Bir yıl önce bugün imzalandığında, 14028 sayılı İcra Emri, Ülkenin Siber Güvenliğinin İyileştirilmesi, acil bir soruna ölçülü bir yanıttı. Birkaç gün önce, Colonial Pipeline bir fidye yazılımı saldırısıyla kapatıldı ve kritik ABD altyapısına siber risk konusunu gündeme getirdi. Bir yıl sonra, ne ilerleme kaydedildi? İşte takip etmenize yardımcı olacak bir puan kartı.
Bölüm 1: Politika
Başkan geçen Ekim ayında imzalamıştı. K-12 Siber Güvenlik Yasası yasalaştı, okul bölgelerine siber saldırılarla mücadele için kaynaklar sağlamak. Mart ayında imza attı 2022 Amerikan Siber Güvenlik Yasasının Güçlendirilmesi. Yine de, ABD’nin kritik altyapısının büyük bir bölümü özel ellerde ve özel sektör siber güvenliğinin ve dayanıklılığının nasıl geliştirileceğine dair sorular devam ediyor.
Seviye: B
Ne “A” kazanır? ABD’ye yönelik siber saldırılara gerçekten engel olmak için federal hükümetin, yeni yasaların ve yönetmeliklerin yüksek bir çıta belirlemesi ve bu çıtayı aşamadıkları için firmalara yüksek maliyetler getirmesi gerekiyor.
Bölüm 2: Tehdit Bilgilerini Paylaşmanın Önündeki Engelleri Kaldırma
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Direktör Jen Easterly’nin yönetimi altında, tehdit istihbaratının paylaşımını teşvik etmek için birçok başarılı çaba yürütmüştür. Bunlar, Log4j’ye yanıt olarak Shields Up girişimi gibi tehditlere yönelik koordineli yanıtları içerir. Güçlendirme Amerikan Siber Güvenliği Yasası ayrıca bilgi paylaşımı için federal kurumlar için önemli yeni gereksinimler içermektedir.
Seviye: B+
Ne “A” kazanır? Kritik endüstri sektörlerinde bilgi paylaşımı, hala bir patchwork çabasıdır ve genellikle en büyük ve en zengin kuruluşlarla sınırlıdır. CISA’nın norm olmadığı sektörlerde tehdit istihbaratı paylaşımını iyileştirmesi ve operasyonel olgunlaşmamışlıklar nedeniyle genellikle döngünün dışında kalan daha küçük organizasyonları kendine çekmesi gerekiyor.
Bölüm 3: Federal Hükümet Siber Güvenliğini Modernleştirme
Yürütme Emri’nin 3. Bölümü, federal hükümetin bulut tabanlı hizmetlere geçişi ve sıfır güven mimarilerinin benimsenmesini teşvik ederek siber riski ele alması için gereksinimleri ortaya koymaktadır. EO imzalandıktan bir yıl sonra, bu konuda bazı ilerlemeler görüyoruz. CISA yayınladı Bulut Güvenliği Teknik Referansı ve rehberlik sıfır güven mimarileri oluşturmak için. Devlet ve savunma kuruluşları, bulutta yerel güvenlik çözümlerini benimsemekte ve bulut öncelikli yaklaşımlar geliştirmektedir.
Seviye: B
Ne “A” kazanır? Modernizasyona yönelik aşamalı yaklaşımlar yeterli değildir. Bir Devlet Hesap Verebilirlik Ofisi tarafından hazırlanan Nisan 2021 raporu ABD hükümetinin 100 milyar dolarlık BT bütçesinin önemli kısımlarını eski sistemleri işletmek ve sürdürmek için harcadığını tespit etti. Bu döngüyü kırmak ve sıfır güvenin kutsal kasesini kavramak, “bütün bir hükümet” yaklaşımını gerektirir.
4. Bölüm: Gelişmiş Yazılım Tedarik Zinciri
Burada pek bir şey yapılmadı. Şubat ayında belirttiğimiz gibi, NIST Güvenli Yazılım Geliştirme Çerçevesinin (SSDF) yayınlanan 1.1 Sürümü ancak yazılım malzeme listeleri (SBOM’ler) için rehberlik üzerine puanlanmıştır. Ayrıca, kılavuz, federal hükümet içinde çalışan yazılım geliştirme kuruluşlarını muaf tuttu.
Seviye: C
Ne “A” kazanır? Federal hükümet içindeki kalkınma kuruluşları, Sam Amca’ya satış yapan üçüncü şahıslarla aynı kural ve standartlara tabi olmalıdır. SBOM’ların kullanımına ilişkin rehberliğin de açıklığa kavuşturulması ve uygulanması gerekmektedir.
Bölüm 5: Siber Güvenlik İnceleme Kurulunun Oluşturulması
Bu, EO’nun daha somut unsurlarından biridir ve şimdiye kadar federal hükümet EO’nun gerekliliklerine uymuştur. bu İç Güvenlik Bakanlığı Siber Güvenlik İnceleme Kurulu’nu başlattı Şubat 2022’de. Lansmanın bir parçası olarak CSRB, ilk incelemesinin Log4j güvenlik açıklarına odaklanacağını, ancak bununla ilgili bir raporun yaza kadar çıkmayacağını söyledi.
Seviye: A
Bölüm 6: Olay Müdahalesi (IR) ve Güvenlik Açığı Yönetimi için Federal Çalışma Kitaplarını Standartlaştırın
Bu, Yürütme Emri’ndeki bir başka somut çıktıdır. CISA oyun kitaplarını yayınladı Soru, bunların kullanıma sunulup sunulmadığıdır ve sektör başına toplam MRT’yi (ortalama yanıt verme süresi) anonimleştirebilen ve paylaşabilen bir mekanizma olmadan bilmek zordur.
Seviye: B+
Ne “A” kazanır? Eldeki oyun kitaplarıyla soru, bunların federal hükümet (ve onun yüklenicileri ve ortakları) genelinde nasıl işlevsel hale getirileceğidir. Ajansların oyun kitaplarını kullanmaları ve IR ve güvenlik açığı yönetimi konusundaki ilerlemeleri yakından takip etmek iyi bir başlangıçtır.
7. Bölüm: Federal Hükümet Ağlarındaki Siber Güvenlik Açıklarının ve Olaylarının Tespitinin İyileştirilmesi
EO’nun 7. Bölümü, federal kurumları güvenlik açıklarını ve tehdit algılama yeteneklerini geliştirmeye teşvik eder. Amaç, federal kurumları siber av, tespit ve müdahalede bulunmaları için güçlendirmektir. Federal BT altyapısına yönelik başarılı saldırıların haberleri, yine de yapılacak çok iş olduğunu gösteriyor.
Seviye: C
Ne “A” kazanır? Özel sektör, otomasyonu ve yeni araçları benimsedi. Federal düzeyde, bu tür çabaların sürdüğüne dair çok az kanıt var. Federal hükümet, IR’yi geliştirmek için Sigma, Suricata ve YARA kuralları gibi daha fazla araç kullanmak için çaba göstermelidir.
Bölüm 8: Federal Hükümetin Soruşturma ve İyileştirme Yeteneklerini Geliştirme
EO’nun bu kısmı, federal kurumları, soruşturmaları kolaylaştırmak için günlüğe kaydetme ve veri saklamayı iyileştirmeye yönlendiriyor, ancak hükümetin araştırma ve iyileştirme yetenekleri, hiçbir modern çerçevenin konuşlandırılmadığı (bildiğim kadarıyla) bir yıl öncesine göre çok az geliştirildi.
Seviye: D
Ne “A” kazanır? Federal hükümetin, tehdit avcılığına “bütün hükümet” yaklaşımını benimseyerek otomasyon ve modern tehdit istihbaratı ve IR çerçevelerinden yararlanması gerekiyor.
Bölüm 9: Ulusal Güvenlik Sistemleri
Bu bölüm, savunma bakanı ve ulusal istihbarat (DNI) direktörünün, EO’daki gereksinimlere eşdeğer veya aşan ulusal güvenlik sistemleri için gereksinimleri uygulamasını gerektirir. Bu çalışmanın çoğu sınıflandırılmıştır, ancak CTO liderlik felsefelerini benimsemek ve riskleri merkezi olmayan hale getirmek için çevik yaklaşımlar oluşturmak için stratejik bir değişim görüyorum.
Seviye: B
Ne “A” kazanır? İle avril haines Yakın zamanda DNI olarak yemin ederek, Ukrayna-Rusya çatışmasının kapsamı ve odak noktası gerçek sonuçlar ortaya çıkmadan önce olsa da, daha iyi yürütme için ilerleme olmasını bekliyoruz.