YORUM
Son yıllarda Avustralya, ülkenin güvenlik duruşunu iyileştirmek için bazı önemli hamleler yaptı. 2020 yılında ülke 1,67 milyar AUD yatırım yaptı (1,1 milyar ABD Doları) Siber Güvenlik Stratejisi 2020’nin bir parçası olarak.
Bu çabalara rağmen Avustralya hükümetinin “Siber Tehdit Raporu 2022-2023” Kapsamlı Uzlaşma olarak sınıflandırdığı 58 olayı ve Yalıtılmış Uzlaşma olarak sınıflandırdığı 195 olayı bildirdi. Liman operatörü DP Dünya Avustralya Kasım ayında gerçekleşen siber saldırı nedeniyle faaliyetleri askıya alındı. SA Sağlık, Hizmetler AvustralyaVe NT Sağlık Kasım 2022’deki saldırıların ardından geçen yıl ihlal edilen sağlık hizmeti sağlayıcılarından yalnızca birkaçıydı. Medibank Yaklaşık 10 milyon insanı etkileyen ihlal.
Buna yanıt olarak Avustralya, kendi seviyelerindeki seviyeleri güncelledi. Temel Sekiz Olgunluk Modeli, kendilerini siber saldırılara karşı korumaya çalışan işletmeler için ülkenin kapsamlı kılavuzu. İşletmelerin siber güvenlik tehditlerine karşı koymasına yardımcı olmak için 2010 yılında oluşturulan bir çerçeve olan Essential Eight, birkaç kez güncellendi; en önemlisi, farklı büyüklükteki şirketlerin gerçekleştirilecek uygun güvenlik önlemlerini belirlemesine yardımcı olmak için olgunluk modelini eklediğinde ve en son Kasım 2023’te güncellendi.
Ancak Avustralya’da siber suçlar yaygınlaşırken, Temel Sekiz’in Avustralya kuruluşları için doğru yönlendirmeyi sağlayıp sağlamadığını ve diğer ülkeler için bir model olarak kullanılmasının gerekip gerekmediğini sormanın zamanı geldi.
Temel Sekiz’in İçinde
Essential Eight, 2010 yılında yayımlanmasından bu yana bozulmadan kalmıştır. Yama uygulama, yedekleme ve uygulama kontrolü konularında yön sağlar. 2023 güncellemesi, diğer şeylerin yanı sıra, Microsoft makrolarının kısıtlanmasını öneriyor ve kullanıcı uygulamalarının sağlamlaştırılmasına ilişkin yönergeler içeriyor.
Tüm bu sorunlar önemli olsa da buluta geçişi ve özellikle hizmet olarak yazılım (SaaS) uygulamalarının kullanımını fark edemiyorlar. Temel Sekiz, temel bir SaaS güvenlik ilkesi olan yönetici ayrıcalıklarının kısıtlanmasına ilişkin bir bölüm içerir.
Ancak Olgunluk Düzeyleri incelendiğinde rehberliğin şirket içi ağlara göre uyarlanmaya devam ettiği açıktır. Olgunluk Düzeyi 2, “Sistemlere, uygulamalara ve veri havuzlarına ayrıcalıklı erişim talepleri ilk talep edildiğinde doğrulanır” ve “Ayrıcalıklı kullanıcılar ayrı ayrıcalıklı ve ayrıcalıksız işletim ortamlarını kullanır” gibi yönergeleri içerir.
Yönetici ayrıcalıklarıyla ilgili üç olgunluk düzeyindeki 29 yönetici ayrıcalığı önerisinden yalnızca biri çevrimiçi hesaplara yöneliktir (“Çevrimiçi hizmetlere erişim için açıkça yetkilendirilen ayrıcalıklı hesaplar, kesinlikle yalnızca kullanıcıların ve hizmetlerin görevlerini yerine getirmesi için gerekli olanlarla sınırlıdır”).
Temel Sekiz, çok faktörlü kimlik doğrulamayı (MFA) içerir. Bu, çevrimiçi hizmetlerin güvenliğini sağlamada kritik bir adımdır. Ancak MFA, bulut ve SaaS güvenliğinin yalnızca bir parçasıdır. Rehberliği yalnızca MFA ile sınırlamak, tüm dijital ayak izlerini güvence altına almak için Temel Sekiz’e güvenen işletmelere ve devlet kurumlarına zarar verir.
Günümüzün Çalışma Ortamında Gözden Kaçan Sekiz Temel Şey
Ne yazık ki Temel Sekiz ve Olgunluk Modelleri günümüzün bilgisayar ortamını kaçırıyor. “Bulut” veya “SaaS uygulaması” kelimelerini içermiyor. İhmal ederek, SaaS uygulamalarının günümüz iş dünyasında oynadığı rolü ve bulutta depolanan verileri fark edemiyor.
Günümüzde SaaS uygulamaları şunları içermektedir: Tüm yazılımların %70’i işletmeler tarafından kullanılmaktadır. Bu uygulamaların her biri iş açısından kritik veriler içerir veya güvenliği sağlanması gereken işlemlerde rol oynar. MFA, erişimi yetkili kullanıcılarla sınırlandırmak için kullanılan önemli bir araçtır ancak SaaS ve bulut bulut sunucularının güvenliğini sağlamak için gereken önlemlerin çok gerisindedir.
Modern İşyeri İçin Temel Sekizin Güncellenmesi
Essential Eight’te dört temel bulut merkezli güvenlik yönergesi eksik: yapılandırma yönetimi, kimlik güvenliği, üçüncü taraf uygulama entegrasyon yönetimi ve kaynak kontrolü.
-
Konfigürasyon yönetimi: Yanlış yapılandırmaları ele almayan bir güvenlik çerçevesinde, güvenlik kılavuzunun önemli bir parçası eksiktir. A Sürdürülebilir Araştırma Rapor, yanlış yapılandırmalar nedeniyle 2022’de 800 milyon kaydın açığa çıktığını ortaya çıkardı. Bu, uygulama ve bulut yöneticilerinin, verileri genel kullanıma açık hale getiren bir ayarı yanlışlıkla değiştirmemesini sağlamak için otomatik izleme gerektiren ciddi bir sorundur.
-
Kimlik güvenliği: Kimlik güvenliği duruş yönetimi (ISPM), Temel Sekiz’in bir başka göze çarpan ihmalidir. SaaS ve bulut, geleneksel ağ çevresini ortadan kaldırdı. Kimlik, uygulama ile tehdit aktörleri arasındaki tek engel olarak yerinde duruyor. MFA, kullanıcı kimlik doğrulamasını ele alsa da, yetkilendirmesi kaldırılan kullanıcılar, harici kullanıcılar, kullanıcı izinleri, yönetici riski ve diğer kullanıcı tabanlı risklerle ilgili sorunları ele almakta başarısız olur.
-
Üçüncü taraf uygulama entegrasyon yönetimi: Üçüncü taraf uygulamalar, temel uygulama işlevlerinin geliştirilmesine ve iş akışlarının basitleştirilmesine yardımcı olur. Ayrıca yeni risk yolları da sunuyorlar. Basit OAuth entegrasyonu genellikle klasörleri, dosyaları ve tüm sürücüleri silme ve e-posta ayrıcalıklarını yönetme yeteneği de dahil olmak üzere uygulamayı yazma izinleriyle güçlendiren müdahaleci kapsamlar ister.
-
Kaynak kontrolü: SaaS ve bulut uygulamaları milyonlarca şirket varlığını ve kaynağını depolar. Bunlara dosyalar, klasörler, planlama panoları, özel yazılım kodu ve ürün planları dahildir. Bu varlıklar, bir bağlantıya sahip olan veya bir İnternet tarayıcısı aracılığıyla aranabilen herkesin erişemeyeceği, sağlam güvenlik önlemleriyle güvence altına alınmalıdır.
İşletmeleri Günümüzün Tehditlerine Hazırlamak
Avustralya’nın yanı sıra Orta Doğu ve Afrika’daki rehberlik için Avustralya’ya başvuran siber güvenlik kuruluşlarının, modern ağ altyapılarını ele alacak şekilde güvenlik çerçevesini güncellemesi gerekiyor.
Yanlış yapılandırma yönetimi, ISPM, üçüncü taraf uygulamaları ve SaaS uygulamalarında depolanan şirket varlıklarının korunmasıyla ilgili güvenlik önlemlerinin alınması Temel Sekiz’in bir sonraki adımı olmalıdır.