Yönetişim ve Risk Yönetimi, Risk Değerlendirmeleri
Otomasyon, İyileştirilmiş Veri Doğrulama Siber Risk Derecelendirmelerinde Yanlış Pozitifleri Azaltır
Michael Novinson (MichaelNovinson) •
27 Mayıs 2024
Bitsight ve SecurityScorecard, Forrester’ın siber güvenlik risk derecelendirme platformları sıralamasında zirvede kalırken, Panorays liderler arasına girdi.
Ayrıca bakınız: ML Destekli NGFW’nin 4 Temel Unsuru: Makine Öğrenimi Ağ Güvenliğini Nasıl Bozuyor?
Forrester Kıdemli Analisti Cody Scott’a göre CISO’lar, yüksek hatalı pozitif oranları ve yatırımlarının sınırlı getirisi nedeniyle siber güvenlik risk derecelendirme platformlarına yatırım yapmanın değerini tarihsel olarak sorguladılar. Ancak satıcılar varlıkları keşfetme, ilişkilendirme ve doğrulama becerilerini önemli ölçüde geliştirdi ve kullanım senaryolarını üçüncü taraf risk yönetiminin yanı sıra iş akışı ve iyileştirme sorunlarını da içerecek şekilde genişletiyor.
Scott, Information Security Media Group’a şunları söyledi: “Yanlış pozitif bulgularla ilgili o kadar çok sorun vardı ki, bu araçlar müşteri ortamlarında yayına girdiğinde o kadar çok hayal kırıklığı vardı ki, CISO’lar ‘Bu yatırıma değmez’ diyordu.” . “Satıcılar bu sorunun sorumluluğunu üstlenmek ve platformlarına teknik olarak daha fazla yatırım yapmak için gerçekten harekete geçti.”
Scott, risk derecelendirme platformlarının doğruluklarını ve şeffaflıklarını artırmak için veri kümelerine, yapay zekaya ve olasılıksal yöntemlere yoğun yatırım yaptığını ve veri doğrulama süreçlerini iyileştirmek için açık kaynak verilerdeki ve ticari veri kullanılabilirliğindeki ilerlemelerden yararlandıklarını söyledi. Satıcılar ayrıca müşterilerin orkestrasyon ve iyileştirme yeteneklerine yönelik talebini karşılamak amacıyla daha fazla veri erişimi ve entegrasyon sağlamak için yerel araçlar da geliştirdi.
Scott, “Teknoloji ve işleme tarafındaki ilerleme ve ticari verilerin kullanılabilirliği daha doğru olmayı mümkün kıldı” dedi.
Yeni risk derecelendirmeleri Forrester Wave, 2021 kışına ait risk derecelendirmelerinin yerini aldı. SecurityScorecard, çok daha küçük bir farkla da olsa, Forrester’ın mevcut teklifinin gücü konusundaki değerlendirmesinde istikrarlı bir performans sergiliyor. Bitsight bir kez daha ikinci sırayı alırken, Black Kite Panorays’ın önüne geçerek üçüncü sırayı aldı.
“Satıcılar bu sorunun sorumluluğunu üstlenmek için gerçekten harekete geçti.”
– Cody Scott, Forrester’ın kıdemli analisti
BitSight, bu yıl en yüksek strateji puanı açısından SecurityScorecard’ı geride bırakırken, 2021’de iki şirket en yüksek puanı elde etti. Mevcut değerlendirmede SecurityScorecard, Recorded Future ve Panorays stratejide sırasıyla ikinci, üçüncü ve dördüncü sırayı alırken, 2021’de Panorays, RiskRecon’u az farkla üçüncü en yüksek strateji puanıyla geride bıraktı.
Risk Derecelendirme Platformu Liderlerini Farklı Kılan Nedir?
Scott, siber güvenlik risk derecelendirme pazarındaki liderlerin, otomasyona yoğun yatırım yaparak ve hizmetlerini yalnızca derecelendirmelerin ötesinde daha geniş risk yönetimi işlevlerini içerecek şekilde genişleterek kendilerini farklılaştırdığını söyledi. Ayrıca kullanıcıların doğrudan bilgilere göre hareket edebilmeleri ve analitik ve tahmine dayalı ölçümlere dayalı olarak eylemleri önceliklendirebilmeleri için platformlarına iyileştirme özellikleri de yerleştirdiler.
Scott, “Bu platformların gerçekte yaptığı şey şu: ‘Seni yüksek sesle ve net bir şekilde duyuyorum; bu konuda harekete geçmek istiyorsun’ demeye yöneliyorlar” dedi. “Dolayısıyla, varlığa ve tespit edilen güvenlik açığına özel olarak atmanız gereken önerilen iyileştirme adımlarını otomatik olarak alacağız.”
Gelecekte Scott, siber güvenlik risk derecelendirmelerinin üçüncü taraf risk yönetimi, harici saldırı yüzeyi yönetimi ve siber risk ölçümü ile birleşerek bağımsız risk derecelendirme araçlarının birkaç yıl içinde var olup olmayacağı konusunda belirsizlik yaratmasını bekliyor. Bu gerçekleşirken Scott, satıcıların tek başına sayısal derecelendirmeler yerine genel risk duruşuna veya risk yönetimine daha fazla odaklanmasını bekliyor (bkz: RiskLens, Axio Siber Risk Ölçümünde Lider Forrester Wave).
Scott, “Siber güvenlik risk derecelendirme pazarının bağımsız bir pazar olacağına ikna olmadım” dedi. “Derecelendirmeler her zaman mevcut olacak ancak başka çözümlere dönüştürülebilirler.”
Liderlerin dışında Forrester’ın siber güvenlik risk derecelendirme platformları pazarını şu şekilde değerlendirdiği görülüyor:
- Güçlü Performans Gösterenler: Kara Uçurtma, RiskRecon, BlueVoyant, Kaydedilmiş Gelecek
- Yarışmacılar: UpGuard, Yaygın
- Meydan okuyanlar: ISS Kurumsal Çözümler
Bitsight Siber Risk Derecelendirmelerini Güçlendiriyor Yönetişim ve Teknoloji
Baş Risk Sorumlusu Derek Vadala’ya göre Bitsight, müşterilerden derecelendirmeleri hakkında geri bildirim almak için şeffaf bir kamuya açık anlaşmazlık çözüm süreci oluşturarak yönetimini güçlendirdi ve derecelendirmelerdeki herhangi bir değişiklik çevrimiçi olarak kamuya açık olarak yayınlanıyor. Şirket ayrıca, derecelendirmelerin geniş bir kitleye hizmet etmesini sağlamak için eski bir güvenlik şefi ve bir ABD kongre üyesinden oluşan harici bir danışma kurulu oluşturdu.
Teknik açıdan, keşif ve ilişkilendirme konusunda önemli çalışmalar yapılmıştır. Vadala, bir ekibin varlık sahipliği ve güvenlik sorumluluklarını daha iyi anlamak için Bitsight’ın makine öğrenimi modelini eğittiğini söyledi. Şirket ayrıca varlıkları kapsamlı bir şekilde analiz etmek ve güvenlik açıklarına ilişkin daha derin bilgiler sağlamak için bir tarama cihazı da geliştirdi; Vadala, bunun büyük güvenlik olayları sırasında faydalı olduğunu söyledi (bkz: Bitsight CEO’su Güvenlik Derecelendirmesinden Risk Yönetimine Geçiş Konusunu Anlatıyor).
Vadala, ISMG’ye “Kategori yaratıcısı olarak kategoride en uzun süreye sahibiz” dedi. “Bu soruna harcanan zamanın büyük bir fark yarattığını düşünüyorum. Bu, sunduğumuz teknolojileri bilgilendirmemize ve geliştirmemize olanak sağladı.”
Forrester, Bitsight’ı karmaşık fiyatlandırma, temel teklifinde emsal kıyaslamaların ve dördüncü taraf veri işlevselliğinin bulunmaması ve GRC entegrasyonları aracılığıyla paylaşılan verilerin Bitsight platformlarıyla eşleşmediği durumlar nedeniyle eleştirdi. Vadala, çözümün kapsamlılığı ve modülerliği göz önüne alındığında Bitsight’ın fiyatlandırmasının rekabetçi olduğunu ve ürün entegrasyonlarını ve hizmet tekliflerini geliştirmek için geri bildirimleri kullanacağını söyledi.
Vadala, “Fiyat noktalarımızın bir nedeni de verilerin kapsamlılığı ve çözümün eksiksizliğidir” dedi. “Tanındığımız modüler bir çözümümüz var, ancak fiyatı rekabetçi.”
Ar-Ge ve Yapay Zeka Dönüşümü GüvenliğiScorecard’a Yapılan Büyük Yatırımlar
Kurucu ortak Sam Kassoumeh, SecurityScorecard’ın şirket içi araştırma ve geliştirmeye önemli yatırımlar yaptığını, tehdit istihbaratına, veri toplamaya ve fidye yazılımı ile sıfır gün güvenlik açıkları gibi konulara ilişkin içgörülere odaklandığını söyledi. Veri toplamanın şirket içine getirilmesi, SecurityScorecard’ın risk derecelendirmelerinin doğruluğunu büyük ölçüde artırdı ve müşteriler için daha hızlı güncellemelere ve daha güvenilir geri bildirimlere olanak sağladı.
Kassoumeh, SecurityScorecard’ın sıfır gün güvenlik açıklarını proaktif bir şekilde keşfedip düzelten hizmet olarak sıfır gün özelliğini başlatmak için kapsamlı veri koleksiyonundan yararlandığını söyledi. Kassoumeh’e göre şirket ayrıca anketlerin otomatik olarak doldurulmasına, düz dosyaların analiz edilmesine ve müşteri karar verme süreçlerinin hızlandırılmasına yardımcı olmak için yapay zekayı siber istihbarat verileriyle entegre etmeye de büyük yatırım yaptı (bkz: Fiziki Rusya-Ukrayna Savaşı Neden Siber Savaşa Dönüşebilir?).
Kassoumeh, ISMG’ye “Topladığımız verilerin %100’ünü kontrol ediyoruz; bunların nasıl kullanıldığına dair hiçbir kısıtlama yok” dedi. “Peki bu nasıl oluyor? Bu şu anlama geliyor: Müşterilere tedarik zincirlerindeki endişeleri en hızlı şekilde bildirebiliyorum ve bu da onların bilgisayar korsanlarına yönelik fırsat penceresini en hızlı şekilde kapatmalarına olanak sağlıyor.”
Forrester, SecurityScorecard’ı, yüklenen kanıt belgelerini değerlendirmek için yapay zeka ayrıştırma araçlarına sahip olmadığı ve taranan bir IP ve ana bilgisayar adı aynı varlığı bildirdiğinde yinelenen bulguları önleme konusunda zorluklar yaşadığı için azarladı. Kassoumeh, SecurityScorecard’ın büyük hacimli politika ve prosedürleri daha etkili bir şekilde ele almak istediğini ve veri toplama üzerindeki kontrolünün doğru ve yedeksiz raporlama sağladığını söyledi.
Kassoumeh, “Yapay zeka için büyük bir fırsat sadece SOC2 okumak değil, aynı zamanda herhangi bir politika prosedürünü okuyabilmek ve onu çıkarabilmektir” dedi. “İşte bu noktada yatırımımızı ikiye katlıyoruz.”
Panorays Tescilli Yapay Zekayla Siber Risk Derecelendirmelerini Yükseltiyor
Kurucu ortak ve CTO Demi Ben-Ari’ye göre Panorays, harici saldırı yüzey değerlendirmelerinden dahili güvenlik anketlerini ve genel risk derecelendirme sürecini geliştirmek için üçüncü taraflarla işbirliğini içerecek şekilde büyüdü. Şirketin risk derecelendirme süreci, bir kuruluşun altyapısını, bulutunu ve bilgi varlıklarını değerlendirmek için ağ katmanını, uygulama katmanını ve insan unsurunu değerlendirir.
Şirket, son on yılda toplanan benzersiz bilgilere dayanarak platformuna bir dizi yapay zeka yeteneği entegre etti ve Ben-Ari, bunun üçüncü taraf siber riskleriyle kesin bir ilişki sağladığını söyledi. Ben-Ari, Panorays’ın yapay zeka yeteneklerinin veri yönetimindeki gürültüyü ve yanlış pozitifleri azalttığını, varlıkların tanımlanmasını ve sınıflandırılmasını kolaylaştırdığını ve güvenlik kanıtlarının dahili olarak toplanmasını otomatikleştirdiğini söyledi (bkz.: İyi Bir Üçüncü Taraf Risk Programı Uygulamaya Yönelik İpuçları).
Ben-Ari ISMG’ye “Biz en dost canlısıyız” dedi. “Teknolojimizin işbirlikçi doğası, tüm şirketlerin işbirliği yapmalarına olanak sağlayacak şekilde erişim sağlıyor. Ayrıca, yalnızca derecelendirme ve puan kartları sağlamak yerine güvenlik duruşunu geliştirmek, en kesin resmin oluşturulmasında temel farklılaştırıcı unsurlardan biridir.”
Forrester, Panorays’i yerel risk ölçümünden yoksun olması, daha az dinamik raporlama yeteneklerine sahip olması, derecelendirme performans ölçümlerini yayınlamaması ve daha az farklılaşmış bir stratejik odağa sahip olması nedeniyle eleştirdi. Ben-Ari, Panorays’in performans ölçümlerini kamuya açık hale getirerek ve Snowflake gibi üçüncü taraflarla entegrasyonlar yoluyla raporlama araçlarını genişleterek şeffaflığını artırmayı planladığını söyledi.
Ben-Ari, “Platformun kendisinde şeffaflık tamamen mevcuttur” dedi. “Fidye olarak herhangi bir bilgi tutmuyoruz ama onlar bunun dışarıya yansımasını, yani platforma kayıtlı olmayan birini görmek istediler. Bu konuda tartışmaya devam edeceğiz.”