CISSP, FortifyData’nın Kurucusu ve CEO’su Victor Gamra tarafından
Yeni ve gelişmekte olan teknolojilerin benimsenmesiyle sistem güvenlik açıkları sürekli artmaktadır. Güvenlik uzmanları, çeşitli yeni teknolojilerin sunduğu iyileştirme çabalarına ve güvenlik açığı önceliklendirme eksikliğine ayak uydurmakta zorlanıyor. 2022’de, Ulusal Güvenlik Açığı Veritabanına göre 20.170 ile 2021’de belirlenen önceki rekoru aşan 22.000 kayıtlı Ortak Güvenlik Açıklarını ve Riskleri (CVE’ler) çoktan aştık. Güvenlik ekipleri zaten gergin durumda ve bir güvenlik açıkları denizinde boğuluyor. Her gün yenilerinin ortaya çıkması ve BT güvenlik personeli eksikliği nedeniyle bunların hepsini hafifletmek imkansız olacaktır. Bu nedenle, güvenlik ekipleri onlara öncelik vermek için gerekli özeni göstermelidir.
Tarihsel olarak, fiili bir önceliklendirme yöntemi, Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanlarına ve belirli bir zaman diliminde hangi güvenlik açığı düzeyinin düzeltilmesi gerektiğine ilişkin düzenleyici kılavuza dayanıyordu. CVSS derecelendirmeleri, fırsatçı güvenlik açıklarını aramada iyi bir iş çıkarır (yani, uzaktan istismar edilebilirler mi?), ancak bir kuruluş için varlık kritikliği ile ilişkilendirilmedikleri için asla öncelik vermek için kullanılmaları amaçlanmamıştır.
CISA’nın 2021 tarihli bir yayınına göre, “CISA, Olay Müdahale Forumu ve Güvenlik Ekiplerinin Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) dayalı risk puanlarının, bir CVE’nin sunduğu tehlikeyi veya gerçek tehlikeyi her zaman doğru şekilde tasvir etmediğini gözlemlemiştir. Saldırganlar, hedeflerine ulaşmak için “kritik” güvenlik açıklarına güvenmezler; En yaygın ve yıkıcı saldırılardan bazıları, “yüksek”, “orta” ve hatta “düşük” olarak derecelendirilen birden çok güvenlik açığı içermektedir.
“CVSS hiçbir zaman her kuruluşun benzersiz ortamında risk önceliklendirmesi sağlamayı amaçlamadığı için, bu durum hedeflerin yanlış hizalanmasına yol açtı. Erik Nost, “Tüm kritik CVSS puanlarını 30 gün içinde yamalayın” gibi SLA’lar, açıklardan yararlanmaların yayınlanıp yayınlanmadığına ve bu güvenlik açığı için etkin olup olmadığına ve bu açıktan yararlanmaya karşı koruma sağlayabilecek telafi edici kontrollerin olup olmadığına, varlık kritikliğine ilişkin iş bağlamını tartmaz,” diye yazdı Erik Nost , Forrester’da Kıdemli Analist, Forrester blogunda, “Güvenlik Açığı Programları Harekete Geçirmek İçin Güveni Yeniden Kazanmalı.”
Güvenlik açıklarını nasıl önceliklendirdiğimiz konusunda daha akıllı olmanın zamanı geldi çünkü herkese uyan tek bir yaklaşım yok. Bunu yapmak için, tehdit istihbaratını ve iş üzerindeki etkisini içeren bağlamsallaştırılmış risk istihbaratı ile güvenlik açığı verilerine daha fazla anlam katmamız gerekiyor. Güvenlik açıklarının kuruluşunuz için ne anlama geldiğini size söyleyecek verilere ihtiyacınız var.
- Varlıklarınızı biliyor musunuz?
- Güvenlik açığı görev açısından kritik bir varlıkta mevcut mu?
- Sektörümde şu anda bu güvenlik açığından yararlanan tehdit aktörleri var mı?
- Telafi edici kontrollerimiz var mı?
- Bir tehdidin gerçekleşme olasılığı nedir?
Güvenlik açığı yönetimi bu şekilde – Risk Tabanlı Güvenlik Açığı Yönetimine – dönüşüyor ve birçok kuruluş için büyük bir sorunu çözecek. Ancak oraya ulaşmak için birkaç adım atmanız gerekiyor.
1. Adım: Varlıklarınızı Keşfedin
Pek çok kuruluşun varlık algılamayla ilgili sorunlar yaşadığını görüyoruz ve her kuruluşun sahip olduğu artan sayıda varlık ve giriş noktası göz önüne alındığında bu hiç de şaşırtıcı değil. Gölge BT’den bahsetmiyorum bile – kuruluşların kaynakları döndürdüğü veya BT ekiplerinin bilmediği teknolojilere imza attığı yer.
Saldırganların varlıklarınızı keşfetmeye çalışmak için ortamınızı taradığını unutmayın.
Bu nedenle, tüm saldırı yüzeyinizin haritasını çıkarabilmek çok önemlidir. Şirket içi varlıklarınızın yanı sıra harici IP’lere sahip varlıklarla başlayın. Ardından mobil cihazları ve bulut altyapısı, web uygulamaları ve konteynerler gibi dinamik varlıkları keşfettiğinizden emin olun. Varlıkların sürekli olarak tanımlanmasının otomatikleştirilmesi, risk tabanlı bir güvenlik açığı yönetim programı geliştirmek için temeldir. CISA kısa bir süre önce Federal Ağlarda Varlık Görünürlüğünün ve Güvenlik Açığı Tespitinin İyileştirilmesine ilişkin Bağlayıcı Operasyonel Direktifi yayınlayarak varlıkları bilmenin ve bunları buna göre yönetmenin önemine dikkat çekti.
2. Adım: Varlıklarınızı Sınıflandırın
Bu ilk görünümü edinebildiğinizde, bu varlıkları sınıflandırabilmeniz gerekir, çünkü bunların tümü işletmeniz için değişen derecelerde kritikliğe sahip olacaktır. Doğru varlık sınıflandırması, güvenlik açığı önceliklendirmesine olanak tanır.
En değerli kaynakların hangileri olduğunu anlamak için, bunlarda ne tür verilerin saklandığını, işlendiğini veya iletildiğini anlamanız gerekir; bu da size belirli varlıkların işletme için ne kadar önemli olduğunu gösterir. Bir iş etki analizi yapmanızı ve C-suite’ten onay aldığınızdan emin olmanızı öneririz.
Ayrıca, belirli güvenlik açıklarının önceliğini kaldırmanıza yardımcı olabilecek telafi edici kontrollerin bir analizini yaptığınızdan emin olun. Ve son olarak, sürekli olarak yeni varlıkları otomatik olarak keşfetmeli ve bu yeni varlıkların iş etkisine göre sınıflandırılmasını sağlamalısınız.
3. Adım: İşleminizi Otomatikleştirin
Otomasyon, güvenlik açığı önceliklendirmesinin etkili bir şekilde çalışmasını sağlamanın anahtarıdır. Güvenlik açıklarının hacmi çok yüksek ve güvenlik ekipleri her bir güvenlik açığını tek tek incelemek için eğiliyor. Otomasyon, tehdit istihbaratı ve kontrol analizi ile birlikte risk tabanlı güvenlik açığı yönetimi ile yapılır. Hangi platformu seçerseniz seçin şunları yapabilmelisiniz:
- Canlı değerlendirme verileriyle sürekli izleme
- Varlıkları otomatik olarak keşfedin ve sınıflandırın
- Ulusal Güvenlik Açığı Veritabanından otomatik senkronizasyon güncellemeleri
- CISA gibi kaynaklardan şu anda yararlanılan güvenlik açıklarını içeren bulgulara öncelik verin
- Kritik risklerin nasıl düzeltileceğine ilişkin düzeltme kılavuzu sunun
Otomasyonla desteklenen risk tabanlı güvenlik açığı yönetimi, ekibinizin en etkili güvenlik açıklarının düzeltilmesine öncelik vermesini sağlar. Kuruluşunuz için kritik riskleri azaltmak için neyin düzeltileceğini ve tanımlanan güvenlik açıklarının nasıl düzeltileceğini bilerek daha etkili olacaksınız.
yazar hakkında
CISSP’den Victor Gamra, eski bir CISO ve FortifyData’nın Kurucusu ve CEO’sudur. FortifyData, risk tabanlı güvenlik açığı yönetimi, üçüncü taraf risk yönetimi, güvenlik derecelendirmeleri ve siber risk ölçümü sağlayan otomatik bir siber risk yönetimi platformudur. Daha fazla bilgi için www.fortifydata.com adresini ziyaret edin.