Yapmanıza izin verdikleri yatırıma göre, kurulunuzun kuruluşun tam olarak ne kadar korunduğunu gösteren bir araçla bir yönetim kurulu toplantısına girdiğinizi hayal edin.
Veya X’te (eski adıyla Twitter) “günün tehdidi” hakkında bir şeyler gören CEO’nuzdan bir telefon aldığınızı ve sahip olduğunuz kaynaklarla kuruluşun bu tehdide karşı ne kadar korunduğunu anında gösterebildiğinizi hayal edin.
Bu yetenekler yönetim kurullarına ve CEO’lara yönetişim perspektifinden bakıldığında kapsam olduğuna dair güven verebilir. Ancak güvenlik bütçesi kısıtlamaları nedeniyle şu anda daha önemli olan, savunma yığınınızın göreve uygun olup olmadığını görebilme yeteneğidir. Değilse, savunmayı ve ihtiyaç duyulan kaynakları (insanlar, süreçler ve teknoloji) optimize etmek için ekibin hangi adımları atabileceğini gösterin.
Bu senaryoları nasıl gerçeğe dönüştürebilirsiniz?
En Büyük Tehditlerin Önünde Durmak
Gartner, işletmenizi en çok tehdit eden şeyleri önceliklendirmeye yönelik bir strateji olarak sürekli tehdide maruz kalma yönetiminden (CTEM) bahsediyor ve bu yaklaşımın kuruluşların önümüzdeki iki yıl içinde ihlalleri üçte iki oranında azaltmasına yardımcı olabileceğini tahmin ediyor. Kuruluşların %70’inden fazlasının siber güvenlik bütçelerinin %25-100’ünü boşa harcadığını düşünmesi, CTEM’in 2024 için en iyi beş siber güvenlik trendinden biri olması mantıklıdır. CTEM, İhlal ve Saldırı Simülasyonu gibi birçok süreç ve yetenekten oluşur. (BAS) ve Tehdit Bilgili Savunma (TID), CTEM stratejinizi geliştirmek için birlikte çalışır.
BAS araçları önemli bir temel işlev sağlar çünkü güvenlik kontrollerinizin MITRE ATT&CK®’da bulunan tehdit istihbaratına karşı çalıştığını test edip doğrularlar. Tamamen analize dayalı değerlendirmeden daha yüksek aslına uygunluk sağlarlar ve insan gücüyle yapılan sızma testi ve kırmızı ekipten daha geniş kapsama sahiptirler. BAS araçları, daha hızlı, daha doğru sonuçlar sağlamak için süreci otomatikleştirir ve test sonuçlarının raporlanması için gösterge tabloları ve analizlerle tekrar tekrar çalıştırılabilir.
Güvenlik Ekibi Değerini ve Yatırım Gerekçesini Gösterme
Test aracı etkinliği, CTEM içinde kritik bir işlev sağlar, ancak burada duramazsınız. Bu toplantı odası ve CEO senaryolarını hayata geçirmek için Tehdit Bilgili Savunma devreye giriyor ve savunmaları optimize etmenize ve tehditlere maruz kalma durumunu stratejik olarak yönetmenize yardımcı oluyor.
Güvenlik liderlerinin, kuruluşun ne kadar iyi korunduğunu ve iyileştirme için nelere ihtiyaç duyulduğunu göstermek için TID yaklaşımıyla atabileceği dört adımı burada bulabilirsiniz.
- Test üzerine inşa edin. Test sonuçlarınız test ettiğiniz şeyin işe yaradığını gösterebilir ancak tehdit aktörlerinin taktikleri, teknikleri ve prosedürleri (TTP’ler) hızla değiştiğinden kuruluşu güvence altına almak için ihtiyacınız olan her şeye hâlâ sahip olmayabilirsiniz. Son örnekler arasında Scattered Spider’ın SaaS’a geçişi ve sol alandan çıkan yeni teknikler, APT40’ın yeni kampanyalarda ve yeni coğrafi bölgelerde kullanımı ve Black Basta’nın sistemi tehlikeye atmak için bir Pencere özelliği kullanma konusunda kullanıcıları kandırmak amacıyla olağandışı TTP’leri benimsemesi yer alıyor. Peki ya test etmediğiniz ve geçemeyen araçlara ne dersiniz?
- Gelişen tehditlere ayak uydurun. TID araçları, yalnızca seçili araçlarda değil, savunma yığınınızın tamamında tehdide maruz kalma durumunuzu değerlendirmenize yardımcı olmak için testleri tamamlar. Mevcut güvenlik yığınınızı, MITRE ATT&CK’deki tehdit istihbaratını ve daha sık güncellenen diğer tehdit istihbarat kaynaklarını içeren bir bilgi tabanıyla otomatik olarak eşlemek, günün tehditlerine karşı ne kadar korunduğunuza dair eksiksiz bir resim sağlar.
- Optimizasyon seçeneklerinizi anlayın. Farklı araçların yeteneklerini ve bunları nasıl konuşlandırdığınızı sürekli takip ederek elde edilen içgörüleri, kuruluşunuz için en önemli tehditlere ilişkin bilgilerle birleştiren bir TID aracı, savunma duruşunuzu optimize etmek için bundan sonra ne yapmanız gerektiğine ilişkin öneriler sağlayacaktır. Halihazırda sahip olduklarınızı yapılandırma değişiklikleriyle veya yeni bir özel kural veya algılama oluşturmak için dahili kaynaklar ekleyerek optimize edebileceğinizi öğrenebilirsiniz. Belki bir güvenlik aracını yeni bir sürüme yükseltmek ihtiyacınız olan yetenekleri sağlayacaktır. Veya cephaneliğinize yeni bir araç ekleyerek gerçekten doldurmanız gereken bir boşluk olabilir.
- Resmi tamamlayın. Programınızda değişiklik yaparken teste geri dönün. Kuruluşun savunma duruşunu optimize etmek için yaptıklarınızın planlandığı gibi çalıştığını ve istediğiniz sonuçları sağladığını doğrulayın. Döngüyü kapatmak, CTEM programınız için ivme kazandıracak ve ekibinize olan güveni artıracaktır.
Kaynakların Kilidini Açma
Tehditlere maruz kalma yönetimi stratejinizi tehdit bilgili bir savunmayla ilerlettiğinizde, o toplantı odasına girebilir ve herhangi bir zamanda veya günün tehditlerine karşı ne kadar iyi korunduğunuzu ve geliştirmek için neler yapabileceğinizi kolayca gösterebilirsiniz.
- Mevcut yatırımları optimize etmek için halihazırda neler yaptığınızı ve yapılan değişikliklerin tehdide maruziyeti nasıl azalttığını gösterebilirsiniz.
- Bir boşluğu doldurmak için insanlara, süreçlere veya teknolojiye yatırım yapmak için neden daha fazla desteğe ihtiyaç duyduğunuzun gerekçesini anlıyorsunuz.
- Hatta fazlalıkları ortadan kaldırarak ve araçları kullanımdan kaldırarak fonları yeniden tahsis etme fırsatının olduğunu bile gösterebilirsiniz.
Bunu hayal edin.
Yazar Hakkında
Jennifer Leggio, Tehdit Bilgili Savunma alanında lider olan Tidal Cyber’in Operasyon Direktörüdür ve siber güvenlik pazarlaması, operasyonları, stratejisi ve iş geliştirme alanında yaklaşık 24 yıllık deneyime sahiptir. Uzmanlık alanları arasında inşa-çıkış, büyümek için inşa ve güçlenmek için yeniden inşa stratejileri yer alıyor. Hikaye anlatma ve marka bilinirliğini ve gelir yaratmayı artıran içerik odaklı, entegre programlar oluşturma konusunda uzmandır. Pazarlamanın ötesinde, finansal büyüme stratejisini, yatırımcı ilişkilerini, değişiklik yönetimini, tedarik zinciri optimizasyonunu, satış operasyonlarını ve etkinleştirmeyi ve anlaşma masası yönetimini denetlemiştir. En dikkate değer büyüme ve çıkış girişimleri arasında Fortinet, Sourcefire (Cisco), Flashpoint, Claroty ve Infocyte (Datto) yer alıyor.
2019 yılında SC Media tarafından etik pazarlama programlarını ve güvenlik araştırmacılarının korunmasını agresif bir şekilde savunduğu için tanındı. Ayrıca çeşitli sektör etkinliklerinde ve konferanslarda bu konular hakkında konuştu ve makaleler ve podcast’ler aracılığıyla ve DEF CON, RSA, Gartner Güvenlik Zirvesi vb. yerlerdeki çeşitli konuşma fırsatları aracılığıyla görüşlerimi paylaşmaya devam ediyor.
Bir büyüme stratejisti olarak, yeni kurulan şirketlere ve risk sermayesi şirketlerine hızlı ve sürdürülebilir büyüme sağlama konusunda tavsiyelerde bulunarak sektörde oyunun kurallarını değiştiren biri olarak ün kazanıyor. Jennifer’a şu adresten çevrimiçi olarak ulaşılabilir: [email protected] veya https://www.linkedin.com/in/jenniferleggio/ adresindeki LinkedIn’de.