Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Siber Güvenlik Çerçevesi (CSF) 1.0’ı tanıtmasının üzerinden on yıl geçti. 2013 Yürütme Emri’nin ardından oluşturulan NIST, kuruluşların siber riski yönetmesine yardımcı olacak, yerleşik standartlara ve en iyi uygulamalara dayalı rehberlik sağlayacak gönüllü bir siber güvenlik çerçevesi tasarlamakla görevlendirildi. Bu sürüm başlangıçta Kritik altyapı için tasarlanmış olsa da, 2018’in 1.1 sürümü siber güvenlik risk yönetimini ele almak isteyen tüm kuruluşlar için tasarlandı.
CSF, güvenlik duruşlarını değerlendirmek ve geliştirmek isteyen kuruluşlar için değerli bir araçtır. Çerçeve, güvenlik paydaşlarının mevcut güvenlik önlemlerini anlamalarına ve değerlendirmelerine, riskleri yönetmek için eylemleri düzenlemelerine ve önceliklendirmelerine ve ortak bir dil kullanarak kuruluşlar içinde ve dışında iletişimi iyileştirmelerine yardımcı olur. Beş temel işleve ayrılmış kapsamlı bir yönergeler, en iyi uygulamalar ve öneriler koleksiyonudur: Tanımlama, Koruma, Algılama, Yanıtlama ve Kurtarma. Her işlev, özellikle şunlar olmak üzere birkaç kategori ve alt kategori içerir:
- Tanımlamak – Hangi varlıkların güvence altına alınması gerektiğini anlayın.
- Korumak – Varlıkların uygun ve yeterli bir şekilde güvence altına alınmasını sağlayacak önlemleri uygulayın.
- Tespit etmek – Saldırıları veya zayıflıkları tespit edecek mekanizmalar kurun.
- Yanıtlamak – Veri ihlallerinden etkilenen kişileri, verileri tehlikeye atabilecek son olayları bilgilendirmek için ayrıntılı planlar geliştirin ve saldırıların etkisini en aza indirmek için yanıt planlarını düzenli olarak test edin.
- İyileşmek – Saldırıdan sonra tekrar ayağa kalkmak için süreçler oluşturun.
(CSF 1.1’in 5 adımı hakkında daha fazla bilgi edinmek ister misiniz? NIST CSF kontrol listesi Burada!)
Sürekli İyileştirmeye Odaklı CSF 2.0’daki Değişiklikler
Şubat 2024’te NIST yayınladı Beyin omurilik sıvısı 2.0Bu yeni sürümün amacı CCSF’nin daha uyarlanabilir hale gelmesine ve böylece daha geniş bir organizasyon yelpazesinde yaygın olarak benimsenmesine yardımcı olmaktır. İlk kez CSF’yi benimsemek isteyen herhangi bir organizasyon bu yeni sürümü kullanmalıdır ve halihazırda kullanan organizasyonlar bunu yapmaya devam edebilir ancak gelecekte 2.0’ı benimsemeyi de göz önünde bulundurmalıdır.
2.0 bazı değişiklikler getiriyor; diğer gelişmelerin yanı sıra, ilk adım olarak “Yönet”i ekliyor, çünkü, ISC.2.org, “CSF’nin yönetim bileşeni, siber güvenliğin üst düzey yöneticilerin finans ve itibar gibi diğerlerinin yanı sıra dikkate alması gereken önemli bir kurumsal risk kaynağı olduğunu vurgular. Amaçlar, siber güvenliği daha geniş kurumsal risk yönetimi, roller ve sorumluluklar, kuruluşlardaki politika ve denetimle bütünleştirmek ve ayrıca siber güvenlik riskinin yöneticilere iletilmesini daha iyi desteklemektir.”
Ayrıca genişletilmiş bir kapsamı vardır, daha net ve kullanıcı dostudur ve en önemlisi (en azından bu makalenin amaçları için), ortaya çıkan tehditlere güçlü bir şekilde odaklanır ve Tanımlama İşlevi’ndeki yeni eklenen İyileştirme Kategorisi aracılığıyla siber güvenliğe yönelik sürekli ve proaktif bir yaklaşıma odaklanır. Sürekli bir yaklaşım benimsemek, kuruluşların siber güvenlik uygulamalarını düzenli olarak değerlendirmeleri, yeniden değerlendirmeleri ve ardından güncellemeleri teşvik edildiği anlamına gelir. Bu, kuruluşların daha az etki için olaylara daha hızlı ve daha iyi doğrulukla yanıt verebileceği anlamına gelir.
CSF ve CTEM – Birlikte Daha İyi
Günümüzde, üst düzey CSF yönergelerinin parametreleri dahilinde çalışmak üzere tasarlanmış birden fazla eyleme dönüştürülebilir çerçeve ve araç bulunmaktadır. Örneğin, Sürekli Tehdit Maruziyeti Yönetimi (CTEM) CSF’yi oldukça tamamlayıcıdır. Gartner tarafından 2022’de yayınlanan CTEM çerçevesi, kuruluşların tehdit maruziyeti yönetimini nasıl ele aldıkları konusunda büyük bir değişimdir. CSF, siber tehditleri tanımlamak, değerlendirmek ve yönetmek için üst düzey bir çerçeve sağlarken risklerCTEM sürekli izleme ve değerlendirmeye odaklanmaktadır tehditler kuruluşun güvenlik duruşuna, yani riskin kendisini oluşturan tehditlere.
CSF’nin temel işlevleri, tehditleri belirleme ve önceliklendirme, kuruluşun bu tehditlere karşı savunmasızlığını değerlendirme ve sürekli olarak tehlikeye dair belirtileri izlemeyi içeren CTEM yaklaşımıyla uyumludur. CTEM’i benimsemek, siber güvenlik liderlerinin kuruluşlarının NIST CSF uyumluluğunu önemli ölçüde olgunlaştırmasını sağlar.
CTEM’den önce, güvenlik açıklarını bulup düzeltmek için periyodik güvenlik açığı değerlendirmeleri ve sızma testleri tehdit maruziyeti yönetimi için altın standart olarak kabul ediliyordu. Sorun, elbette, bu yöntemlerin yalnızca güvenlik duruşunun anlık görüntüsünü sunmasıydı; bu anlık görüntü, analiz edilmeden önce bile genellikle güncelliğini yitiriyordu.
CTEM tüm bunları değiştirmek için geldi. Program, kurumsal saldırı yüzeyine ilişkin sürekli içgörülerin nasıl elde edileceğini, güvenlik açıklarını ve riskleri proaktif olarak nasıl tanımlayıp azaltacağını anlatıyor önce saldırganlar bunları istismar eder. Bunu gerçekleştirmek için CTEM programları, maruz kalma değerlendirmesi, güvenlik doğrulaması, otomatik güvenlik doğrulaması, saldırı yüzeyi yönetimi ve risk önceliklendirmesi gibi gelişmiş teknolojileri entegre eder. Bu, NIST CSF 1.1 ile mükemmel bir şekilde uyumludur ve beş temel CSF işlevinin hepsinde somut faydalar sağlar:
- Tanımlamak – CTEM, kuruluşların varlıkları, sistemleri ve verileri titizlikle tanımlamasını ve envanterini çıkarmasını talep eder. Bu, genellikle güvenlik riskleri oluşturan bilinmeyen veya unutulmuş varlıkları ortaya çıkarır. Bu gelişmiş görünürlük, NIST CSF’nin Tanımlama işlevine göre siber güvenlik yönetimi için güçlü bir temel oluşturmak için önemlidir.
- Korumak – CTEM programları, istismar edilmeden önce güvenlik açıklarını ve yanlış yapılandırmaları proaktif bir şekilde belirler. CTEM, riskleri gerçek potansiyel etkilerine ve istismar edilme olasılıklarına göre önceliklendirir. Bu, kuruluşların önce en kritik güvenlik açıklarını ele almasına yardımcı olur. Dahası, CTEM tarafından dikte edilen saldırı yolu modellemesi, kuruluşların tehlikeye girme riskini azaltmalarına yardımcı olur. Tüm bunlar, CSF programının Koruma işlevini önemli ölçüde etkiler.
- Tespit etmek – CTEM, olası tehditlere ilişkin erken uyarılar sağlayarak CSF’nin Algılama işlevini etkileyen harici saldırı yüzeyinin sürekli izlenmesini gerektirir. Yeni güvenlik açıkları veya ifşa olmuş hizmetler gibi saldırı yüzeyindeki değişiklikleri belirleyerek CTEM, kuruluşların olası saldırıları hızla algılamasına ve bunlara yanıt vermesine yardımcı olur önce zarar verirler.
- Yanıtlamak – Bir güvenlik olayı meydana geldiğinde, CTEM’in risk önceliklendirme hükümleri, kuruluşların müdahaleyi önceliklendirmesine yardımcı olur ve en kritik olayların önce ele alınmasını sağlar. Ayrıca, CTEM tarafından zorunlu tutulan saldırı yolu modellemesi, kuruluşların saldırganların sistemlerine nasıl erişmiş olabileceğini anlamalarına yardımcı olur. Bu, kuruluşların tehdidi sınırlamak ve ortadan kaldırmak için hedefli eylemlerde bulunmalarını sağlayarak CSF Müdahale işlevini etkiler.
- İyileşmek – CTEM’in sürekli izleme ve risk önceliklendirmesi, CSF Recover işlevinde önemli bir rol oynar. CTEM, kuruluşların güvenlik açıklarını hızla tespit edip ele almasını sağlar, bu da güvenlik olaylarının etkisini en aza indirir ve kurtarmayı hızlandırır. Ayrıca, saldırı yolu modellemesi kuruluşların kurtarma süreçlerindeki zayıflıkları tespit edip ele almasına yardımcı olur.
Sonuç
NIST Siber Güvenlik Çerçevesi (CSF) ve Sürekli Tehdit Maruziyeti Yönetimi (CTEM) programı gerçek anlamda silah arkadaşlarıdır – kuruluşları siber tehditlere karşı savunmak için birlikte çalışırlar. CSF, siber güvenlik risklerini yönetmek için kapsamlı bir yol haritası sunarken, CTEM tehdit tespiti ve azaltılmasına yönelik dinamik ve veri odaklı bir yaklaşım sunar.
CSF-CTEM uyumu, özellikle CTEM’in sürekli izleme ve tehdit değerlendirmesine odaklanmasının CSF’nin temel işlevleriyle nasıl kusursuz bir şekilde bir araya geldiğinde belirgindir. CTEM’i benimsemekkuruluşlar, CSF’ye uyumlarını önemli ölçüde artırırken, aynı zamanda saldırı yüzeyleri hakkında değerli bilgiler edinir ve güvenlik açıklarını proaktif bir şekilde azaltır.