Her yeni bulut uygulaması veya üçüncü taraf SaaS hesabıyla hemen hemen her kuruluşun harici saldırı yüzeyi her geçen gün büyümeye devam ediyor. Daha geniş ve daha savunmasız hale gelir. Gartner, saldırı yüzeyi genişletmenin 2022'de yılın bir numaralı güvenlik trendi olduğunu kabul etti.
Bununla başa çıkmanın tek yolu saldırı yüzeyini oluşturan zafiyetleri yönetmektir. Ancak hepsini aynı anda yamalamak veya hafifletmek imkansızdır. Bu nedenle güvenlik uzmanları risk tabanlı güvenlik açığı yönetimi adı verilen bir şey geliştirdiler.
Risk tabanlı güvenlik açığı yönetimi, bir kuruluş için oluşturdukları riske göre en kritik güvenlik açıklarını önceliklendiren ve ele alan bir siber güvenlik sürecidir.
Süreç olarak belirli aşamaları vardır:
- – Varlık envanteri,
- – güvenlik açığının belirlenmesi,
- – risk değerlendirmesi,
- – önceliklendirme,
- – iyileştirme ve hafifletme.
Bu aşamalar geleneksel güvenlik açığı yönetimi aşamalarıyla aynı görünebilir. Ancak bir fark var: Güvenlik açığı risk yönetimi daha etkili önceliklendirmeye olanak tanıyor. Yalnızca önem puanlarına göre derecelendirmek yerine, iş açısından en kritik güvenlik açıklarına ilk önce odaklanılmasını sağlar.
Geleneksel güvenlik açığı yönetiminden farklı olarak güvenlik açığı risk yönetimi, güvenlik açığının kritikliği, yararlanma olasılığı ve iş etkisi gibi faktörleri dikkate alır. Güvenlik açığı risk yönetimini kullanmak, kuruluşun kaynakları daha verimli bir şekilde tahsis etmesine, en fazla etkiye sahip olduğu saldırı yüzeyini azaltmasına ve güvenlik duruşunu iyileştirmesine olanak tanır. Tüm bunları mevzuata uygunluğu korurken gerçekleştirin.
Varlık Envanteri Nasıl Yürütülür ve Güvenlik Açıkları Nasıl Belirlenir?
Harici saldırı yüzeylerindeki zayıflıkların çeşitli kaynakları vardır: Güvenliği ihlal edilmiş web siteleri veya web uygulamaları, yanlış yapılandırılmış bulut altyapıları, zayıf erişim kontrolleri veya API'lerdeki yetersiz kimlik doğrulama mekanizmaları olabilir. Tüm bu güvenlik açıkları, tehdit aktörlerine hassas verileri tehlikeye atma ve şirketin altyapısına yetkisiz erişim sağlama fırsatı sunuyor.
Tüm bunları yönetebilmek için bir yerden başlamanız gerekiyor. En iyi başlangıç noktası, kuruluşunuzun dış saldırı yüzeyindeki varlıkları net bir şekilde anlamaktır.
Harici saldırı yüzeyi yönetimi (EASM) araçları, IP adresleri, alan adları, alt alanlar, bağlantı noktaları ve SSL sertifikaları gibi internete yönelik hem bilinen hem de bilinmeyen varlıkları keşfetmenize ve doğrulamanıza (kuruluşunuza ait olduklarını doğrulamanıza) yardımcı olabilir. Birçoğunun farkında olduğunuzu düşünüyorsunuz, ancak kapsamlı bir tarama genellikle daha önce radarda olmayan pek çok şeyi ortaya çıkarabilir.
Temel tarayıcılar ayrıca bazı varlıkların keşfedilmesine (ancak iyi bir EASM aracından daha düşük kapsama sahip olmaları muhtemeldir) ve güvenlik açıklarının ve güvenlik açıklarının tespit edilmesine de yardımcı olabilir. EASM araçları tüm bunları yapabilir ve size varlık envanteri sağlayabilir ve güvenlik açıklarına ilişkin daha karmaşık bir analiz, iyileştirme önerileri ve sürekli izleme sunabilir.
Risk Değerlendirmesine Dayalı Yeni Güvenlik Açığı Önceliklendirme Yaklaşımı
İyi bir EASM aracı kesinlikle herhangi bir şirketin altyapısındaki birçok CVE'yi keşfedecektir. Ve bunların önemli bir kısmı muhtemelen yüksek veya kritik kategorilere girecek. Ancak bu güvenlik açıklarının çoğunda hiçbir zaman çalışan bir istismar görülmez. Daha da az sayıda tehdit aktörü, vahşi ortamda aktif olarak istismar edebiliyor.
Bu nedenle, güvenlik açığının giderilmesine yalnızca ciddiyet sınıflandırmasına göre öncelik vermek en uygun yaklaşım olmayabilir. Güvenlik açığı risk yönetimi daha etkili bir yöntem önerir: her bir güvenlik açığının kuruluş için oluşturduğu risklerin değerlendirilmesine dayalı olarak güvenlik açığı düzeltmelerine öncelik verilmesi.
Riske dayalı bir değerlendirme üç ana faktörü dikkate alır:
- Savunmasız varlık ne kadar kritik?
- Güvenlik açığından yararlanma olasılığı ne kadar?
- Yamanın uygulanması iş süreçlerini nasıl etkileyecek?
Kötüye kullanım olasılığı için, CVSS güvenlik açığı etki puanını ve ayrıca silahlı bir istismarın mevcut olup olmadığı, vahşi ortamda kullanılıp kullanılmadığı ve karanlık ağda trend olup olmadığı gibi faktörleri göz önünde bulundurabilirsiniz. Bazı EASM araçları yerleşik bir risk tabanlı önceliklendirme sistemi içerir.
İş açısından kritiklik soruları iş departmanlarının yanıtlaması gereken sorulardır ve yama uygulamasının iş süreçlerini nasıl etkilediğine ilişkin olarak, potansiyel kesinti sürelerini ve bazı hizmetleri yeniden başlatma ihtiyacını göz önünde bulundurarak normal iş akışını kesintiye uğratır.
Güvenlik Açıklarını İyileştirme ve Azaltma
Riskleri değerlendirip güvenlik açıklarını önceliklendirdikten sonra bunları düzeltebilir veya azaltabilirsiniz. İyileştirme, ilgili riskleri ortadan kaldırmak için güvenlik açıklarını doğrudan ele almayı ve düzeltmeyi içerir. Başarıyı onaylamak için uygulamadan sonra düzeltmeyi doğrulayın.
Bazen anında düzeltme mümkün olmayabilir. Örneğin, bir güncellemeyi uygulamak için tüm sistemi yeniden başlatmanız gerekebilir ve bu elbette günlük olarak yapılamaz. Bu durumda, kalıcı bir çözüm uygulayana kadar azaltma stratejileri, istismarın potansiyel etkisini azaltmaya yardımcı olacaktır.
İzleme ve Yanıt: Belirleyin, Değerlendirin, Önceliklendirin, Düzeltin ve Tekrarlayın
Zafiyet risk yönetimi süreci hiçbir zaman durmaz veya bitmez. Her gün yeni güvenlik açıkları keşfediliyor. Yalnızca Ocak 2024'te Microsoft, 2'si kritik, 4'ü yüksek olarak kabul edilen 49 güvenlik açığı için yeni yamalar yayınladı.
Üstelik organizasyonel altyapılarda her geçen gün yeni dış varlıklar ortaya çıkıyor. Dolayısıyla risk bazlı zafiyet yönetimi süreci sürekli olarak devam etmektedir.
EASM araçlarının yine işe yaradığı yer burasıdır. Bu araçların aktif kullanımı, güvenlik açığı taraması ve varlık envanterinin düzenli ve çoğunlukla otomatik hale getirilmesine olanak tanır.
EASM Araçları Güvenlik Açığı Risk Yönetimi Yaklaşımının Uygulanmasına Yardımcı Olabilir
EASM araçları, şirketlere, güvenlik sorunlarını sorunun ciddiyeti yerine kurumsal riske göre düzenli olarak ele almak için güvenlik açığı risk yönetimini benimseme fırsatı sağlar.
Şirketler, Güvenlik Açığı Risk Yönetimi'ni kullanarak potansiyel saldırı yollarını etkili bir şekilde engelleyebilir ve harici saldırı yüzeylerini en verimli şekilde azaltmak için kritik saldırı vektörlerini koruyabilir.
- Olay Yönetim Yazılımı Nedir?
- 5 Yaygın Veritabanı Yönetimi Zorlukları ve Çözümleri
- Siber Güvenlik Riski: Nedir ve Nasıl Azaltılabilir?
- SaaS Ortamının Güvenliğini Sağlama: Felaket Kurtarmaya Daha Yakından Bakış
- Siber güvenlik risk değerlendirmesi: Şirketinizin Buna İhtiyacı Var mı?