Kasım 2021’de Biden yönetimi bir bağlayıcı operasyonel direktif federal verileri ve sistemleri siber saldırılara karşı korumak için iki ana araç yarattı. İlk olarak, bilinen-sömürülen, kritik güvenlik açıklarının resmi, Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından yönetilen bir kataloğunu oluşturdu; ve ikincisi, tüm federal kurumların (ve müteahhitlerin) bunları düzeltmesi için gereksinimleri ortaya koydu. Bu yeni yönerge, devlet kurumlarını ağlarına ve sistemlerine önemli düzeyde izinsiz girişlere yol açabilecek siber risklerden korumayı amaçlamaktadır. Görünüşe göre, federal kurumlar, özel meslektaşları gibi, yama yönetimi söz konusu olduğunda önemli zorluklarla karşı karşıya.
Bu yönerge daha uygun bir anda gelemezdi. Son 12-24 ayda, yüksek düzeyde finanse edilen ve hassas bilgileri sızdırmak için motive olan tehdit aktörlerinin karmaşık saldırılarında hızlı bir artış görüldü. Bu saldırılar, hem özel sektörde hem de kamu sektöründe birbirine bağlı tüm sistemlerimizi etkiler; kimse bağışık değildir. Tehdit araştırmamız tehdit aktörlerinin bilinen güvenlik açıklarından hızla yararlandığını ve genellikle bir yamanın yayınlanmasından sonraki 72 saat içinde bir saldırı oluşturduğunu göstermiştir. Ne yazık ki, çok az kuruluş bu kadar hızlı yama yapacak kaynaklara sahiptir.
Bununla birlikte, gerçekten endişe verici olan, birçok kamu ve özel kuruluşun yama yönetimi prosedürlerinde ne kadar geride olduğudur. Müşterilerimizin, birkaç yıllık ve hala yama uygulanmamış, iş açısından kritik öneme sahip uygulamalarında sık sık bilinen güvenlik açıkları buluyoruz. Bu yönerge, ajansların ve üçüncü taraf satıcılarının bu bilinen güvenlik açıklarını bulmak ve düzeltmek için planlar geliştirmesini sağlayarak bunu değiştirmeyi amaçlamaktadır.
Çok sayıda çalışma gösteriyor ki güvenlik açıklarını tespit etmek ve doğru yamaları hızlı ve verimli bir şekilde önceliklendirmek en büyük zorluklardır. Yönerge, öncelikli bir güvenlik açıkları kataloğu oluşturarak federal kurumlara destek vermeyi amaçlamaktadır. İyileştirme için bir plan ve süreç oluşturma sorumluluğu yine de bireysel federal kurumlara aittir.
Bununla birlikte, Biden yönetiminin ABD’nin ve buna bağlı olarak federal hükümete hizmet sağlayan şirketlerin siber güvenlik duruşunu iyileştirmede bu kritik adımı attığını görmekten memnuniyet duyuyoruz. Cesur olsa da, Amerika Birleşik Devletleri hükümetinin ve özel sektör ortaklarının kullandığı kritik sistemlere yönelik riski en aza indirmenin ve hafifletmenin ilk adımı olmaya devam ediyor. Önlemin gereklilikleri, yalnızca standart güvenlik uygulamaları olarak bildiğimiz şeyleri zorunlu kılar.
Bu anı, kuruluşların takip etmesi için sıklıkla zorlayıcı olan diğer siber güvenlik en iyi uygulamalarının neler olduğunu keşfetmeye ayırmalıyız. Gevşek standart güvenlik uygulamalarının aşağıdakilere yol açabileceğini gördük. felaket sonuçlar. Burada, Amerika Birleşik Devletleri’nin ve özel ortaklarının güvenlik durumu üzerinde büyük etkisi olacak güvenlik prosedürlerinin seçilmiş örnekleri verilmiştir.
Üçüncü Taraf Riskini Tanımlayın ve Azaltın
Bir kuruluş ancak en zayıf halkası kadar güvenlidir. Kritik uygulamalar bir kuruluşun operasyonlarının merkezinde yer aldığından, bunlar yalnızca birden fazla dahili sisteme değil, aynı zamanda üçüncü taraflara da bağlıdır. Bu uygulamalar birden fazla kuruluşta çalıştığından, kuruluşların üçüncü taraf riskini değerlendirmek için kayıtlı bir sürece ihtiyacı vardır. Bu nedenle, riski daha doğru anlamak için herhangi bir güvenlik açığı yönetim programını bağlı sistemlere ve üçüncü taraflara genişletmek önemlidir.
Tüm üçüncü taraf satıcıları değerlendirerek başlayın. Hangi verilere erişebileceklerini ve bunları nasıl kullandıklarını net bir şekilde anlayın.
Enstitü Sürekli İzleme Kontrolleri
SolarWinds saldırısında gördüğümüz gibi, bazen rutin bir yazılım güncellemesinin federal kurumlar ve özel sektörler üzerinde önemli bir siber güvenlik etkisi olabilir. Savunmayı güçlendirmek önemli olsa da, tilkinin kümeste olmadığından da emin olmalısınız.
Kritik uygulamalarınızı gerçek zamanlı olarak izlemek için bir sistem uygulamak, tehditleri oluştukları anda belirlemenize yardımcı olabilir, doğru hızlı müdahale ekiplerini bir kriz haline gelmeden müdahale etmeleri için uyarabilir ve nihayetinde tehdit aktörlerinin hassas verileri sızdırmasını önleyebilir.
Çalışanlara Daha İyi Siber Güvenlik Eğitimi Sunun
Tekrarlanan araştırmalar, kimlik avı saldırılarının ve sosyal mühendisliğin, ajansların ve ağların güvenliğinin ihlal edilmesinin en yaygın yollarından ikisi olduğunu gösteriyor. (Diğeri ise yazılım açıklarından yararlanmaktır!) Çoğu zaman, zaman sıkıntısı çeken veya sadece işini yapmaya çalışan insanlar basit hatalar yaparlar. Kimlik avı bağlantılarına veya kötü amaçlı yazılım içerenlere tıklarlar.
Tüm saldırı vektörleri arasında bu, çalışanların nasıl hedef alındıklarını anlamalarına yardımcı olarak son derece önlenebilir olanıdır.
Temel Bilgilere Geri Dönün
Yama yönetimi yönergesi, ajansları ve ortaklarını sistemlerindeki bilinen güvenlik açıklarını gidermeye zorlayacak ve bu, başından beri yapmaları gereken bir şey. Biden yönetim direktifi, bu saldırı vektörünü büyük ölçüde kesmeye çalışacak. Yönerge, federal bilgi sistemlerinde bulunan tüm yazılımlar için geçerli olduğundan, ister ajans tesislerinde yönetilsin, ister bir ajans adına üçüncü şahıslar tarafından barındırılsın, geniş kapsamlı bir etkisi olacaktır.
Biden yönetimi, hükümetimizi ve toplumumuzu riske atan yazılım açıkları konusunda federal kurumlarda farkındalık ve hesap verebilirliği artırmak için bazı cesur adımlar attı. Federal hükümetin diğer en iyi güvenlik uygulamalarını kurumsallaştırmaya başladığını görmek için sabırsızlanıyoruz. Bildiğimiz gibi, federal düzeyde alınan önlemler, özel sektörle aşağı yönde dalgalı bir etkiye sahip olabilir. Federal hükümet burada başı çekerse, hem kamu hem de özel sektör üzerindeki etkisi ve etkisi derin olacak ve bu, en kritik sistemlerimiz için şimdi ve gelecekte daha iyi güvenlik sağlanmasına yol açacaktır.