Siber Güvenlik Tehditlerinin Tutarlı Taksonomisini Benimseyerek Risk Yönetimini Geliştirmek ve Risk Nehrini Köklendirmek – Siber Güvenliğin “Lingua Franca”sı.
Charlie Miller, Kıdemli Danışman, Paylaşılan Değerlendirmeler, CTPRP, Seçkin Ponemon Üyesi
Şirketler, risklerini azaltmak için uzun zamandır risklerini değerlendiriyorlar. Şirketler dış kaynak kullanmaya başladıklarında, kullandıkları üçüncü tarafların kontrol yeterliliği konusunda fazla bir görünürlükleri olmadığı için yeni risk zorluklarıyla karşı karşıya kaldılar. Teknoloji, dijital dönüşüm, ağ bağlantısı ve İnternet son 25 yılda ticari bir alan haline geldi ve şirketler – ve üçüncü tarafları – şimdi karmaşık bir siber güvenlik sorunları ekosistemiyle karşı karşıya. Bir siber güvenlik riski uzmanı olarak hepsini bilirsiniz.
Belki şu anda birilerinin uydurduğu yeniler dışında.
Bir kuruluş için siber kontrol faaliyetini – ve tehditleri – izlemek bir şeydir. Dış kaynak kullanımı, siber güvenlik izlemesini yeni bir düzeye taşır, çünkü birdenbire endişelendiğiniz şey yalnızca kendi kuruluşunuz değildir. Üçüncü taraf tedarikçileriniz ve hizmet sağlayıcılarınız için en kritik tehditlerin de farkında olmalısınız, çünkü oradaki tavizler sizi etkileyebilir. Büyük bir şirketin 40.000 veya daha fazla tedarikçisi olabilir. Tüm bunları izlemek uzun bir iştir.
Sürekli İzlemeye Girin
Bazı üçüncü taraflar doğrudan şirket ağlarına bağlıdır ve bazıları değildir, ancak hepsinin siber güvenlik riskleri artmıştır. Güvenlik Derecelendirme Servisleri (SRS) son zamanlarda ortaya çıkmıştır. Genellikle Hizmet Olarak Yazılım (SAAS) olarak sağlanan çözümleri, sürekli olarak kendi kuruluşlarının siber hijyenini ve ayrıca bir dizi üçüncü şahıs ve potansiyel üçüncü şahısları denetleyerek, derecelendirme sağladıkları olayları ve güvenlik açıklarını inceler. SRS sağlayıcılarının teklifleri ve derecelendirmeleri benzerdir, ancak terminoloji, fiyat ve fiyatlandırma modelleri, izledikleri olaylar, dış güvenlik çerçeveleri ve standartlarıyla uyumları, müşteri arayüzü, veri kaynakları, siber güvenlik kontrol zayıflıklarını toplama ve raporlama yöntemleri bakımından farklılık gösterirler. bilgi ve diğer birçok yolla. Temel olarak, hepsi farklı.
Bu çeşitlilik size zengin seçenekler sunar, ancak hizmetleri karşılaştırmayı ve siber hijyen izlemenin kontrol gereksinimlerinizle uyumlu olmasını sağlamayı zorlaştırır.
Kuruluşlar ve kullandıkları sağlayıcılar arasındaki tüm bu farkın başka ve belki de daha incelikli bir yönü vardır. Her BT ve siber güvenlik yöneticisi, organizasyonda yukarı doğru iletişim kurmalıdır ve sonunda yönetim kuruluna kadar gitmelidir. Bu iletişimdeki netlik, finansman, personel ve ekipmanın yanı sıra güvenliği de etkiler.
İhtiyaç duyulan şey, izlenen siber tehditler dünyasını tanımlayan ortak bir dil olan ortak bir dildi. Bu, kuruluşların şunları yapmasına izin verecektir:
- SRS tarafından izlenen olayların dış kaynak sağlayıcının kontrol gereksinimleriyle nasıl uyumlu olduğunu ve bunun tersini daha iyi anlayın.
- Birkaç SRS sağlayıcısı tarafından sunulan hizmetleri karşılaştırın.
- SRS tarafından belirlenen sorunları daha kolay iletin ve bunları düzeltmek için azaltma yaklaşımları geliştirin.
- Kurulların ve liderlik ekiplerinin işletmeye yönelik siber tehditleri değerlendirmesine ve uygun kaynakları hizalamasına yardımcı olan üçüncü taraf risk yönetimi ekosistemi genelinde net bir şekilde iletişim kurun. Özellikle teknik bilgisi olmayan kişilerle iletişim kurarken ortak bir terminolojiye sahip olmak önemlidir. Küresel tedarik zincirlerinin olduğu bir ortamda bu net iletişim daha da önemli hale geliyor.
Siber güvenlik tehditlerinin tutarlı bir sınıflandırması olan böyle bir ortak dilin olmaması, kuruluşlar, üçüncü taraflar ve SRS sağlayıcıları için sorunlar yarattı.
Peki, Sorun Ne?
Tablo 1 ve Tablo 2, yaygın ancak spesifik bir terminoloji probleminin bir örneğini göstermektedir. Bir şirket, satıcının e-posta sunucularının dış kaynak şirketini hedefleyen kimlik avı saldırıları için kullanılmamasını sağlamak için bir satıcıyı değerlendirmek istiyor. Özellikle, işveren, satıcının ağlarında Gönderici İlke Çerçevesini (SPF) etkinleştirip etkinleştirmediğini bilmek ister. SPF, kuruluşların saldırganların bir kuruluşun e-posta adreslerini taklit etmesini engellemeye yardımcı olmak için etkinleştirebileceği bir Etki Alanı Adı Hizmeti (DNS) yapılandırmasıdır.
Güvenlik Derecelendirme Hizmeti A’nın uyarı kategorisini incelerken, SPF özel olarak listelendiğinden SPF referansını tespit etmek kolaydır. Bununla birlikte, Güvenlik Derecelendirme Hizmeti B’nin çözümünde, Kategori 1 veya Kategori 2’nin dış kaynak sağlayıcıların SPF izleme ihtiyacıyla eşleşip eşleşmediğini söylemek zordur.
Bir Grup Rakip
Shared Assessments, on yılı aşkın bir süredir kurumsal risk değerlendirmesi (sadece siber risk değerlendirmesi değil) için standartlaştırılmış kaynaklar geliştiren ve teşvik eden üye odaklı bir kuruluştur. 23Advistory, BitSight, Black Kite, Panorays, RiskRecon ve Security Scorecard gibi SRS sağlayıcıları dahil SA üyeleri, çeşitli tekliflerini tanımlayabilecekleri ortak bir sınıflandırma oluşturmak için Paylaşılan Değerlendirmeler aracılığıyla çalıştı. Taksonomi, karmaşık siber olaylar ve güvenlik açıkları için tutarlı dil, uygulamalar ve raporlama yapıları kurar ve belirsizlik potansiyelini ortadan kaldırır. “Rakiplerin” her biri kendileri ve müşterileri için avantajlar görüyor.
Dünya Ekonomik Forumu ve NIST, kendi çerçeveleri ve terminolojileriyle tutarlılığı sağlamak için sınıflandırmadan yararlanmayı düşünüyor.
Taksonominin kendisi, herhangi bir olayın diğerine göre göreceli önemi konusunda hiçbir duruş sergilemez. Gerekli olan, bir olayın şu anda birileri tarafından bir şekilde gerçek dünyada izlenmesidir. Olaylar, tekrarı önlemek için olumsuz olarak açıklanmıştır. Örneğin, bir SRS sağlayıcısı “XYZ yaması eksik – bu kötü” diyebilir ve daha düşük bir puan verirken başka bir sağlayıcı “XYZ yaması var – bu iyi” diyebilir ve daha yüksek bir puan sağlayabilir. Taksonomi, durumu iki kez açıklamaktan kaçınmak için XYZ yamasını her zaman olumsuz biçiminde tanımlar.
Birleşik Üçüncü Taraf Sürekli İzleme Siber Güvenlik Taksonomisindeki temel tanımlar arasında şunlar yer alır:
- İzleme Yüzeyi: Paydaşların SRS sağlayıcılarının olayları nasıl tanımladığını daha iyi anlamalarına yardımcı olmak için alan adları, İnternet Servis Sağlayıcıları, e-posta servis sağlayıcıları ve IP adresleri gibi diğer olayların veya durumların varlığının belirlenmesine yardımcı olan teknik veya organizasyonel özelliklerin kataloglanması. Bu tanım kategorisi, parmak izi değerleri için olanları içerir ve bir kuruluşun iş ve teknik ortamının kapsamını, güçlü ve zayıf yönlerini anlamak için kullanılabilecek varlıklarla ilişkili olanlar gibi yüzey değişkenlerini ekler. Yüzey değişkenleri, bir denetimin veya güvenlik açığının var olup olmadığını belirleyebilir.
- Olaylar: İzlenen bir kuruluşun maruz kalabileceği bir kontrol eksikliğini gösteren gerçek siber güvenlik açıkları. Alanlar ve kategoriler şunları içerir:
- İş zekası: İtibar riski, iş metrik değişiklikleri, güvenlik olayları ve diğer olaylar gibi kategoriler.
- Uzlaşma Göstergeleri: Aktif ve pasif sinyaller dahil. Gerçek zamanlı veya neredeyse gerçek zamanlı olarak meydana gelen ve alınan tehlikeli faaliyetler gibi aktif; listeler, kimlik bilgisi sızıntıları ve açığa çıkan bilgiler gibi pasif.
- Güvenlik açıkları: DNS, e-posta, web uygulamaları, uzaktan erişim, uygulamalar, ağ hizmetleri, istemci uygulamaları, ağ ve bulut güvenliği gibi siber unsurlar yelpazesinde potansiyel risk alanlarını tam olarak tanımlamak.
Bir “Risk Nehri”
Shared Assessments’ın “rakip grubu” tarafından görülen en büyük sorunlardan biri yavaş yama ritmidir. Haftada 40-50 milyar (B ile) güvenlik açığının ortaya çıkmasıyla yavaş yama büyük bir sorun olmaya devam ediyor. Dağıtılmış Hizmet Reddi (DDoS) saldırısını azaltma, Ömrünü Tamamlamış sistemler çevrimiçi kalan ve Destek Sona Erdikten sonra çevrimiçi olan sistemler gibi diğer sorunlar azalan sıradadır.
Forbes Global 2000 şirketlerine ilişkin CSC 2021 Etki Alanı Güvenliği Raporuna göre:
- %81’i Kayıt Şirketi Kilidi Protokolü kullanmadı
- %50’si DMARC (Alan Adına Dayalı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk) kullanmadı
- %89’u DKIM (DomainKeys Identified Mail, sahte gönderen adreslerini tespit etmeye yönelik bir e-posta doğrulama yöntemi) kullanmadı
- “Homoglif” alan adlarının %60’ı (“amuzon” gibi yazım hatalarını yakalamak için) son iki yılda kaydedildi.
Rakiplere göre, basit ve etkili azaltmalar şunları içerir:
- 3 evlat edinme
- HTTP Strict-Transport-Security yanıt başlığı (HSTS başlıkları)
- OWASP İlk 10 (Eylül 2021’de güncellendi)
- İnternet Güvenliği Merkezi (CIS) Kritik Güvenlik Kontrolleri (v8, Mayıs 2021’de güncellendi)
Taksonomi, Shared Assessments tarafından sağlanan bir endüstri çabası ve yaşayan bir belgedir. Bu, 2017 yılında kurulan ve 55’in üzerinde üye kuruluştan uygulayıcıları harekete geçiren Ortak Değerlendirmeler Sürekli İzleme Çalışma Grubu tarafından izin verilen iki aşamalı bir işbirliği projesinin en son sonucudur. İlk aşama, 2019 yılında “Birleşik Sürekli İzleme Siber Güvenlik Taksonomisi Oluşturma: Neyin Ne Olduğunu Söyleyerek Zemin Kazanma” başlıklı bir makale olarak yayınlandı. İkinci aşama taksonominin kendisidir.
Paylaşılan Değerlendirmenin bir kopyası Birleşik Üçüncü Taraf Sürekli İzleme Taksonomisi ücretsiz olarak edinilebilir ve SRS firmalarının Web Seminerinin faydalarını açıkladığı yer burasıdır. Sürekli İzleme için Siber Güvenlik Taksonomisi.
yazar hakkında
Charlie Miller, Kıdemli Danışman, Paylaşılan Değerlendirmeler, CTPRP, Seçkin Ponemon Üyesi – Charlie, Üçüncü Taraf Riskinde sık sık konuşmacı ve tanınmış bir uzmandır. Başlıca sorumlulukları arasında Ortak Değerlendirmeler Üçüncü Taraf Risk Yönetimi üyelik odaklı programı genişletme, düşünce liderliğini kolaylaştırma, endüstri dikey strateji grupları, sürekli izleme / operasyonel teknoloji çalışma grupları ve IoT araştırma çalışmaları yer almaktadır.
2015 yılında Paylaşılan Değerlendirmelere katıldı ve 15 yılı aşkın bir süredir üçüncü taraf risk alanında bulunuyor. Çok sayıda küresel şirket için üçüncü taraf risk yönetimi ve finansal hizmetler girişimlerini kurmuş ve yönetmiş olarak geniş bir endüstri deneyimine sahiptir.
Charlie, AIG’de Satıcı ve İş Ortağı Risk Yönetimi Direktörüydü ve Bank of Tokyo Mitsubishi’de (BTMU) üçüncü taraf risk yönetimi programları uyguladı. Merrill Lynch & Co., Inc.’de şirketin küresel satıcı yönetimi programını denetleyen ve Teknoloji Denetimi Direktörü olarak birden fazla liderlik rolü üstlendi. Deloitte’ta danışmanlık ortağı olarak teknoloji dış kaynak kullanımı, risk yönetimi ve maliyet kontrolüne odaklanan bir finansal hizmetler uygulama birimini yönetti. Kariyerine IBM’de sistem mühendisi olarak başladı.
Charlie, Ponemon Enstitüsü’nün Seçkin Üyesi, Sertifikalı Uluslararası Gizlilik Uzmanı ve Sertifikalı Üçüncü Taraf Risk Uzmanıdır.
Charlie ile bağlantı kurun e-posta veya aracılığıyla LinkedInve https://sharedassessments.org/
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.