YORUM
Riski azaltmak uzun zamandır güvenlik ekiplerinin yol gösterici ilkesi olmuştur. Ancak günümüzde güvenlik ekipleri daha gelişmiş güvenlik yığınlarıyla daha büyük olsa da risk tüm zamanların en yüksek seviyesinde kalıyor ve artmaya devam ediyor.
Riski yönetmek çok daha karmaşık hale geliyor. Kod ve bulut varlıklarının yaygınlaşmasıyla birlikte güvenlik açıklarının sayısı yüzlerden binlerce, hatta milyonlara çıktı. Yalnızca güvenlik açıklarının sayısı hızla artmıyor, aynı zamanda bir güvenlik açığını düzeltmek için gereken süre de artıyor; 270 gün.
Düzeltmek için ortalama süre (MTTR), riskle doğrudan ilişkili olduğundan güvenlik ekipleri için en iyi birincil başarı ölçümlerinden biridir. Kuruluşlar MTTR hesaplamalarındaki gürültüyü ortadan kaldırabilir ve kalan güvenlik açıklarının iyileştirilmesini hızlandırabilirse, riskin azaltılmasında önemli bir etki yaratmaya başlayabilirler.
Güvenliğin İyileştirilmesi İkilemi
Günümüzde organizasyonlar her zamankinden daha hızlı hareket ediyor. Müşteri talebine ve yenilik hızına ayak uydurmak, sürekli ve hızlı bir şekilde yeni ürünler, hizmetler ve teklifler yaratıp uygulamaya koymaları anlamına gelir.
Bu, iş büyümesi açısından harika olabilir ancak güvenlik açısından büyük bir zorluk teşkil ediyor. Kod ve bulut altyapıları, güvence altına alınabileceklerinden daha hızlı bir şekilde devreye alınıyor. Bu, uygulama güvenlik ekiplerinin hangi varlıklara sahip oldukları veya bu varlıkların kime ait olduğu konusunda bilgisiz kalmasına neden oluyor ve genellikle mühendislik veya geliştirme ekiplerine dağıtımdan önce sorunları nasıl çözecekleri konusunda net adımlar veremiyorlar.
Bu yönetilemeyen varlık yayılımının sonucu, yönetilemeyen risktir. Ne kadar güvenli olmayan varlık dağıtılırsa, düzeltilmesi gereken güvenlik açıkları da o kadar fazla olur.
Ayrıca dikkate alınması gereken bir bağlam da var. Bu güvenlik açıklarının tümü gerçek riski temsil etmiyor ve bu da güvenlik ekipleri için yeni bir karmaşıklık katmanı sunuyor. Şimdi neyin gürültü, neyin gerçek risk olduğunu belirlemek için bir dizi güvenlik açığını elemeli ve sıralamalılar. Bunların çoğu manuel çalışmadır ve güvenlik ekiplerinin en kritik varlıklarından biri olan zamana mal olur.
Güvenlik ekipleri, neyin düzeltilmesi gerektiği, bunu kimin düzeltmesi gerektiği ve nasıl düzeltilmesi gerektiği konusunda onlara rehberlik edecek sağlam bir güvenlik açığı yönetimi programına sahip değilse, varlıkları o kadar uzun süre açıklardan yararlanmaya açık kalacaktır.
Güvenlik ekiplerinin, güvenlik açıklarını bulmalarına ve düzeltmelerine yardımcı olacak daha iyi yaklaşımlara ve araçlara ihtiyacı var. Ancak atasözümüze göre ölçmediğiniz şeyi yönetemezsiniz. Peki bu güvenlik açıklarını gidermede ne kadar etkili olduğunuzu nasıl ölçebilirsiniz?
MTTR Neden En Önemli Güvenlik Metrinizdir?
MTTR, kuruluşunuzdaki bir güvenlik açığını düzeltmek için gereken ortalama süredir. Halihazırda ölçtüğünüz bir metrik olabilir veya ölçmek istiyor ancak nasıl olduğundan emin olamıyor olabilirsiniz. Durum ne olursa olsun, devam eden stratejinizin bir parçası olarak yararlanacağınız temel ölçüm MTTR olmalıdır.
Güvenlik açıklarının giderilmediği her dakika, kuruluşunuzun açıkta kaldığı bir dakika daha demektir. Dolayısıyla MTTR’nizi azaltmak, saldırı olasılık penceresini azaltmak anlamına gelir. MTTR, eylemlerinizin güvenlik açıklarını gidermede ve riskinizi azaltmada ne kadar etkili olduğunu yansıtır. Keşif, önceliklendirme ve iyileştirme yaşam döngüsünü ne kadar iyi kısalttığınızı ölçecek bir yönteme sahip olmak çok önemlidir.
Ancak tüm güvenlik açıkları riskinizi aynı şekilde etkilemez. Düşük önem derecesine sahip güvenlik açıklarının kuruluşunuz üzerinde hiçbir etkisi olmayabilir ve MTTR’nize dahil edilmeleri gerekmez. Ancak yüksek önemdeki güvenlik açıkları bunu yapar ve MTTR’niz, zaman içinde kritik, ciddi ve risk tabanlı güvenlik açıklarını nasıl azalttığınızı ölçmelidir – özellikle şunu göz önünde bulundurarak: %33’ü bir kuruluşun tüm yığınındaki güvenlik açıkları ya yüksek ya da kritik şiddettedir.
MTTR Bugün Neden Daha Önemli?
MTTR, güvenlik ekipleri için her zaman önemli bir ölçüm olmuştur, ancak her zamankinden daha kritiktir. Varlıklar ve altyapılar, yetersiz personel ve aşırı güvenlik ekiplerinin onları güvence altına alabileceğinden daha hızlı dağıtılıyor ve bu da düzeltilmesi gereken bir dizi güvenlik açığına neden oluyor. Ve güvenlik açıkları giderek artacak. Bunu bir düşün 2022’de 25.082 güvenlik açığı yayımlandı2021’e göre %24’lük bir artış.
MTTR’yi ölçmenin daha önemli olmasının bir başka nedeni de güvenlik ekiplerinin daha iyi iyileştirme araçlarına ve stratejilerine olan ihtiyaçlarının farkına varabilmeleridir. Günümüzde güvenlik ekiplerinin güvenlik açıklarını ortaya çıkarmasına yardımcı olabilecek pek çok araç var. Ancak bir güvenlik açığını bulmakla onu düzeltmek arasında büyük bir fark var.
Çoğu zaman güvenlik ekipleri, yapılacaklar listesine daha fazla sorun ekleyen araçlara sahiptir; bunlar, MTTR’lerini ve risklerini azaltmayacak şeylerdir. Riski ve MTTR’yi gerçek anlamda azaltmak için güvenlik ekiplerinin, onlara en yüksek riskli güvenlik açıklarını nasıl düzeltebilecekleri ve MTTR’lerini nasıl azaltabilecekleri konusunda bir “nasıl yapılır” listesi veren araçlara ve yaklaşımlara ihtiyaçları vardır.
MTTR’nizi Nasıl Azaltabilirsiniz?
MTTR, riskinizi nasıl azalttığınızın doğrudan bir ölçüsüdür, ancak ilk etapta riskinizi azaltmak için hangi adımları atabilirsiniz? Aşağıdakilerle başlayın.
-
Güvenlik açıklarınızı keşfedin ve birleştirin: Öncelikle bir tane oluşturun varlıklarınızın envanteriKod depoları, yazılım bağımlılıkları, yazılım malzeme listeleri (SBOM’lar), kapsayıcılar ve mikro hizmetler gibi. Bu varlıklara, onlara kimin sahip olduğu ve önemli iş fonksiyonlarını nasıl etkiledikleri gibi bağlam ekleyin.
-
İş riskini değerlendirin: Topladığınız bağlamı kullanarak her bir güvenlik açığını risk ciddiyetine göre değerlendirin. Bu, işletmeniz için en fazla risk oluşturan güvenlik açıklarına öncelik vermenizi sağlayacaktır.
-
Triyaj: Daha sonra, hangi yazılım varlıklarının düzeltilmesi gerektiğini, kimin düzeltmesi gerektiğini ve nasıl düzeltileceğini sorarak güvenlik açıklarınızın önceliklerini belirleyin.
-
İyileştirme çabalarını artırmak için MTTR’yi ölçün: Eylemlerinizin riski azaltmada ne kadar etkili olduğunu ve çabalarınızı iyileştirmeye veya değiştirmeye devam etmeniz gerektiğini ölçmek için MTTR’nizi ölçün ve takip edin.
2024 İçin Temel Ölçüt
Kuruluşunuzun riskini azaltması için gereken ortalama süreyi biliyor musunuz? MTTR’nizi zaman içinde ölçerek ve takip ederek, güvenlik açığı yönetimi çabalarınızın riski nasıl azalttığını ve rakipler için fırsat penceresini nasıl kapattığını göreceksiniz. Güvenlik stratejilerinizi hazırlarken temel ölçütünüz olarak MTTR’yi seçtiğinizden emin olun.