, kimlikleri tanımlamanın, görüntülemenin ve kimlikleri güvence altına almanın farklı bir yoluna sahiptir. Riske ek olarak, SaaS uygulamaları her zaman birbiriyle entegre olmaz, bu da kullanıcıların kendilerini farklı sistemlerde farklı ayrıcalıklarla bulabileceği anlamına gelir. Bu daha sonra potansiyel bir güvenlik riski oluşturabilecek gereksiz ayrıcalıklara yol açar.
Uyarlanabilir Kalkan NIST CSF Gereksinimlerini Karşılamaya Nasıl Yardımcı Olabilir?
NIST CSF, günümüzde siber güvenlik için bir endüstri standardıdır, ancak onu tipik manuel uygulamalar ve süreçlerle uygulamak zorlu bir mücadeledir. Peki neden otomatikleştirmiyorsunuz?
Uyarlanabilir Kalkan bir SaaS Güvenlik Duruş Yönetimi (SSPM) çözümü Bu, SaaS mülkü genelinde uyumluluk ve yapılandırma kontrollerini otomatikleştirebilir. Uyarlamalı Kalkan, güvenlik ekiplerinin yapılandırma zayıflıklarını kolayca görmelerini ve hızlı bir şekilde düzeltmelerini sağlayarak, NIST CSF’nin şirket ve endüstri standartlarıyla ve ayrıca SOC 2 ve CSA Bulut Kontrolleri Matrisi gibi diğer uyumluluk zorunluluklarıyla uyumluluğu sağlar.
.
siber-2