CISOS, tehdit modellemesinin ekiplerin riskleri erken belirlemelerine ve daha güvenli sistemler oluşturmalarına yardımcı olduğunu anlıyor. Ancak güvenlik kuruluşu dışında, değer her zaman net değildir. Bütçe veya tahta dikkati için yarışırken, tehdit modellemesi genellikle yeni araçlar veya başlık güdümlü müdahale planları gibi daha görünür çabalara düşer.
Sorun uygulama değil. Çerçeveleme. Destek kazanmak için CISOS, tehdit modellemesinin alt çizgili sonuçlara nasıl bağlandığını göstermelidir: daha az güvenlik açığı, daha hızlı olay yanıtı ve gelişim sırasında daha az yeniden çalışma. Kısacası, hoş bir etkinlik olarak değil, esnekliğe yatırım olarak konumlandırılması gerekir.
Sadece risk azaltma değil, maliyetten kaçınma
Silent Push Tehdit İstihbarat Direktörü Kasey Best, “Eski bir önleme atasözü var, bir kiloluk tedaviye değer” diyor. “Ancak bu günlerde güvenlik olayları söz konusu olduğunda, yanlış aktör girerse Pound Pound Cure, hisse senedi fiyatına bir ton ağırlık verebilir.”
Tehdit modellemesini tek başına risk azaltma olarak çerçeveleme her zaman inmez. Ancak, azaltılmış ihlal olasılığı, daha kısa kalkınma döngüleri ve daha az acil yamalar gibi finansal faydalara bağlı olduğunda, konuşma değişir.
En iyisi, tehditleri yükseltmeden önce yakalamanın artan önemini vurgular. “Silah öncesi odak noktası” olarak tanımladıkları bu yaklaşım, aktif olarak sömürülmeden çok önce, en erken aşamalarında potansiyel tehditleri belirlemeye odaklanmaktadır.
“Bir kuruluş önceden bir sorun hakkında bilgi sahibi olmayı seçebilseydi, bunu% 100’ü seçerlerdi” diye açıklıyor. “Çünkü o zaman buna göre planlayabilirler.” Proaktif tehdit zekası ve erken tespitin ölçekleri devredebileceği yer burasıdır. “Onlara bu önleyici yanıt seçeneğini veriyoruz,” diyor Best. “Ve gerçekten, neden başka türlü seçtin?”
IBM’in son raporuna göre, ortalama veri ihlali maliyeti 2024’te 4.88 milyon dolara ulaştı. Bu rakam olay tepkisi, yasal ücretler, düzenleyici cezalar ve itibar hasarını içerir. Tehdit modelleme her saldırıyı durdurmasa da, ilk etapta maruz kalan savunmasız sistemlerin sayısını azaltmaya yardımcı olur.
Zaman para
Jared Atkinson’a göre, Specterops’taki CTO, tehdit modellemesi temelde “bir düşmanın çevrenize nasıl yaklaşacağını ve güvenlik açıklarından nasıl yararlanabileceklerini anlamak” ile ilgilidir. İşletmeler için, bir saldırı ile kör olmak ile stratejik bir savunma planının önceden haritalanması arasındaki farktır.
“İş bağlamında,” diye açıklıyor Atkinson, “bir saldırganın sistemlerinizi tehlikeye atmak için alabileceği en tehlikeli yolları gösteren bir haritaya sahip olmak gibi.” Bu onu sadece teknik bir alıştırmadan daha fazlasını yapar, teknik olmayan paydaşlara somut risk iletme için bir araç haline gelir. Karar vericiler, jargon veya soyut metriklerde boğulmak yerine, sistemlerinin en savunmasız olduğu ve bunun gerçek dünyadaki iş etkisi açısından ne anlama geldiğine dair bir görüş kazanırlar.
Bunu daha tanıdık terimlerle çerçevelemek için Atkinson, performans ölçütleri (MOPS) ve etkililik ölçümlerini (MOES) kullanarak askeri strateji ile bir karşılaştırma yapar. “MOPS, bir yangın söndürücünün doğru şekilde kullanıldığından emin olmak gibi bir şeyin doğru bir şekilde yapılıp yapılmadığını değerlendiriyor” diyor. “Öte yandan Moes, istenen sonuca ulaşmak için doğru şeylerin yapılıp yapılmadığını değerlendirin – yangının gerçekte ortaya koyduğu?” Siber güvenlikte amaç MOE düzeyinde faaliyet göstermektir. Tehdit modelleme, ekiplerin sadece yangınların nereden başlayabileceğini değil, araçlarının ve yanıtlarının onları söndürüp söndürmeyeceğini anlamalarına yardımcı olur.
Güvenlik ekipleri zayıf bir şekilde, zaman en değerli kaynaklardan biridir. Tehdit modellemesi, ekiplere neyin yanlış gidebileceğine ve nasıl hazırlanacağına dair bir resim vererek geçirilen itfaiye zamanı azaltabilir. Burada tasarruf edilen zaman, stratejik planlama, satıcı değerlendirmeleri veya proaktif izleme gibi başka bir yerde yeniden yatırılabilen zamandır.
Davayı Kurula Yapmak
Kurulların güvenlik programının riski nasıl azalttığını, iş sürekliliğini desteklediğini ve büyümeyi nasıl sağladığını anlamalıdır. Tehdit modellemesi için bu, davayı şöyle metrikler etrafında oluşturmak anlamına gelir:
- Yayın sonrası azaltılmış güvenlik hataları
- Düşük Olay Yanıt Süreleri
- Geliştirilmiş geliştirici verimi
- Azaltılmış eğitim süresi
- Güvenlik olaylarının daha düşük toplam maliyeti
Bazı cisos ayrıca tehdit modellemesini bir kuvvet çarpanı olarak çerçeveler. Güvenliği erken görünür hale getirerek, ürün ve mühendislik ekiplerinin daha fazla sahiplik almasını sağlar. Bu, güvenlik ekibi üzerindeki uzun vadeli yükü azaltır ve kuruluş genelinde güvenlik uygulamalarını ölçeklendirir.
Küçük başlamak, hızlı ölçeklendirme
Tehdit modellemesinin tam ölçekli bir girişim olarak başlaması gerekmez. Bazı CISO’lar bir kritik sistem veya pilot proje ile başlar. Oradan, uygulamayı ekipler arasında ölçeklendirmeye yardımcı olan şablonlar, eğitim materyalleri ve iç şampiyonlar inşa ediyorlar.
Tehdit modellemesini bir kuruluşun kalkınma yaşam döngüsüne dahil etmenin göz korkutucu olması gerekmez. Aslında, David Kellerman’a göre, Cymulat’ın Field CTO’su olmamalı.
Kellerman, “Anahtar küçük başlamak ve tehdit modellemesini ulaşılabilir hale getirmek” diyor. CISOS, karmaşık metodolojilerle dolu ağır bir süreç sunmak yerine, tehdit modellemesini ekiplerin zaten kullandığı iş akışlarına yerleştirmenin yollarını aramalıdır. “CISOS’a, ayrı, külfetli egzersizler oluşturmak yerine mimari incelemeler, tasarım tartışmaları veya sprint planlaması gibi tehdit modellemesini mevcut iş akışlarına yerleştirmesini tavsiye ediyorum.”
Bu hafif, entegre yaklaşım sadece direnci azaltmakla kalmaz, aynı zamanda mühendislik kültürü içindeki güvenli düşünceyi normalleştirmeye yardımcı olur. Kellerman, “Güvenlik dışı mühendislerin kolayca kavrayabileceği adım veya temel saldırgan hikaye tahtası gibi basit çerçeveler kullanın” diye açıklıyor. “İşbirlikçi ve eğitici hale getirin, cezalandırıcı değil.”
Takımlar aşinalık ve güven kazandıkça, kuruluşlar tehdit modelleme yeteneklerini kademeli olarak geliştirebilirler. Kellerman, “Amaç ilk günde mükemmel bir tehdit modeli oluşturmak değil” diyor. “Mühendislik kültüründe doğal olarak büyüyen bir güvenlik zihniyeti oluşturmak.”
Anahtar tutarlılıktır. Takımlar ne bekleyeceklerini bildiklerinde ve süreci destekleyecek araçlara sahip olduklarında, tehdit modellemesi ekstra bir görev değil, yazılım oluşturmanın sadece bir parçası haline gelir.
Zamanla, organizasyon reaktif düzeltmelerden proaktif tasarıma geçer. Ve bu değişim gerçek YG’nin ortaya çıktığı yerdir.