ABD federal hükümeti, federal, eyalet ve kritik altyapı hizmetleri için yaygın etkileri olabilecek başka bir benzeri görülmemiş siber olay için istemeden mükemmel fırtına koşullarını körüklüyor olabilir mi? son CrowdStrike kesintisi?
Sahneyi hazırlamak
ABD Eyalet ve Yerel Siber Güvenlik Hibe Programı (SLCGP), siber güvenlik duruşunu iyileştirmek ve siber saldırı riskini azaltmak için uygun kuruluşlara fon sağlar. Bu elbette iyidir, çünkü birçok kamu kuruluşu, sağladıkları kişisel verileri veya hizmetleri korumak için uygun bir siber güvenlik duruşuna sahip olmak için gereken bütçeden yoksundur.
Bu fonlamadan önce, her kuruluş siber güvenlik konusunda kendi kararını verirdi ve bunu mevcut bütçelerden finanse etmesi gerekirdi. Örneğin, bir okul bölgesi hizmetlere ve fiyata göre bir satıcı seçebilirdi, komşu okul bölgesi farklı bir satıcı seçebilirdi, vb. Finansal olarak tutumlu olanlar için bu kötü bir çözüm gibi görünebilirdi. Kuruluşlar bir araya gelip tek bir satıcı kullansalardı, toplu alım indirimleri alırlardı ve harcanan vergi dolarları miktarı düşerdi.
Ancak bir siber güvenlik uzmanına en iyi siber güvenlik duruşunu tarif etmesini istediğinizde, “derinlemesine savunma” veya “savunma katmanları” gibi terimler kullanacaklardır. Bu, olası saldırıları veya CrowdStrike’ın tek bir bozuk sürücüsünün birden fazla büyük şirkette küresel bir kesintiye neden olması gibi olayları engellemek için birden fazla teknolojinin ve çoğu durumda birden fazla satıcının kullanılması anlamına gelir.
Ne zaman SolarWinds siber saldırısı ortaya çıktı Teknolojinin 33.000 özel, federal ve eyalet kullanıcısı vardı ve yaklaşık 18.000’i kötü amaçlı güncellemeyi yükledi. Bu tedarik zinciri saldırısının tepkisi, tedarik zinciri güvenliğinin iyileştirilmesine yönelik yeni düzenlemelerle sonuçlandı ve bu bugün de devam ediyor. Saldırı yıkıcı olsa da, eyaletler, eyaletler içindeki kuruluşlar, federal ajanslar ve benzerleri farklı satıcılardan çeşitli çözümler kullandığı için bir siber-kıyamet olayı değildi.
CrowdStrike müşterilerinin yakın zamanda yaşadığı talihsiz olay, tek bir satıcı sorununun ne kadar yıkıcı olabileceğini gözler önüne seriyor. Dünya genelinde yalnızca 8,5 milyon cihaz etkileniyor (bu da Windows cihazlarının %1’inden azını temsil ediyor) ve havayolları, sağlık tesisleri, işletmeler ve daha birçok alanda küresel çapta büyük kesintilere yol açıyor.
Monokültür Oluşturmak
Şimdi siber güvenliğe harcanmak üzere ücretsiz para veren SLCGP teklifini düşünün – ışığa çekilen güveler gibi. Bir eyalet, yetki alanındaki birden fazla kuruluşu kapsayacak şekilde hibeden fon başvurusunda bulunabilir. Verildiğinde, bir satıcı seçilir ve eyalet çapındaki kuruluşlara ücretsiz veya toplu lisanslama nedeniyle oldukça indirimli olarak teklif edilir. Bu, tek kültürlü bir siber güvenlik ortamı veya büyük bir siber olay için mükemmel bir fırtına yaratır; burada birincil satıcı saldırıya uğrarsa veya önemli bir güvenlik açığı istismar edilirse, tüm eyaletin hizmetlerini, her okul bölgesini, yerel hükümet yönetimini vb. devre dışı bırakabilir. Günlük toplum üzerindeki etkisi yıkıcı olabilir.
SolarWinds ve CrowdStrike olayları, sınırlı bir ölçekte de olsa, tek bir satıcının bir tür olay yaşaması durumunda, etkilenen yeterli sayıda taraf varsa olayın önemli hale geldiğini ve hepsi tek bir eyalette toplanmışsa büyük bir olay haline geldiğini göstermektedir.
Tek bir satıcı, SLCGP’ye başvuran eyaletler için fiili standart haline gelirse (iyi bir olasılık: Kişisel olarak, ücretsiz veya neredeyse ücretsiz bir eyalet çözümünün parçası olarak standart bir çözüme dahil edilen bazı kuruluşları biliyorum)
Bunu bağlamına oturtmak için, yaklaşık 50 milyon ABD’li okul çağındaki çocuk var. Eyaletlerin %90’ı tek bir çözümün müşterisiyse ve buna eyalet tarafından finanse edilen eğitim de dahilse, bir siber olayın etkisi 45 milyon çocuğun eğitiminin aksamasına neden olur. Ve bazı durumlarda, okullar bir siber olaydan etkilendiğinde önemli ölçüde zarar gördü ve potansiyel olarak aylarca kapanmaları gerekti. Ve eğitim, tek satıcı riskinden etkilenen tek alan değil.
SLCGP, önceki olayları önemsiz kılacak bir ölçekte yeni bir monokültür ortamı yaratıyor gibi görünüyor. Monokültür, genellikle çiftçilikte kullanılan bir terimdir. Kısaca, ürün rotasyonuyla ilgilidir – hem ürünü hem de ürünün ekildiği tarlaları korumak için ekimde çeşitlilik. Aynı tarlaya birkaç mevsim boyunca tek bir ürün ekilirse sonuç kötü verimle sonuçlanır.
Siber Güvenlikte Çeşitliliğin Teşviki
2015 yılında, bir akademik makale antivirüs (AV) ürünlerinin kullanımıyla ilgili monokültür siber güvenlik sorunlarını ayrıntılı olarak açıklamıştır. “Düşük enfeksiyon oranlarının daha yüksek AV etkinliği oranları, istikrarlı AV ürün kullanımı ve durumu ve AV ürün çeşitliliğiyle pozitif olarak ilişkili olduğu” sonucuna varmıştır. Çeşitli ürün seçiminin önemi, kötü niyetli veya talihsiz olsun, tek bir olayın felaketle sonuçlanacak bir kesintiye neden olmasını önler.
Eyaletlerin SLCGP’yi kullanarak tek bir ürün üzerinde standartlaştırma eylemleri, siber suçluların saldırmak için varsayılan bir standart olan monokültüre neden olan baskın bir güvenlik ürünü senaryosu yaratıyor. Siber suçluların yalnızca bir üründe bir zayıflık araması veya hizmetlerin önemli bir bölümünü etkilemek için istismar edilebilir bir güvenlik açığı keşfetmesi ve potansiyel olarak bir eyaletin tüm nüfusunu etkilemesi gerekiyor.
Çözüm, çeşitli savunma mimarisi katmanlarını teşvik etmek ve zorunlu kılmaktır ve bu, SLCGP fonu almanın bir koşulu olmalıdır.