Gartner tarafından tanıtılan bir kavram olan sürekli tehdit maruziyeti yönetimi (CTEM), siber güvenlik tehditlerini aralıklı olarak değil sürekli olarak izler. Bu beş aşamalı çerçeve (kapsam belirleme, keşif, önceliklendirme, doğrulama ve seferberlik), kuruluşların güvenlik duruşlarını sürekli olarak değerlendirmelerine ve yönetmelerine, tehditlere maruziyeti azaltmalarına ve risk yönetimini sürekli bir değerlendirme ve eylem döngüsüne entegre etmelerine olanak tanır.
CTEM şemsiyesi altına dahil edilmek için en önemli adaylardan biri, düşük kodlu/kodsuz (LCNC) ve robotik süreç otomasyonu (RPA) ortamlarında oluşturulan yazılımlardır.
Üretken AI tarafından desteklenen kullanımı kolay arayüzlerle LCNC geliştirme platformları, çoğu kuruluşta saldırı yüzeylerini, genellikle güvenlik personelinin görünürlüğünün ötesine genişletti. Bunun nedeni, herhangi bir çalışanın (yani “vatandaş geliştirici”) veri entegrasyonu, form otomasyonu, özel raporlama ve daha fazlası gibi iş süreçlerini otomatikleştirmek için uygulamalar veya RPA’lar oluşturmasına ve dağıtmasına izin vermesidir.
Bu “gölge mühendislik” yönetim tarafından benimsendi; BT yöneticilerinin %64’ü LCNC teknolojisini iki yıl içinde kullandıklarını veya kullanacaklarını söylüyor; ancak bu durum, potansiyel olarak tehlikeli yazılım açıkları da dahil olmak üzere kodun kontrolsüz bir şekilde ağa sızmasına izin vererek siber risk yönetimini karmaşıklaştırıyor.
LCNC uygulamalarını ve RPA’ları CTEM’in yetki alanına sokmak, kuruluşların güvenlik açıklarını ve riskleri belirlemesine, bunları olası saldırı vektörleri ve istismarlarla ilişkilendirmesine, iş etkisi ve varlıkların kritikliğine göre öncelik sırası belirlemesine ve iyileştirme çabalarını doğrulamasına yardımcı olur.
Beş aşamalı CTEM yaklaşımının LCNC’ler ve RPA’lar için nasıl uyumlu hale getirileceği aşağıda açıklanmıştır:
Kapsam Belirleme
CTEM tarafından hangi LCNC ve RPA varlıklarının iş kritikliğine göre yönetilmesi gerektiğini değerlendirerek başlayın. Kapsam belirleme, kullanıcı grupları, bağlantılar, bağlayıcılar, uygulamalar, akışlar ve otomasyonlar seçmeyi içerebilir. Bunlar iş bağlamı, iş birimi, platform ortamı veya coğrafyaya göre dilimlenebilir.
Keşif
Bu aşamada amaç, görünür ve gizli varlıkları, güvenlik açıklarını ve yanlış yapılandırmaları kataloglamak ve keşfetmektir. LCNC uygulamalarına ve otomasyona ilişkin görünürlüğün olmaması, LCNC etkinliklerini haritalamayı ve bu platformlarla ilişkili tüm varlıkların güncel bir envanterini tutmayı zorlaştırabilir.
Tehditler, riskler veya herhangi bir güvenlik sorunu sürekli olarak taranmalı ve modelin sonraki aşamalarını desteklemek için mümkün olduğunca çok ayrıntıyla tüm paydaşlarla etkileşime girilmelidir. Sorunların keşfi, uygulama güvenliği araştırması ve bilgisiyle beslenen kurallara veya yapay zeka mantığına dayalı bir politika motorunun uygulanmasını gerektirebilir.
Önceliklendirme
Güvenlik risklerini ele almak aciliyet, ciddiyet, mevcut kontroller, risk iştahı ve kuruluşun genel risk seviyesini değerlendirmeyi gerektirir. Önceden tanımlanmış temel güvenlik puanları yetersizdir; LCNC’deki önceliklendirme, geleneksel risk tabanlı puanları platforma özgü ve kuruluşa özgü girdilerle birleştirmelidir.
Başlangıç noktası olarak CVSS gibi yerleşik bir puanlama yönteminin kullanılması önerilir. Yine de puanlar erişilebilirlikten, uygulamaların etkin veya devre dışı olup olmamasından ve dağıtım ortamından (örneğin, üretim veya geliştirme) da etkilenmelidir. Tespit edilen tehditlerin ve sorunların büyük ölçeği, çok sayıda varlık ve uygulama yaratıcılarının nispeten sınırlı güvenlik uzmanlığı nedeniyle LCNC’de önceliklendirme çok önemlidir.
Doğrulama
Doğrulama adımı üç kritik hedefe ulaşmayı hedefler. Birincisi, saldırganların bilinen güvenlik açıklarını kullanıp kullanamayacaklarını doğrulamak. İkincisi, savunmaların başarısız olmasının en kötü durum etkisi değerlendirilmelidir. Üçüncüsü, herhangi bir güvenlik sorununa yanıt vermek için süreçlerin sağlanması gerekir.
LCNC uygulamaları için doğrulama uygulamaları genellikle geleneksel uygulama güvenliğinin uygulamalarını yansıtırken (örneğin, penetrasyon testi, kırmızı takım egzersizleri ve simülasyonlar) özel doğrulama teknikleri gerektiren belirli zorluklar ortaya çıkarır. Bunlar arasında görsel geliştirme arayüzlerini, hızlı dağıtım döngülerini ve önceden oluşturulmuş bileşenlere güvenmeyi göz önünde bulundurmak yer alır.
Seferberlik
LCNC’de iş kullanıcıları ve vatandaş geliştiricilerin dahil edilmesi hayati önem taşır. Güvenlik ekipleri, LCNC platformlarına ve sahip katılımını gerektiren belirli izin modellerine aşina olmamaları nedeniyle çok sayıda sorunu tek başlarına çözemezler. Mobilizasyon manuel veya otomatik olabilir, ancak tehdit açıklamaları ve düzeltme adımları dahil olmak üzere net bir bağlam sağlamalıdır.
LCNC güvenliği için CTEM’i benimsemek
LCNC ve RPA güvenliğini CTEM’e entegre etmek için aşağıdaki en iyi uygulamaları göz önünde bulundurun:
Mevcut iş akışlarıyla bütünleştirin:LCNC ve RPA güvenliğinin CTEM iyileştirme ve olay yanıtlama iş akışlarına dahil edilmesini sağlayın; özellikle güvenlik açıklarını belirlemeye, tehdit tespitini otomatikleştirmeye ve insan ve makine etkileşimlerinin sürekli izlenmesini sağlamaya odaklanın.
Görünürlüğü artırın:LCNC ve RPA dağıtımlarının görünürlüğünü sağlayan ve denetlendiğinden emin olan izleme araçlarını uygulayın.
Yüksek riskli varlıklara öncelik verin: LCNC ve RPA ortamlarındaki en kritik güvenlik açıklarını, işletme üzerinde en yüksek potansiyel etkiye sahip alanlara odaklanarak belirleyin ve öncelik sırasına koyun; düzeltme çabalarını öncelikle bu yüksek riskli alanlara yöneltin.
Sürekli uyum sağlayın: Her CTEM döngüsünü yeni öngörüler oluşturmak, LCNC ve RPA güvenlik önlemlerini iyileştirmek ve ortaya çıktıkça yeni tehditlere ve güvenlik açıklarına uyum sağlamak için kullanın.
Ekipler arası iş birliği yapın: Güvenlik, BT ve iş ekipleri arasında bir iş birliği kültürü yaratın. Tüm paydaşların CTEM sürecinden haberdar olduğundan ve LCNC ve RPA varlıkları için güvenliği sürdürmedeki rollerini anladığından emin olun.
LCNC ile uygulama geliştirmenin yeni bir disiplin olduğunu unutmamak önemlidir, CTEM sürekli bir süreçCISO’lar, bu en iyi uygulamalara odaklanarak, siber güvenliğe bütünleşik bir yaklaşım sağlayan bir CTEM programı kapsamında LCNC uygulamaları ve RPA’lar tarafından ortaya çıkarılan güvenlik risklerini etkili bir şekilde yönetebilirler.