Yönetişim ve Risk Yönetimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Cync Acquisition, Gelişmiş Saldırı Uzmanlığı Yoluyla Maruziyet Doğrulamasını Destekliyor
Michael Novinson (MichaelNovinson) •
8 Ocak 2025
Cymulate, risk doğrulamasından risk yönetimine geçiş yapmak ve güvenlik açığı bulucular ile gidericiler arasındaki boşluğu doldurmak için İsrailli bir girişim satın aldı.
Ayrıca bakınız: Tedarik Zinciri Saldırıları Nasıl Çalışır ve Onlara Karşı Nasıl Güvenlik Sağlanır?
Kurucu ortak ve Baş Teknoloji Sorumlusu Avihai Ben-‘e göre New York merkezli şirket, Tel Aviv merkezli Cync Secure’un saldırgan siber güvenlik yaklaşımıyla uyumlu olduğunu ve anlaşmayı yeni nesil risk yönetimi platformunun geliştirilmesini desteklemek için kullanacağını söyledi. Yossef. Anlaşmanın Cymulate’in operasyonlarını ölçeklendirmesine yardımcı olacağını ve Cync Secure’un daha büyük bir dağıtım platformuna geçiş yapmasına olanak sağlayacağını söyledi.
“Rüşvet yönetimi pozisyonumuzda bir çeşit yükseliş yaşıyoruz ve Cync’in satın alınması, şirketimizi ve ürün vizyonumuzu bu yönde yönlendirmek için harika bir katkı oldu; teşhir, tahsilat, birleştirme, veri tekilleştirme ve tüm Ben-Yossef, Information Security Media Group’a şunları söyledi: “Bu açığa çıkmayı harekete geçirmenin yolu.” “Bu, satın almanın özüydü.”
2022 yılında kurulan Cync Secure, 10 kişiyi istihdam ediyor, hiçbir zaman dışarıdan finansman sağlamadı ve kuruluşundan bu yana, aynı zamanda kitle kaynaklı güvenlik platformu Iron.io’nun CEO’su olarak görev yapan ve güvenlik hizmeti sağlayıcısı Bugsec’i yöneten Meir Abergel tarafından yönetiliyor. Satın alma koşulları açıklanmadı ancak Calcalist, Cymulate’in Cync Secure için yaklaşık 10 milyon dolar ödediğini bildirdi (bkz: Cymulate, Güvenlik Duruş Testini Güçlendirmek İçin 70 Milyon Dolar Artırdı).
Maruz Kalma Doğrulamasından Maruz Kalma Yönetimine
Cymulate, güvenlik açıklarını belirleme ve doğrulama konusunda zaten güçlü bir konuma sahipti ve Ben-Yossef, Cync Secure’u satın almanın şirketin yalnızca riskleri belirleme değil aynı zamanda bunları yönetme ve önceliklendirme yeteneğini de artıracağını söyledi. Ben-Yossef, her iki şirketin de geleneksel reaktif yöntemler yerine proaktif savunma mekanizmalarını vurguladığını ve saldırgan güvenlik uzmanlığını açığa çıkma yönetimiyle birleştirmek istediğini söyledi.
“Onlar bizim Cync’te çalıştığımız yaklaşımın aynısıyla geldiler; araştırma yapan ve müşteriye doğru soruları nasıl soracaklarını ve güvenlik açıklarıyla ilgili doğru sorunları nasıl çözeceklerini bilen ve diğer tüm güvenlik açığı yönetimi gibi bunlarla uğraşmayan gerçek saldırgan insanlardı. Abergel, ISMG’ye “araçlar” dedi.
Şirket, müşterilere tehditleri önceliklendirme konusunda eyleme geçirilebilir bilgiler sunmak için Cync Secure’un güvenlik açığı hattını ve risk toplama ve veri tekilleştirme uzmanlığını Cymulate’in doğrulama yetenekleriyle birleştirmeyi planlıyor. Yeni nesil risk önceliklendirme platformunun lansmanı için altı aylık agresif bir zaman çizelgesi belirlendi ve Ben-Yossef, 2025’in üçüncü çeyreğinde lansmanı hedefliyor.
Ben, “Üçüncü taraf kaynaklardan çok sayıda farklı türden maruz kalma alacağız ve bu verileri, yeni nesil bir maruz kalma önceliklendirme platformu ve yönetimi oluşturmaya yardımcı olmak için maruz kalma doğrulama platformu verileriyle birlikte kullanacağız” dedi. dedi Yossef. “Bu, piyasaya bugün mevcut olmayan tamamen yeni bir önceliklendirme yeniliği getiriyor ve yalnızca maruz kalmayı önceliklendirmenin yeni bir yolunu getiriyor.”
Cync Secure, Cymulate’in telafi edici kontrolleri karar verme süreçlerine entegre etmesine yardımcı olacak ve kuruluşların en kritik tehditlere odaklanmasını sağlarken güvenlik duvarları veya izinsiz giriş önleme sistemleri gibi mevcut kontrollerin hafiflettiği sorunların önceliklerini ortadan kaldıracak. Örneğin, bir web uygulaması güvenlik duvarı Log4j gibi bir güvenlik açığı riskini ortadan kaldırabilir; bu da şirketlerin bir düzeltmeye öncelik vermesine gerek kalmayacağı anlamına gelir.
“Size en az 100 farklı Log4j saldırısına karşı koruma sağlayan bir web uygulaması güvenlik duvarımız olduğunu söyleyebilirsem, bu Log4j’ye yama yapmanız gerektiği anlamına mı gelir?” Ben Yossef sordu. “Bu, bunu yapmadığınız anlamına gelmiyor ancak kesinlikle bunun şu anda en önemli şey olmadığı anlamına geliyor, çünkü Log4j’den yararlanmaya yönelik birçok girişimi engelleyen iyi ayarlanmış bir güvenlik kontrolüne sahip olacaksınız, bunu doğruladık.” “
Cymulate’in Geleceğinde Daha Fazla Birleşme ve Satın Alma mı Var?
Ben-Yossef, Cymulate’in, yeni pazarlara açılmadan önce, gelişmiş araçlara yönelik talebini zaten ifade etmiş olan mevcut müşterilere risk yönetimini üst düzeyde satmaya odaklanmayı planladığını söyledi. Yeni platformun finansal hizmetler, perakende ve endüstriyel sektörler de dahil olmak üzere sektörlerdeki sıkıntılı noktaları ele alması ve Asya-Pasifik ve Avrupa gibi yeni kullanım örneklerine ve coğrafyalara kapı açması bekleniyor.
Abergel, “Halihazırda güvenlik açığı araçlarını kullanan olgun kuruluşların binlerce, bazen milyonlarca güvenlik açığı var ve bunlarla ne yapacaklarını bilmiyorlar” dedi. “Maruziyet yönetimi programları ve planları bunun bir evrimidir. Bu, güvenlik açıklarının miktarının nasıl yönetileceği konusunda kaos anıdır. Dolayısıyla, bu evrime gerçekten inanıyoruz ve pazarın bunun için gelişeceğini biliyoruz.”
Cync Secure, Cymulate’in 2016’daki kuruluşundan bu yana yapılan ilk satın almadır ve Ben-Yossef, gelecekteki anlaşmaların ya yeteneklerdeki belirli boşlukları gidermesinin ya da geliştirme zaman çizelgelerini kısaltmak ya da tamamlayıcı uzmanlık eklemek gibi faydalar sağlamasının beklendiğini söyledi. Ben-Yossef, Cymulate’in aynı zamanda saldırgan siber güvenlik uzmanlarıyla yetenek havuzunu genişletmeyi düşündüğünü söyledi.
Ben-Yossef, “Benim bakış açıma göre birleşme ve satın alma bir araçtır. Amaç bu değildir” dedi. “Zaman çizelgelerini kısalttık ama aynı zamanda şirketin insan kaynağımızı tamamlayan çok yaratıcı bir ekibe ve beceri setine de sahip olduk. Evet, daha fazlası var. Gelecek yıl boyunca muhtemelen çözmek isteyeceğimiz daha fazla sorun olduğuna inanıyoruz. “
CISO’lar, kuruluşlarındaki çok büyük miktardaki güvenlik açıklarını yönetmek için pratik, eyleme geçirilebilir çözümler istiyor ve Ben-Yossef, Cync Secure’un düzeltme ve azaltma stratejilerini vurgulayarak aşırı güvenlik açığı kaosunu ele aldığını söyledi. Maruziyet yönetimi programları, güvenlik açıklarının geniş ölçekte yönetilmesi ve önceliklendirilmesi sorununu ele almak için hem tehdit odaklı hem de eyleme dönüştürülebilir olmalıdır.
Ben-Yossef, “Biz her zaman tehdit odaklı, saldırı odaklı ve özgün odaklıydık” dedi. Ve Cync’in satın alınmasıyla birlikte daha süreç odaklı, azaltım odaklı ve eylem öğesi odaklı olmayı da isteyeceğiz. Bu risk yönetimi programını mümkün olan en iyi şekilde oluşturmak istiyorsanız, bu hep birlikte en iyi politikadır.”