Pek çok kuruluş, güvenlik açıklarını düzeltmek için çabalıyor ve NIST Ulusal Güvenlik Açığı Veri Tabanına göre, kritik güvenlik açığı risklerinde yıllık bazda %25’lik bir artış gördüğümüz göz önüne alındığında, bu hiç de şaşırtıcı değil. Ancak soruna neden olan yalnızca bu güvenlik açıklarının ölçeği değil çünkü gerçek şu ki bunlar, daha geniş saldırı yüzeyi bağlamında buzdağının görünen kısmını temsil ediyor. Maruziyet Durumu Yönetimi Raporu 2024, ortalama bir kuruluşun 15.000 maruziyete sahip olduğunu ve bunların yalnızca %1’ini CVE’lerin oluşturduğunu ortaya koydu.
Güvenlik açığı yönetimi, uç noktalar, sunucular ve ağ cihazları gibi geleneksel varlıklara odaklanır ve kimlikler, kimlik bilgileri ve izinlerle ilgili sorunlar, yanlış yapılandırma veya güvenlik kontrolleriyle ilgili sorunlar gibi diğer risk türlerini dikkate almaz. Periyodik taramayı kullanması, dolayısıyla gerçek zamanlı bir görünüm sağlayamaması ve gerçek önceliklendirmeden yoksun olması nedeniyle başka sınırlamaları da vardır. Aslında Gartner, her güvenlik açığını düzeltmenin operasyonel olarak mümkün olmayabileceğini belirtti.
Bunalmış ve bölünmüş
Ancak kapsamın yalnızca CVE’lerin ötesine geçen daha fazla riske maruz kalmayı kapsayacak şekilde genişletilmesi, işi bunaltma tehlikesi yaratıyor ve bu nedenle bazıları CVE izlemenin ötesine geçmeyi zor buluyor. Güvenlik ile BT arasında halihazırda bir kopukluk olduğunu görüyoruz; ilki, BT’nin açık bir gerekçe olmadan iyileştirmeleri tamamlaması için çabalıyor, ikincisi ise riskin etkisi konusunda netlikten yoksun, giderek büyüyen bir “yapılacaklar” listesi nedeniyle hüsrana uğruyor. Bu listeye risklerin eklenmesi uçurumu daha da genişletecektir. Dolayısıyla risk yönetimini ulaşılabilir kılmak için risk temelli, öncelikli bir yaklaşımın benimsenmesi hayati önem taşımaktadır.
İşte burada Sürekli Tehdit Maruziyeti Yönetimi (CTEM) devreye giriyor. Gartner tarafından türetilen terim, maruz kalma yönetimini daha pratik hale getirmek için kullanılan beş adımlı bir programı tanımlıyor ve bu, onu kullanan kuruluş içinde sürekli gelişen sürekli bir süreçtir.
İlk adım, en önemli varlıkları ve potansiyel etkileri belirlemek için saldırı yüzeyinin kapsamının belirlenmesini, ardından DevOps süreci gibi daha az somut riskler de dahil olmak üzere tüm BT ortamı genelindeki risklerin haritasını çıkarmak için keşif yapılmasını içerir. Üçüncü adım, maruziyetin erişilebilirliğine, istismar edilebilirliğine ve etkisine bakan önceliklendirmedir; dördüncü adım olan doğrulama ise, saldırı yollarının potansiyel tedavilerle birlikte tanımlanmasını ve böylece yalnızca kuruluşu etkilemesi muhtemel risklere göre hareket edilmesini sağlar. Son adım, seferberliktir ve bu, kurum içi veya üçüncü taraf BT ekibinin, ortaya çıkan tehdide yanıt vermek ve azaltmak için devreye girdiği yerdir.
En önemlisi, CTEM, işletmenin savunucunun ve saldırganın görüşünü sahaya taşımasına ve olası saldırı yollarını, açığa çıkan varlıkları haritalandırmasına ve uzlaşmanın etkisini değerlendirmesine olanak tanır. Kuruluş daha sonra ilgili risk düzeyini çok daha doğru bir şekilde değerlendirebilir.
Haritalama önemlidir çünkü bu risk, saldırganın yanal hareketinin bir parçası olarak yaptığı atlama sayısına göre artar. Örneğin, Maruz Kalma Durumu Yönetimi raporu, şirket içi bir mülkteki bir atlamanın kritik varlıkların %62’sini riske attığını, ancak dört atlamayla bu oranın %80’e yükseldiğini ortaya çıkardı. Saldırı yolu modelleme, bulut platformlarındaki kritik varlıkların şirket içi risk altında olup olmadığını tespit etmek için de kullanılabilir. Rapor, saldırganların kuruluşların %70’inde şirket içi ortamdan bulut ortamlarına geçebildiğini ve ardından yalnızca iki atlamada bulutta tutulan kritik varlıkların %93’ünü ve dört atlamada %97’sini tehlikeye atabildiğini ortaya çıkardı.
Düzeltmeniz mi gerekiyor?
Bazı durumlarda ağın saldırganın ulaşamadığı alanlarında açıklara ya da güvenlik açıklarına rastlanabilir. Aslında rapor, risklerin %74’ünün çıkmaz sokak olduğunu, dolayısıyla bunları hafifletmeye kaynak ayırmanın boşa çaba olacağını ortaya çıkardı. Bunları doğrulayabilmek, önceliklerinin kaldırılabileceği anlamına gelir. Ancak tam tersine, saldırı yollarının kesiştiği yerlerde, öncelik verilmesi gereken riskler olacaktır. Bunlar dar noktalardır ve bunlara değinerek BT ekibinin taleplerini azaltırken aynı zamanda riski de önemli ölçüde azaltmak mümkün hale gelir. Bunun bir örneği Log4j güvenlik açığıdır. Bir kuruluşta bu kodun kullanıldığı yüzlerce örnek bulunabilir; bunlardan belki 83’ü istismar edilebilir ancak bunlardan yalnızca ikisi tıkanma noktalarında meydana gelir. Bu nedenle, bu iki tıkanıklık noktasında iyileştirmeye öncelik vermek en büyük getiriyi sağlayacaktır.
Rapor, risklerin %1,5’inin dar noktalarda yattığını ve bunlardan beşte birinin kuruluşun kritik varlıklarının %10 veya daha fazlasını açığa çıkaracağını, dolayısıyla dikkatin bu dar noktalara odaklanmasının hem kaynaklara odaklanmasını hem de gereksiz iyileştirmelerin önlenmesini sağladığını buldu. Aslında, kullanılabilirliğin belirlenmesi, minimum çabayla maksimum risk azaltımı sağlar ve sonuç olarak CTEM, çok ihtiyaç duyulan netliği sağlayarak hem BT hem de güvenlik ekiplerini uyumlu hale getirme kapasitesine sahiptir.
Ancak bu, daha düşük öncelikli risklerin sonsuza kadar göz ardı edilmesi gerektiği anlamına gelmez. Bunun yerine, bunlar daha uygun maliyetli bir şekilde, belki de aynı anda çok sayıda alçakta asılı meyvenin bakımını yapan planlı iyileştirmeler yoluyla veya diğer acil olmayan yollarla temizlenebilir.
Ek yararlar
CTEM, sıfır gün güvenlik açıklarından operasyonel teknoloji gibi daha önce ele alınmamış alanlara kadar çok sayıda güvenlik açığı ve maruziyetle ilişkili riski azaltmak için kullanılabilir ve örneğin fidye yazılımına hazır olunmasını sağlayarak organizasyonu daha dayanıklı hale getirebilir. Farklı maruziyetlerin oluşturduğu riski tam olarak ölçebilen anlaşılır ve pratik bir süreç sağlayarak risk raporlamasını geliştirmek için kullanılabilir. Ayrıca diğer tarafları etkileyebilecek ileriye dönük saldırı yollarına baktığı için tedarik zinciri riski ve birleşme ve satın alma faaliyetleri açısından da faydalı olabilir.
Sonuç olarak, güvenlik açığı yönetiminin oldukça haklı olarak, daha geniş saldırı yüzeyine dikkati kapsayan maruz kalma yönetimi kapsamına alındığı açıktır. Ancak bunu verimli bir şekilde uygulamak için CTEM şarttır. CTEM’in maruziyetlerin kullanılabilirliğini haritalandırma ve tespit etme ve iyileştirme için bunları doğrulama yeteneği, şüphesiz kaynakların etkin kullanımı açısından büyük bir fark yaratacaktır ancak aynı zamanda işletmenin riski gerçekçi bir şekilde değerlendirmesini sağlayarak daha uzun vadeli faydalar da sağlayacaktır. ve güvenlik duruşunu sürekli olarak iyileştirin.
