ABD’nin en iyi beş bulut hizmeti sağlayıcısı (CSP), rekabeti bir kenara bırakıp Ulusal Siber Besleme oluşturmak için yeni ve tamamen benzeri görülmemiş bir çabanın parçasıdır — federal siber güvenlik yetkililerine sürekli tehdit izleme verileri sağlamayı amaçlamaktadır. Ancak, çoğu şeyde olduğu gibi, şeytan ayrıntılarda gizlidir.
Amazon, Microsoft, Google, IBM ve Oracle, MITRE, Bulut Güvenliği İttifakı (CSA), Gelişmiş Teknoloji Akademik Araştırma Merkezi (ATARC) ve BT Edinme Danışma Konseyi (IT-AAC) tarafından geçen sonbaharda oluşturulan Bulut Güvenli Görev Gücü’nün (CSTF) en önemli önceliklerinden biri olan Ulusal Siber Besleme Girişimi’ne katılıyor. CSTF’nin bir beyaz bültenine göre, bu kamu-özel sektör ortaklığının arkasındaki fikir “ülkemizin güvenliğine ilişkin bütünleşik, tek bir ulusal görüş oluşturmak”tır. geçen ay yayınlandı.
Şubat ayında, hükümetin bulut altyapısını değerlendirmek ve siber tehditlerle mücadele yeteneğini iyileştirmek için bir yol haritası oluşturmak üzere oluşturulan CSTF, daha iyi bir tehdit istihbarat stratejisine ve daha zamana duyarlı bir stratejiye ihtiyaç olduğunu belirledi. MITRE’nin Veri Odaklı Politika Merkezi’nin yönetici direktörü Dave Powner, Savunma Bakanlığı gibi kurumların şu anda yalnızca CSP’lerden gecikmeli beslemeler aldığını söylüyor.
Powner, hükümetin mevcut durumuna atıfta bulunarak, “CSP’ler FedRAMP’a aylık bir ekran görüntüsü sağlıyor” diyor. FedRAMP CSP’lerden belirli raporlamalar gerektiren tehdit istihbaratı toplama çerçevesi.
Bunun yerine, hükümetin tehdit manzarası hakkında eyleme geçirilebilir istihbaratın gerçek zamanlı bir resmine ihtiyacı olduğunu belirtiyor. Çaba ivme kazanıyor: Beyaz bültende, CSTF ulusal besleme için çeşitli ölçütler tanımladı ve paydaşlar artık ayrıntıları belirlemek için haftalık toplantılar düzenliyor, bunlara bu ayın başlarında Dark Reading’in katıldığı üç saatlik bir web semineri de dahil.
Tehdit İstihbarat Raporlamasında Bir Gecikme
Powner, bu ayki panel tartışmalarının yararlı olduğunu ve nihai bir pilot için sahneyi hazırlayabileceğini söylüyor ancak hala bazı sorunlar var. Örneğin, CSP’lerin birbirlerine rekabet, uyumluluk veya veri sızıntısı riskleri oluşturmadan nasıl veri teslim edebilecekleri konusunda tartışmalar devam ediyor.
Microsoft Federal Dijital Güvenlik ve Risk Direktörü John Bergin, CSP’lerin, ilişkili sorunları ele alırken, farklı çerçevelerden gelen verileri paylaşmak için ortak bir yaklaşım bulmaları gerektiğini söylüyor.
“Verileri teslim etmek için yapılarımız, sözleşmesel anlaşmalarımız, yürütme emirlerimiz var – soru şu, tehdit avcılığındaki rolümüz hakkında daha fazlasını nasıl yaparız ve farklı düşünürüz?” diyor. “Kişisel olarak, FedRAMP veri setinin avcılar için yeterli veya anlamlı olduğuna inanmıyorum. Ancak bence ele almamız gereken soru, sözleşmesel olarak gerekli olan bu FedRAMP çerçevesini, açık veri işleme gereklilikleri olan hükümete nasıl ekleriz, genişletiriz ve sonra nasıl kullanırız?”
Verilerin Standardizasyonu, Yönetimi ve Entegre Edilmesi
Tartışılan bir diğer konu da birleşik verinin nasıl tüketilebilir hale getirileceğidir. Savunma Bakanlığı’ndaki ABD Ordusu Siber Komutanlığı’nda siber savaş subayı olan Binbaşı Julian Petty, web semineri sırasında ulusal bir beslemenin, aynı etiketleme, günlük kaydı ve saklama süresi standartlarıyla birlikte birleşik bir veri yaklaşımı gerektireceğini söyledi.
Örneğin, “Bu özel SIEM ile geliştirilen analitiği nasıl alırım? [security information and event management] “Aklımda olan bir şeyi mi kullanıyorum ama onu kullandığım durumdan tamamen farklı bir örneğe mi aktarıyorum?” diye sordu Petty.
ABD Gaziler İşleri Bakanlığı’nın (VA) bulut ve uç uygulama barındırma direktörü Dave Catanoso, VA’in aldığı günlük veri miktarının zaten çok fazla olduğunu, dolayısıyla sürekli izleme verilerinin de potansiyel olarak düzenlenmesi gerektiğini söyledi.
“Her bir görevimiz için kullandığımız araçlarla tüketebileceğimiz ve daha sonra bir tür yapay zeka tarafından özetlenecek şekilde standartlaştırılmış telemetriyi bize nasıl verebilirler? [artificial intelligence]?” diye sordu Catanoso. “Sadece büyük miktarda veri içeren başka bir besleme almak istemeyiz. Faydalı bilgiler içeren ve bizim tarafımızdan elememiz gerekmeyen akıllı bir besleme almak istiyoruz çünkü bu sadece maliyetlerimizi artıracaktır. Bunu özetlenmiş bir şekilde almak istiyoruz.”
Sürekli İzlemenin Ötesinde
Yapay zekadan bahsetmişken, MITRE’de bulut güvenliği yeteneği lideri olan Mari Spina, sürekli izlemenin kritik bir gereklilik olduğunu ancak bunun yeterli olmadığını, özellikle de saldırganların saldırılarını hızlandırmak için teknolojiyi kullandığı şu dönemde, söylüyor. Pentagon’a yönelik saldırı girişimlerinin günde 1 milyonu aştığını belirtiyor.
“Sürekli izlemenin sürekli testleri de içermesini savunuyorum,” diyor Spina. “Ve sadece taklit edilmiş bir düşmanla değil, aynı zamanda tahmin edilebilir bir düşmanla da.”
MITRE’nin, CSA ile iş birliği içinde 5G için FiGHT, AI için MITRE ATLAS ve Cloud için CAVEaT dahil olmak üzere çok sayıda öngörücü tehdit modeli olduğunu ekliyor. Bu modeller, MİTRELE SALDIRIbir saldırı meydana geldikten sonra ne yapılması gerektiğine odaklanıyor.
Spina, “Tahmin edici modeller, tahmin edici tehdit modelleri, her türlü düşman taklidinde çok daha büyük bir rol oynayacak” diyor.
Powner, son görüşmelerin umut verici olduğunu ve CSTF’nin siber beslemesinin ilerleyeceğine inandığını söyledi.
“Bu konuda yakaladığımız ivmeyi seviyorum çünkü her iki tarafın da kazan-kazan durumu gördüğünü düşünüyorum,” diyor. “Açıkçası, hükümet bundan kazanabilir çünkü gördükleri şeylerde boşluklar var. CSP’ler arasındaki konuşma, bu bilgiyi onlara verirseniz, anonimleştirirseniz, birleştirirseniz ve geri bildirirseniz, onlar için de bir değer olur.”