Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), dört yıl önce Obama yönetimi altında Siber Güvenlik Çerçevesini (NIST CSF) oluşturdu. Mayıs 2017’de Başkan Donald Trump’ın siber güvenlik kurallarını imzalaması ile hükümet kurumlarının veri korumasını desteklemek ve riskleri yönetmek için bu çerçeveye tabi olmaları, dikkatleri çerçevenin üzerine çekti.
TechRepublic’in belirttiği üzere, NIST CSF sadece devlet kurumları için geçerli değildir. Her endüstri sektöründeki kuruluşların bilgi güvenliği yetkilileri bu çerçeveyi ve kategorilerini kendi kuruluşları içinde iyi bir şekilde kullanabilmektedir.
NIST CSF: Bir Temel
NIST, Başkan Obama’nın Kritik Altyapı Siber Güvenlik Yürütme Emrini Genişletmesinin ardından 2014’te bu çerçeveyi hazırladı. Çerçeve özünde, siber güvenlik ve temel altyapı sistemlerini korumak için daha sağlam bir yaklaşım geliştirmeye yardımcı olan beş temel işlevi içermektedir.
Her bir fonksiyon, her bir özel fonksiyonun altına girmesi gereken bireysel görevleri ve süreçleri ortaya koyan kategorileri ve alt kategorileri içerir. Böylece çerçeve, risklerin tespit edilmesi, tehditlere karşı korunma, güvenlik olaylarına müdahale etme ve herhangi bir potansiyel olaydan geri dönüş için kapsamlı bir yol haritası sunmaktadır.
Buna ek olarak, aynı zamanda, farklı NIST CSF dağıtım olgunluğu seviyelerini belirlemek için uyarlanmış uygulama katmanlarını da içermektedir. Genel olarak, CSF siber güvenlik endüstrisinde daha önemli ve yaygın bir kaynak olacak ve kurumsal güvenlikte boşlukları kapatmak için en iyi uygulamaları sağlayacaktır.
Bu dizide, NIST çerçevesinin her bir işlevine daha yakından bakacağız ve CISO’ların bu yol haritasını kullanarak siber güvenlik uygulamalarına ve geliştirmelere faydalı ipuçları ve optimal süreçler sunacağız.
Tanımlama: Bir tanım
NIST Framework belgesine göre, Identify fonksiyonu beş fonksiyondan ilkidir ve kurumların kritik altyapılarına dahil olan sistemler, veriler ve yeteneklerle ilişkili riskleri nasıl yöneteceklerini daha iyi anlamaları için çağrıda bulunur. Tanımlama işlevi, NIST CSF’nin temelini temsil eder.
NIST, “İş bağlamını, kritik işlevleri destekleyen kaynakları ve ilgili siber güvenlik risklerini anlamak, bir kuruluşun risk yönetimi stratejisi ve iş ihtiyaçları ile tutarlı olarak çabalarına odaklanmasını ve öncelik vermesini sağlıyor” demektedir.
Bu şekilde, Tanımlama işlevi, şirketin altyapısında yer alan tüm sistem ve platformların yerini belirleme etrafında odaklanır. Bu, gölge BT ile mücadeleye yardımcı olur ve önemli BT varlıklarının, koruyucu çabaların radarı altında kalmamasını sağlar.
Tanımlama ayrıca, işletmenin günlük operasyonlarını ve kritik kurumsal aktivitelerini desteklemek için kullandığı sistemleri etkileyebilecek potansiyel riskleri tanımayı da kapsar. NIST’in belirttiği gibi bu CISO’nun, kullanılan BT sistemlerine ve bu varlıkları potansiyel olarak etkileyebilecek özel tehditlere göre işletmenin siber güvenlik çabalarına daha iyi öncelik vermesine imkan sunuyor.
Tanımlama altındaki kategoriler ve görevler
Belirtildiği gibi, NIST CSF aynı zamanda, her bir çerçevenin her bir aşamasında katılması gereken işlem türlerini ve görevlerini tanımlayan her bir fonksiyon altında bulunan kategorileri de içermektedir. Tanımlama işlevi beş temel kategoriyi içerir:
- Varlık yönetimi: Birincisi CISO ve güvenlik paydaşları, önemli günlük iş süreçlerini destekleyen sistemleri, cihazları, kullanıcıları, verileri ve tesisleri tespit etmeli ve bu öğeler kritik öneme göre yönetilmelidir.
- İş ortamı: Bu kategori, şirketin misyonunu, hedeflerini, paydaşlarını ve süreçlerini önceliklendirmeyi kapsar; bu, daha sonra rollerin, sorumlulukların ve kilit güvenlik karar vericilerinin oluşturulmasını bilgilendirmek için geliştirilir.
- Yönetişim: Burada CISO ve güvenlik paydaşları, NIST çerçevesine göre kurumun düzenleyici, yasal, risk, çevresel ve operasyonel gereklilikleri yönetmek ve izlemekle ilgili politika ve prosedürlerini tam olarak anlamaya çalışmalıdır.
- Risk değerlendirmesi: Bu kategori, CISO’ların ve güvenlik paydaşlarının, işletmeyi, kullanıcılarını ve günlük işlemleri tamamlamak için kullandıkları kritik BT sistemleri ve platformlarını etkileyebilecek siber güvenlik risklerini tam olarak anlayabilmeleri içindir.
- Risk yönetimi stratejisi: Tanımlama fonksiyonundaki son kategori, şirketin önceliklerini, zorluklarını, risk toleranslarını ve varsayımlarını oluşturmak ve daha sonra bunları CISO’lar ve onların güvenlik paydaşlarının en iyi operasyonel risk kararlarını vermeleri için kullanmakla ilgilidir.
Gerçek dünyada tanımlayın: Eternal Blue
Tanımlama işlevinin önemini gösteren yakın zamana ait gerçek bir örnek, EternalBluegüvenlik istismarıdır. EternalBlue geçtiğimiz yıl Mayıs ayında, WannaCry, Petya ve NotPetya‘dan kripto-para madencilik saldırılarına kadar 2017 yılında yapılan pek çok küresel fidye yazılımı saldırısında ortak paydaya dönüştü. Sadece WannaCry, 200’den fazla ülkede 300.000’den fazla bilgisayarı etkiledi.
EternalBlue, başarılı bir şekilde istismar edildiyse Windows SMB 1.0 (SMBv1) sunucularında, saldırganların hedeflenen sistemlerde bir wormlike yeteneği oluşturarak rastgele kod yürütmesine olanak tanıyan bir güvenlik açığıdır. Bu ve diğer istismarlar, ShadowBrokers bilgisayar korsanları grubu tarafından piyasaya çıkarıldı.
WIRED’in belirttiği gibi, kullanıcılar ilk kez Mart 2017’de EternalBlue kusurundan haberdar edildi. Microsoft tarafından büyük ölçekli saldırılardan önce sunulan yamaya rağmen, birçok kuruluş EternalBlue’ya gereken özeni göstermedi ve bu nedenle saldırıya kurban düştü. Aslında, Microsoft bunu ciddi bir tehdit olarak tanımladı. Teknoloji devi, 2014 yılında platform desteğini sonlandırmasına rağmen Windows XP sistemleri için kritik bir güncelleme bile yayınladı.
“Risk tabanlı güvenlik açığı yönetimi, bugün kuruluşlar için kritik öneme sahiptir. Açıklanan güvenlik açıklarının hızla silaha dönüşmesi, CISO’ların zamanında ve hedeflenen yamaları dağıtmasını gerektiriyor.” Trend Micro Siber Güvenlik Müdürü EdCabrera.
NIST Framework Tanımlama fonksiyonu sayesinde EternalBlue, istismar varlık yönetimi, risk değerlendirmeleri ve risk yönetiminin önemini vurgulamaktadır. CISO’lar ve ekipleri, iş operasyonları için gerekli olan kritik verileri, sistemleri ve bunlara karşı tehditleri tanımlamalıdır. Daha sonra da bilinen güvenlik açıkları için ilgili kritik uygulamalarını ve işletim sistemlerini sürekli olarak izlemeli, ancak daha çok güvenlik açıkları üzerindeki yama döngüsünü önceliklendirmelidir. EternalBlue tarafından etkilenenler gibi Microsoft platformları kritik olarak tanımlanmış olmalı ve EternalBlue tehdidinin tanımlanması üzerine hemen yamalanmalıdır.
Tanımlama işlevi hakkında CISO’ların bilmesi gerekenler
Ayrıca, NIST CSF’nin devam eden bir süreç olduğu unutulmamalıdır. Çerçevenin kendiside, gelişen teknolojilere ve tehditlere dayalı olarak sürekli olarak büyüyor ve gelişiyor. Bu şekilde, CISO’lar ve güvenlik paydaşları, her bir fonksiyonda özetlenen görevlerin ve prosedürlerin, tam koruma sağlamak için organizasyon içinde düzenli bir şekilde gerçekleştirileceğini ve uygulanacağını bilmelidir. Tehdit ortamı geliştikçe, kurumsal güvenlik uygulamaları da yapılmalıdır. Şirket güvenlik paydaşlarının Tanımlama işlevinin, çerçevedeki diğer dört işlev için temel sağlamaya yardımcı olduğunu anlaması önemlidir. Altyapıdaki kritik sistemleri tanımlamak için zaman ayırmak, bunları etkileyebilecek riskler ve iç personelin ve dış ortakların rolleri ve sorumlulukları Koruma, Tespit Etme, Yanıtlama ve Kurtarma işlevlerinin bir parçası olarak ortaya çıkan çabaları düzene koymaya yardımcı olacaktır.
Genel olarak, görünürlük, rollerin ve sorumlulukların bölünmesi ve potansiyel tehditler hakkındaki bilgileri içeren unsurlar Tanımlama işlevi için çok önemlidir.
NIST Siber Güvenlik Çerçevesi söz konusu olduğunda, bulmacanın ilk parçası sadece tanımlamaktır. Dizimizin bir sonraki kısmında Koruma işlevini ve bu kilit işlemle ilgili kategorileri ve görevleri ele alacağız. Kuruluşunuzun güvenliğinin en üst seviyede kalmasına yardımcı olabilecek ConnectedThreatDefense hakkında daha fazla bilgi edinmek için, Trend Micro koruma uzmanlarımıza ulaşın.