Bu Help Net Security röportajında Detectify CEO’su Rickard Carlsson, uzaktan çalışma ve dijital dönüşüm bağlamında saldırı yüzeyi yönetiminin evrimini tartışıyor.
Carlsson, sınırlı kaynaklarla ve artan iş talepleriyle uğraşırken, genişleyen bir saldırı yüzeyinde görünürlüğü korumak ve uyumluluğu yönetmek de dahil olmak üzere CISO’ların bugün karşılaştığı zorlukların altını çiziyor.
Uzaktan çalışmaya ve dijital dönüşüme geçişle birlikte geleneksel saldırı yüzeyi yönetimi kavramı nasıl gelişti? Birkaç yıl öncesine kıyasla bugün CISO’ların karşılaştığı en büyük zorluklar neler?
Kuruluşlar güvenliğe yönelik eski çevre temelli yaklaşımı unutmaya başlamalıdır. Artık ofis çalışması ile uzaktan çalışma arasında neredeyse hiçbir fark yok. İçerisi yok Ve dışarıda, hemen dışarıda. Şu anda güvence altına alınması gereken şey, harici bir saldırı yüzeyi oluşturan, büyüyen, dinamik ve genişleyen uç noktalar, bulut hizmetleri ve üçüncü taraf uygulamalar karmaşasıdır.
Günümüzde CISO’ların saldırı yüzeyinin genişletilmesiyle ilgili pek çok zorlukla karşı karşıya olması şaşırtıcı değil. Görünürlüğü korumak, modern (ve hızla gelişen) teknoloji değişikliklerine, yeni saldırı vektörlerine ayak uydurmak ve büyüyen uyumluluk ve düzenleme dalgasına (NIS2, DORA veya Avrupa’daki Siber Dayanıklılık Yasası gibi) ayak uydurabilmek için sürekli mücadele veriyorlar. Üstelik tüm bunları sınırlı kaynaklarla ve iş değeri yaratma yönünde artan baskıyla yapmaları gerekiyor.
Geleneksel saldırı yüzeyi yönetimi genellikle eksik ve güncelliğini yitirmiş envanterler konusunda yardıma ihtiyaç duyar. Kuruluşlar kapsamlı ve güncel varlık envanterlerini sağlamak için hangi stratejileri ve araçları benimsemelidir?
Birden fazla bulut sağlayıcısını benimseyen ve bunun sonucunda saldırı yüzeylerini genişleten ve merkezi olmayan hale getiren kuruluşların giderek artan bir eğilimi var. Sürekli olarak haritalandırılmayan ve değerlendirilmeyen envanterler, bilinmeyen varlıklardaki dijital açıkların ve etki alanıyla ilgili güvenlik açıklarının (alt etki alanının ele geçirilmesi veya sunucunun yanlış yapılandırılması gibi) fark edilmeden kalmasını önemli ölçüde kolaylaştırır. Manuel envanterler genellikle güncelliğini kaybetmiş veya eksiktir; saldırı yüzeyinin mevcut durumunu nadiren yansıtır.
Saldırganlar her zaman zayıf bir bağlantı olduğunun bilincindedir; bu nedenle en iyi strateji, internete açık tüm varlıklardaki değişiklikleri hemen tespit etmek ve yakından izlemektir. Otomatik ve sürekli tarama, ekibinizin güvenlik açıkları ve sorunların ötesinde saldırı yüzeyinde nelerin değiştiğini ve bu değişikliğin yalnızca bir IP, bağlantı noktası veya bulut sağlayıcısı olsa bile bir risk oluşturup oluşturmadığını görmesine yardımcı olacaktır. En iyi araçlar aynı zamanda hangi değişikliğin risk olarak değerlendirilmesi gerektiğini tanımlamak için kendi politikalarını belirlemelerine olanak tanıyarak güvenlik ekiplerine güç verecektir.
Gerçek zamanlı izleme ve otomasyon ne kadar hayati önem taşıyor? CISO’lar manuel çalışmaları azaltmak ve güvenlik sonuçlarını iyileştirmek için bu araçlardan nasıl yararlanabilir?
CISO’lara, ekiplerinin işlerini en güçlendirici şekilde yapmalarına gerçekten yardımcı olabilecek ve saldırı yüzeyi keşfini kolaylaştırmaktan (varlıkların gerçek zamanlı, sürekli haritalanmasıyla) en doğru ve en doğru sonuçları elde etmeye kadar uzanan araçları araştırmalarını öneriyorum. titiz değerlendirmeler (bunu yeterince vurgulayamıyorum) ve son olarak hızlı iyileştirme ve daha az manuel çaba için bulguların mevcut iş akışlarına sorunsuz bir şekilde entegre edilmesi. Ekipler bulgularına güvenemediğinde ve hatalı pozitif sonuçlar aramak zorunda kaldığında, gerçek riskleri ele almak veya iş değeri oluşturmak için harcanabilecek inanılmaz derecede değerli zaman boşa harcanır.
CISO’lar saldırı yüzeyi yönetimi stratejilerinin etkinliğini ölçmek için hangi ölçümlere odaklanmalıdır?
Etkililik, toplam sabit güvenlik açıklarının sayılmasıyla ölçülmez. Güvenlik ekiplerinin önlerine çıkan her güvenlik açığını ele aldığını iddia etmek gerçekçi değildir ve verimsizdir, özellikle de birçok CVE’nin birçok kuruluşun sistemlerinde ilişkili bir saldırı yoluna sahip olmadığı göz önüne alındığında.
CISO’lar risklerini benzersiz iş bağlamlarına göre tanımlamalı ve kuruluşları için gerçekten önemli olan olay ve ihlalleri ele almaya odaklanmalıdır. İlgili sorunların tespit ve iyileştirme sürelerine bakmak da yararlı ve bilgilendirici olabilir. Çabaların uyumluluk gereksinimlerine ve denetim bulgularına uygun olup olmadığının değerlendirilmesi aynı zamanda saldırı yüzeyi yönetimi stratejisinin ve araçlarının etkinliğinin iyi göstergeleridir.
Pek çok kuruluşun üçüncü taraf satıcılara ve bulut hizmeti sağlayıcılarına güvendiği bir ortamda, CISO’lar üçüncü taraf ortaklıklarıyla ve bunların getirdiği genişletilmiş saldırı yüzeyiyle ilişkili riskleri nasıl yönetebilir ve azaltabilir?
CISO’lar, dijitalleştirme çabalarının ve modern teknoloji yığınlarının hibrit bulut ve büyük üçüncü taraf bağımlılığı anlamına geldiğinin ve boşluksuz bir saldırı yüzeyi resmi çekme görevini çok korkutucu hale getirdiğinin acı bir şekilde farkındadır. Bu riskleri azaltırken, birden fazla bulut sağlayıcısında barındırılan varlıklardaki sorunları yönetme kapasitesi ve otomatik ve gerçek zamanlı görünürlük sağlayabilecek araçlara bakmaları gerekiyor. Bir dereceye kadar maruz kalma her zaman garanti edilir, ancak hangi riskin çok fazla risk olduğunu belirlemek CISO’ya kalmıştır. Kabul edilebilir risk her zaman sektöre ve dijital olgunluk derecesine bağlı olarak değişir.