Bu Help Net Security röportajında, Pentera Araştırma ve Siber Güvenlik Başkan Yardımcısı Alex Spivakovsky, güvenlik programlarının başarısını değerlendirmek için gerekli ölçütleri ele alıyor.
Spivakovsky, otomasyon ve proaktif testlerin güvenlik açıklarını nasıl ortaya çıkarabileceğini ve genel güvenlik duruşunu nasıl iyileştirebileceğini açıklıyor.
Bir güvenlik programının başarısını ölçmek için en etkili ölçütler nelerdir?
En basit ölçüm şudur: Kuruluşunuz ihlal edildi mi? Cevap evetse, yapılacak iş olduğu açıktır. Cevap hayırsa, daha iyi durumdasınızdır—ancak bundan daha karmaşıktır. İhlal edilmemiş olsanız bile, temel siber güvenlik ölçümleriniz düşüyorsa güvenlik duruşunuz kötüleşiyor demektir. Başarıyı ve gelişmeyi ölçmek için önemli olan bazı ölçümler şunlardır:
- Ortalama Tespit Süresi (MTTD) ve Ortalama Tepki Süresi (MTTR) – Bunlar tehditlerin ne kadar hızlı tanımlanıp ele alındığını ölçer ve güvenlik operasyonları ekibinin çevikliğini ve verimliliğini yansıtır. Her ekstra dakika, saldırganın ortamınıza erişebildiği zamandır. Ortalama MTTD ve MTTR’nin sürekli olarak iyileştiğinden emin olmak için tutarlı testler çalıştırın.
- Risk profilini risk olasılığına göre belirleme yeteneği – İyileştirme önceliğini belirlemek, istismar edilmesi durumunda potansiyel etkiyi ve ortamınızın bağlamında istismar edilme olasılığını değerlendirmeyi içerir. Bir güvenlik açığı kritiklik açısından 10/10 olarak derecelendirilebilir, ancak telafi edici kontroller istismar olasılığını 2/10’a düşürebilir ve bu da onu 8/10 istismar riski olan 7/10 kritikliğe göre daha düşük bir öncelik haline getirir. Bu içgörü olmadan önceliklendirme çok daha az etkilidir.
- Zaman içindeki genel risk değerlendirme puanı – Tüm saldırı yüzeyinizde genel risk profilinizi tekrar tekrar ölçmek. Bu değerlendirmeler, zamanla takip edebileceğiniz ve iyileştirebileceğiniz bir güvenlik temel puanı oluşturmak için güvenlik açıkları, kalıntı risk ve iş etkisi puanları gibi faktörlere dayanmaktadır.
Kuruluşlar güvenlik programlarının uyumluluk gerekliliklerini karşılamaktan ziyade pratik olup olmadığını nasıl belirleyebilirler?
Kısa cevap, sürekli güvenlik testi ve doğrulama uygulamalarıdır. CTEM çerçevesinin bir parçası olarak Gartner yakın zamanda, İhlal ve Saldırı Simülasyonu (BAS) ve Otonom Penetrasyon Testi ve Kırmızı Takım gibi proaktif test teknolojilerini birleştiren Adversarial Exposure Validation (AEV) adlı yeni bir kategori tanıttı. Gerçek dünya saldırı taktiklerini taklit ederek AEV, kuruluşların mevcut savunmalarının etkinliğini aktif olarak test etmelerini sağlar.
Proaktif test, ortamın bağlamında istismar edilebilir güvenlik açıklarını ve saldırı yollarını ortaya çıkarır. Kanıtlanmış maruziyete odaklanarak, bu yöntem kuruluşların yürürlüğe koyduğu güvenlik kontrollerinin yalnızca düzenleyici bir onay kutusunu işaretlemek değil, gerçek tehditlere karşı savunmada pratik ve etkili olmasını sağlar.
Güvenlik programlarının etkinliğini artırmada otomasyon ve sürekli test ne kadar önemli?
Otomasyon ve yazılım, insan sızma test uzmanları ve kırmızı takım uzmanları tarafından eşleştirilemeyecek bir sıklıkta ve ölçekte test yapılmasını sağladıkları için proaktif güvenlik testleri için kritik öneme sahiptir. 2024 Pentesting Durumu anketimize göre, işletmelerin %60’ından fazlası yılda en fazla iki kez kuruluşlarını manuel olarak sızma testi yapmaktadır. Bu sızma testleri sırasında manuel sızma testleri BT ortamının en fazla %20’sini kapsayabilir.
Modern BT ortamlarının, özellikle bulutta faaliyet gösterenlerin ne sıklıkla değiştiği göz önüne alındığında, bunun anlamı, çoğu zaman kuruluşun saldırı yüzeyinin önemli bir bölümünün test edilmemiş ve güvenliğinin etkinliğinin doğrulanmamış olmasıdır.
Gördüğümüz çok yaygın bir kullanım örneği EDR doğrulamasıdır. Kuruluşlar EDR kapsamlarının %100 olduğuna inanırlar, ancak test ettiğimizde, ajanların eksik olduğu veya doğru politikayı kullanmayan ajanların olduğu varlıkları ortaya çıkarırız. Ajanların “önlemek” yerine “izlemek” üzere yapılandırıldığı durumlar gördük. Etkin önleme olmadan, dahili güvenlik ekibinin veya harici SOC’nin yanıt süresine bağımlı olursunuz ve bu da korsana istismarı ilerletmek veya hatta tamamlamak için değerli zaman kazandırır. BT ortamlarındaki sık değişikliklerle, bu tür yanlış yapılandırmalar nispeten yaygındır. Canlı ortamlarınızın sürekli test edilmesi, güvenlik ekiplerinin güvenlik sorunlarını belirlemesini ve hızla düzeltmesini sağlar, böylece kapsamın gerçekten %100 olduğundan emin olurlar.
Güvenlik odaklı bir kültür, bir güvenlik programının genel etkinliği açısından ne kadar önemlidir?
2024 DBIR raporuna göre, insan unsuru kurumsal güvenlik için en büyük risk olmaya devam ediyor ve tüm başarılı saldırıların %68’inde bir faktör olarak rol oynuyor. Bir organizasyondaki tek güvenlik bilincine sahip gruplar Siber ve BT ekipleriyse, güvenliğiniz kesinlikle işe yaramayacaktır. Dahili güvenlik ekipleri, genel organizasyona göre küçük olma eğilimindedir ve her yerde olamaz; tüm çalışanların eylemlerinin genel kurumsal güvenlik duruşunu nasıl etkileyebileceğini anlamaları ve uygun güvenlik hijyenini uygulamaları gerekir.
Güvenlik odaklı bir kültürün diğer eşit derecede önemli yönü, yöneticilerin katılımıdır. Pentera, ortalama bir işletmenin kuruluş genelinde 53 güvenlik çözümü kullandığını ve BT güvenliğine yılda 1 milyon dolardan fazla harcadığını buldu. Tehdit türleri çeşitlendikçe, güvenliğin maliyeti artıyor. Yönetici kadro güvenliğe bağlı kalmaya ve gerçekten yatırım yapmaya istekli değilse, o zaman bir ihlal olasılığı artacaktır.
Bu cephede bazı iyi haberler var. CISO’ların %50’sinden fazlasının penetrasyon testlerinin sonuçlarını yönetici ekibi ve Yönetim Kurulu (BoD) ile paylaştıklarını bildirdiğini gördük. Yüksek profilli ihlallerdeki artışla birlikte, yönetim ekipleri siber güvenlik ve temsil ettiği iş riski konusunda daha bilinçli hale geliyor. Henüz tam olarak orada değiliz, ancak artan farkındalığın siber güvenliğe daha fazla yatırım yapılmasına kapı açacağını umuyoruz.
Güvenlik liderleri, güvenlik programlarının değerini üst düzey yöneticilere ve paydaşlara göstermek için hangi yaklaşımları kullanabilirler?
Siber güvenlik uzmanlarının katkılarını giderek daha fazla iş terimleriyle iletmeleri bekleniyor. Bu, genellikle daha iş odaklı ve siber güvenlik kavramlarına daha az aşina olan üst düzey yönetim ve yönetim kurulu üyelerinin güvenlik girişimlerinin etkisini daha iyi anlamalarına yardımcı olur. ROI’nin (Yatırım Getirisi) siber güvenlik eşdeğeri olan Güvenlik Yatırım Getirisi (ROSI) temelinde değer iletmenizi öneririm.
Genellikle kullanılan formül şudur:
ROSI = (Önlenen kayıplar – Güvenlik önlemlerinin maliyeti) / Güvenlik önlemlerinin maliyeti
Örneğin, bir güvenlik programı 1 milyon dolarlık potansiyel ihlal kaybını önlüyorsa ve uygulaması 250.000 dolara mal oluyorsa, ROSI 3 olur; bu da güvenliğe harcanan her 1 dolar için 3 dolarlık getiri anlamına gelir.
Güvenlik önlemlerinin maliyeti Kuruluşun güvenlik savunmalarını uygulamak ve sürdürmek için yapılan tüm yatırımları içerir.
Kaçınılan kayıpların hesaplanması:
Kaçınılan kayıplar, uygulanan güvenlik önlemlerinin başarıyla önlediği güvenlik olaylarının potansiyel mali etkisini temsil eder. Temel bileşenler şunlardır:
- Tek Kayıp Beklentisi (SLE): Tek bir güvenlik olayının maliyeti.
- Yıllık Oluşum Oranı (ARO): Tarihsel eğilimlere veya sektör kıyaslamalarına dayalı olarak, bu tür olayların bir yıl boyunca tahmini sıklığı.
- Azaltma Oranı Güvenlik kontrollerinin olayları önlemedeki etkinliği (0 ila 1) Formül: Kaçınılan Kayıplar = SLE × ARO × Azaltma Oranı