“Bir boksör en büyük avantajı tartışma partnerinden alır…”
– Epictetus, 50-135 ila
Eller yukarı. Çene sıkışmış. Dizler büküldü. Çan çalıyor ve her iki boksör de merkez ve daire içinde buluşuyor. Kırmızı üç jab atar, dördüncü olur ve – bang – merkezden maviye sağ eli iner.
Bu Blue’nun ilk günü değildi ve aynanın önündeki sağlam savunmasına rağmen baskıyı hissediyor. Ama ringde bir şey değişti; Yumrukların çeşitliliği, feints, yoğunluk – koçunun simülasyonları gibi bir şey değil. Savunmam buna dayanacak kadar güçlü mü? Harikalar, Savunma bile var mı?
Koçu ona “eğer tüm pratiğiniz için olmasaydı, bu ilk jabları savunmazdınız. Bir savunmanız var – şimdi onu kalibre etmeniz gerekiyor. Ve bu ringde olur.”
Siber güvenlik farklı değil. Ellerinizi yukarı kaldırabilirsiniz – doğru mimariyi, politikaları ve güvenlik önlemlerini ele geçirmek – ancak savunmanızdaki en küçük boşluk bir saldırganın nakavt yumruk atmasına izin verebilir. Hazırlığınızı test etmenin tek yolu baskı altında, ringde tartışmaktır.
Uygulama ve gerçek dövüş arasındaki fark
Boksta, tartışma ortakları bol miktarda bulunur. Her gün, savaşçılar gerçek rakiplere karşı becerilerini geliştirmek için yüzüğe adım atıyorlar. Ancak siber güvenlikte, tartışma ortakları daha seyrek. Eşdeğeri penetrasyon testidir, ancak en pentik bir organizasyonda yılda sadece bir kez, belki iki kez, en iyi ihtimalle her üç ayda bir gerçekleşir. Kapsamlı bir hazırlık gerektirir, pahalı bir uzman ajansın sözleşmesi ve test edilmesi için çevreyi kordonlaştırmayı gerektirir. Sonuç olarak, güvenlik ekipleri gerçek çekişmeli faaliyetlerle karşılaşmadan aylarca gider. Onlar uyumlu, elleri yukarı ve çeneleri sıkışmış. Ama saldırı altında esnek olurlar mı?
Nadiren testlerin sonuçları
1. Drift: Yavaş Savunma Erozyonu
Bir boksör tartışmadan aylarca gittiğinde, sezgileri donuklar. Doğru savunma hareketine sahip olduğu “inç” olarak bilinen konsepte kurban düşüyor, ancak onu inçlerle özlüyor, nasıl savunacağını bildiği çekimlerle yakalanıyor. Siber güvenlik içinde bu benzer Yapılandırma Drift: Yeni kullanıcılar, eski varlıklar, artık limanlara katılmayan veya savunma kalibrasyonunda kademeli bir kayıp olsun, çevredeki artımlı değişiklikler. Zamanla boşluklar ortaya çıkar, savunmalar gittiği için değil, hizadan düştüğü için.
2. Tespit edilmemiş boşluklar: gölge kutusunun sınırları
Bir boksör ve koçları sadece eğitimde bu kadar ileri gidebilirler. Gölge kutusu ve matkaplar yardımcı olur, ancak koç boksörü savunmasız bırakabilecek göze çarpmayan hatalar çağırmaz. Gerçek bir rakibin öngörülemezliğini de çoğaltamazlar. Yanlış gidebilecek çok fazla şey var. Bir koçun boksörünün durumunu değerlendirmesinin tek yolu nasıl vurulduğunu görmek ve sonra nedenini teşhis etmektir.
Benzer şekilde, siber güvenlikte, saldırı yüzeyi geniş ve sürekli gelişiyor. Hiçbir pentest değerlendirmesi olası her saldırı vektörünü tahmin edemez ve her güvenlik açığını tespit edemez. Boşlukları ortaya çıkarmanın tek yolu, gerçek saldırı senaryolarına karşı tekrar tekrar test etmektir.
3. Sınırlı test kapsamı: kısmi test tehlikesi
Bir koçun savaşçılarının çeşitli rakiplere karşı test edildiğini görmesi gerekiyor. Öncelikle kafa atan bir rakibe karşı iyi olabilir, ama vücut yumruklayıcılarına veya karşı çekicilere ne dersiniz? Bunlar iyileştirme alanları olabilir. Bir güvenlik ekibi yalnızca belirli bir tehdit türüne karşı test ederse ve aralığını diğer istismarlara genişletmezse, şifreleri veya yanlış yakınlaştırmalara maruz kalırlarsa, kendilerini bir saldırganın bulduğu zayıf erişim noktalarına maruz kalma riskini bırakırlar. Örneğin, bir web uygulaması güvenli olabilir, ancak sızdırılmış bir kimlik bilgisi veya şüpheli bir API entegrasyonu ne olacak?
https://www.youtube.com/watch?v=t3ndksdbjo0
Düzeltmelere öncelik verme söz konusu olduğunda bağlam önemlidir
Her güvenlik açığı bir nakavt yumruk değildir. Bir boksörün benzersiz tarzının teknik kusurları telafi edebileceği gibi, siber güvenlikteki kontrolleri telafi etmek riskleri azaltabilir. Muhammed Ali, ders kitabı standartlarına göre savunması kusurluydu, ancak atletizmi ve uyarlanabilirliği onu dokunulmaz hale getirdi. Benzer şekilde, Floyd Mayweather’ın alçak ön eli bir zayıflık gibi görünebilir, ancak omuz rulosu onu savunma gücüne dönüştürdü.
Siber güvenlikte, güvenlik açığı tarayıcıları genellikle yüzlerce olmasa da düzinelerce vurgular. Ancak hepsi kritik değildir. Tüm BT ortamları farklıdır ve ağ segmentasyonu veya katı erişim politikaları gibi bir telafi kontrolü ile yüksek şiddetli bir CVE nötralize edilebilir. Bağlam anahtardır, çünkü neyin acil ilgisini çekmeyen şeylerin neyin gerekli olduğunu anlamasını sağlar.
Nadiren testlerin yüksek maliyeti
Gerçek bir düşmana karşı testin değeri yeni bir şey değildir. Boksörler kavgalara hazırlanmak için sperler. Siber güvenlik ekipleri, savunmalarını sertleştirmek için penetrasyon testleri yaparlar. Peki ya boksörler her ayrıldıklarında on binlerce dolar ödemek zorunda kalsaydı? Onların öğrenmeleri sadece halkada – kavgada – olur ve başarısızlık maliyeti yıkıcı olurdu.
Birçok kuruluş için gerçek budur. Geleneksel penetrasyon testi pahalı, zaman alıcı ve genellikle kapsamı sınırlıdır. Sonuç olarak, birçok takım yılda bir veya iki kez test ederek savunmalarını aylarca kontrolsüz bırakır. Bir saldırı meydana geldiğinde, boşluklar ortaya çıkar ve maliyet yüksektir.
Sürekli, proaktif test
Savunmalarını gerçekten sertleştirmek için, kuruluşlar nadiren yıllık testlerin ötesine geçmelidir. Bunun yerine, gerçek dünya saldırılarını taklit eden sürekli, otomatik testlere ihtiyaçları var. Bu araçlar çekişmeli aktiviteyi taklit eder, boşlukları ortaya çıkarır ve güvenlik kontrollerinin nerede sıkılaştırılacağı, savunmaların nasıl yeniden kalibre edileceği ve iyileştirme için kesin düzeltmeler sağlanacağı hakkında işlem yapılabilir bilgiler sağlar. Hepsini düzenli frekansla ve yüksek geleneksel test maliyeti olmadan yapmak.
Otomatik güvenlik doğrulamasını insan uzmanlığıyla birleştirerek, kuruluşlar güçlü bir savunma duruşunu sürdürebilir ve gelişen tehditlere uyum sağlayabilir.
Pentera’yı ziyaret ederek otomatik pentesting hakkında daha fazla bilgi edinin.
Not: Bu makale, Pentera’da kıdemli satış geliştirme temsilcisi William Schaffer tarafından yazılmıştır ve katkıda bulunur.