Bu resmi. 26 Ocak’ta ABD Yönetim ve Bütçe Ofisi (OMB), Federal Sıfır Güven Stratejisini, birkaç aydır taslak halinde dolaşan mutabakatın nihai bir versiyonunda ortaya koydu. bu belge tüm federal kurumlarda OMB’nin sıfır güven mimarisi beklentilerini resmileştiriyor ve 2024’ün sonuna kadar çok sayıda siber güvenlik hedeflerini karşılamak için belirlenen son tarihler.
Soru şu ki, ajanslar bu beklentileri karşılamaya ne kadar hazır?
Yine geçen hafta yayınlanan bir ankete göre, anıtsal itme ile görevlendirilen teknoloji ve güvenlik liderleri, kurumlarının sıfır güven uygulama yeteneği konusunda umutlular – ancak OMB’nin onları son teslim tarihleriyle çok hızlı hareket etmeye zorladığına inanıyorlar.
OMB Sıfır Güven Son Tarihlerini Anlama
OMB tarafından talep edilen kapsamlı önlemler, cumhurbaşkanı tarafından Mayıs ayında yayınlanan ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Eylül ayında halka açıklanan Sıfır Güven Olgunluk Modeli tarafından şekillendirilen siber güvenlik yürütme emri tarafından yönlendiriliyor. Bu modele dayalı olarak OMB, hedeflerini siber güvenliğin beş temel sütunu, yani kimlik, cihazlar, ağlar, uygulamalar ve iş yükleri ve veriler etrafında gruplandırdı. OMB’nin 2024 yılı sonuna kadar ajanslara ilişkin beklentilerinin hızlı bir özeti aşağıdaki gibidir:
Kimlik
- Uygulamalara ve ortak platformlara entegre edilmiş merkezi kimlik yönetimini kullanın
- Ağ katmanında zorunlu kılınan, kuruluş genelinde kimlik avına karşı dayanıklı MFA kullanın
- Kullanıcı yetkilendirmesi için en az bir cihaz düzeyinde sinyal gerektir
cihazlar
- CISA’nın Sürekli Teşhis ve Azaltma programı aracılığıyla güvenilir varlık envanterleri oluşturun
- CISA’nın teknik gereksinimlerini karşılayan uç nokta algılama ve yanıtını (EDR) yaygın olarak dağıtın ve kullanın
ağlar
- Teknik olarak desteklenen her yerde şifreli DNS kullanın
- Tüm Web ve API trafiği için HTTPS’yi uygula
- Ajansın segmentasyon yaklaşımını tanımlayan CISA ile istişare halinde sıfır güven mimarisi planı geliştirin
Uygulamalar ve İş Yükleri
- Özel uygulama güvenliği (appsec) test programlarını çalıştırın
- Üçüncü taraf bağımsız appsec değerlendirmesi için onaylanmış appsec firmalarıyla etkileşim kurun
- İnternet üzerinden erişilebilen sistemler için bir genel güvenlik açığı açıklama programı çalıştırın
- Özellikle bulut tabanlı altyapı için değişmez iş yüklerini kullanmaya doğru ilerleyin
Veri
- Hassas belgelere erişimi etiketlemeye ve yönetmeye odaklanarak veri sınıflandırmasını otomatikleştirin
- Kapsamlı günlük kaydı ve bilgi paylaşımını uygulayın
- Ticari bulut altyapısında depolanan şifreli verilere erişimi denetleyin ve izleyin
Ajansların bu son tarihleri karşılama yolunda ilerlemelerini sağlamak için OMB, ajans liderlerinin önümüzdeki birkaç ay içinde karşılaması gereken daha acil kapanış tarihlerine sahiptir.
Bildirimden sonraki 30 gün içinde, tüm ajansların OMB’ye kuruluşları için sıfır güven stratejisi uygulama lideri ataması gerekiyor. Bunlar, 2024’e kadar olan süreçte OMB, CISA ve diğer devlet kurumlarıyla koordinasyon sağlayacak kişiler olacak. Ve nottan sonraki 60 gün içinde ajanslar, OMB’ye bir uygulama planı ve bütçe sunmaya hazır olmalıdır. sıfır güven stratejisi gereksinimlerini karşılamak için önümüzdeki iki yıl için planlama.
Agresif Zaman Çizelgesi Hakkında Belirsizlik
Yürütme emri ve geçen yıl piyasaya sürülen CISA modelleri ile ajanslara verilen avantaja rağmen, federal alandaki birçok kişi, zaman çizelgesinin aşırı iyimser olabileceğini ve potansiyel olarak yarardan çok zarar verebileceğini düşünüyor. A MeriTalk tarafından yayınlanan çalışma geçen hafta, ajans teknoloji uzmanlarının bu son notu yönlendiren siber güvenlik ve modernizasyon çabası için minnettar olduklarına dair olumlu işaretler gösteriyor. 151 federal siber güvenlik karar vericisi arasında yürütülen araştırmaların %92’si, son girişimlerin kurumlarının sıfır güven uygulama becerisine olan güvenlerini artırdığını söylüyor. Ve %73’ü kurumlarının şimdiden agresif bir şekilde sıfır güven ilkelerini benimsediğini söylüyor.
Ancak, %87’si OMB’nin kurumları sıfır güven uygulaması için çok hızlı hareket etmeye zorladığına inanıyor. Her on kişiden yalnızca biri, optimum sıfır güven olgunluğuna ulaşmak için şu anda ihtiyaç duydukları desteğe sahip olduklarını söylüyor.
Siber güvenlik danışmanlık firması Coalfire’da CMMC & FedRAMP Assurance başkan yardımcısı Stuart Itkin, “Sonuçlar sürpriz olmamalı” diyor. “Tarihe dayalı hükümet girişimleri tipik olarak iyi sonuç vermedi.”
Anket, yaklaşık dört katılımcıdan üçünün, kurumlarının cihaz güvenliği konusunda en yüksek düzeyde belirsizlikle beş sütunun her birinde optimum olgunluğa ulaşmasının çok zor olacağını bildirdiğini gösterdi.
Infosec Enstitüsü baş güvenlik araştırmacısı ve KM Siber Güvenlik danışmanı olan Keatron Evans, OMB’nin zaman çizelgesinin “çok agresif” olduğu konusunda hemfikir.
“Bazı açılardan gerçekçi olmayan beklentiler var. Gereksinimlerden bazıları, bazı alanlarda güvenliği daha da kötüleştirebilir,” diyerek, çoğu kurumun sıfır güven yolculuğunun henüz başlangıç kapısında olduğunu açıklamaya devam ediyor. “Cidden, %10’dan daha azının başlamaya hazır olduğunu tahmin ediyorum. Çoğunun teknik uzmanlığı veya uygun bütçesi yok. Belirlenen son teslim tarihlerinden bazılarının ilgili fiili nicel maliyetleri dikkate almadığı hissine kapılıyorum. “