Bugüne kadar, zafiyet yönetimine odaklanan çoğu teknoloji çözümü risklerin önceliklendirilmesine odaklanmıştır. Bu genellikle CVE’lere ve diğer tavsiye veya tehdit istihbarat bilgilerine bağlantılar içeren bir tabloda gösterilen bazı risk sıralaması yapıları şeklini almıştır.
Bu gerekli bir adımdır, ancak yeterli değildir. Hangi güvenlik açıklarının en acil olduğunu bilmek güzel olsa da, istenen sonuç bu güvenlik açıklarının mümkün olan en kısa sürede ele alınmasını ve azaltılmasını sağlamaktır. Birçok güvenlik ölçütü bu sonuca odaklanırken, önceliklendirmeden sonuca giden yol belirsiz ve yeterince anlaşılmamış olmaya devam ediyor. Görünürlüğün olmaması, darboğazların nerede olabileceğini ve sürecin nasıl iyileştirilebileceğini anlamayı zorlaştırıyor.
Güvenlik yolculuğu neden bu kadar belirsiz?
Çoğu CISO ve ekibinin, güvenlik açıklarını ele alma konusundaki ilerlemeyi değerlendirmek için, tespit etme süresi, yanıt verme süresi, yama uygulanmamış kritik güvenlik açıklarının yüzdesi, yama süresi gibi net ölçütleri vardır.
Teoride, bu metrikleri takip etmek ilerlemeyi sağlamalıdır çünkü takımlar nasıl yargılanacaklarının farkındadır. Ancak, metrikler tek başına tüm hikayeyi anlatamaz veya herhangi bir takımın güvenlik verimliliğini optimize edemez çünkü:
- Metrikler oyunlaştırılabilir
- Metrikler size hangi sorunların çözüldüğünü ve nasıl çözüldüğünü söyleyemez
Örneğin, bir güvenlik ekibi istisnalar eklemek için güvenlik açığı politikasını değiştirebilir ancak uyarı susturulmuş olmasına rağmen güvenlik açığının asla düzeltilmediğini belirtmeyi ihmal edebilir. Bu, söz konusu politikayla eşleşen yeni güvenlik açıklarının da göz ardı edilmesine ve genel güvenliği etkilemesine neden olabilir.
Ölçümler, yamayı atlatan aykırı değerler varsa veya başka türlü ulaşılması zor cihazlar uzun süreler boyunca yamasız kalırsa yanlış bir güvenlik hissi sağlayabilir. Ölçümler iyileşirse, süreci (yeniden) incelemeden, iyileştirmelerin kaba kuvvet ve çabayla mı, daha iyi sistemlerle mi yoksa daha iyi süreç tasarımıyla mı gerçekleştiğini yargılayamayız.
Güvenlik sürecinin şeffaflığı neden daha kritik hale geliyor?
Siber güvenlik süreçleri ve performansına yönelik incelemeler, artan düzenleyici denetimler ve son derece zararlı saldırıların acımasız eğilimi nedeniyle giderek artıyor.
ABD Menkul Kıymetler ve Borsa Komisyonu, Avrupa Birliği, ABD Savunma Bakanlığı, İngiliz Ulusal Hükümeti ve ABD Siber Güvenlik ve Altyapı Ajansı, CISO’lar ve ekipleri için önemli ölçüde daha sıkı gereklilikler koydu veya koymaya devam ediyor.
Hem SEC hem de CISA, hesap verebilirliği Yönetim Kuruluna ve C-Suite’e yüklemeye başladı. Bu, yalnızca ölçümlerin artık tam şeffaflık sağlamak isteyen CISO’lar için yeterli olmadığı anlamına geliyor. Süreç şeffaflığı, KPI’ları doğrulamak ve denetçilerin ve hükümetin eskiden güvenlik süreci “darboğazları” olan şeylerin içine bakmasına izin vermek için de aynı derecede kritik hale geldi.
Hangi güvenlik darboğazları?
Bu darboğazlar, bir Jira biletini açmak veya kapatmak, bir Slack iş parçacığında ileri geri yorum yapmak, GitHub’da bir çekme isteği göndermek veya bir yamadan sonra yazılımı test etmek ve yeniden dağıtmak için bir CI/CD işlem hattı çalıştırmak gibi oldukça değişken, insan merkezli süreçlerdir. Hepsinin insan yolu bağımlılıkları olabilir, belirsizlik ve değişkenlik enjekte edebilir.
Örneğin, bir Slack iş parçacığı, bir yamayı kimin ne zaman yayınlayacağına dair kritik karar alma içerebilir. İş parçacığı, yamanın birim testlerini geçmesi için mücadele eden bir mühendisi gösteriyorsa, bu yetersiz testle sonuçlanabilir ve bu da uygunsuz bir şekilde test edilmiş bir yama dağıtıldığında hizmet kesintilerine ve hatta yamanın canlı sistemlere inmesinde daha fazla gecikmeye yol açabilir.
Bir Jira bileti, birinin tatile gitmesi veya birinin doğru uzmanlığa sahip olmaması gibi nedenlerle bir güvenlik analistinden veya mühendisinden diğerine yeniden atanabilir. Bu, düzeltmeye gecikme ekleyebilir ve bu da maruz kalma penceresini artırır. Daha gelişmiş saldırganlar yeni ortaya çıkan güvenlik açıklarını istismar etmek için giderek daha hızlı hareket ettikçe, maruz kalma penceresini kapatmak çok önemlidir.
Bir kuruluş bir güvenlik veri ağını başarıyla uygulamış olsa bile, nadiren süreç verileri dahil edilir. Bu, insan kararlarına ilişkin bağlam ve görünürlük eksikliğine neden olur.
Güvenlik süreci dokusuyla darboğazları aydınlatın
Güvenlik süreci haritalaması, güvenlik operasyonlarını anlamak ve optimize etmek için iş akışlarının görsel temsillerini oluşturmayı içerir. Genellikle akış şemaları olan bu diyagramlar, görevleri tamamlamak için gereken adımları özetleyerek verimsizlikleri ve tutarsızlıkları ortaya koyar.
Bir güvenlik süreci yapısı, tüm güvenlik açığı veri yapısı artı önemli süreç bağlamıdır. Bu, yalnızca süreç haritalarını görselleştirmekle kalmayıp aynı zamanda sürecin parçası olan tüm araçlardan bağlamsallaştırılmış meta verileri göstermek anlamına gelir, böylece ekipler hızlı bir şekilde hareket edebilir ve ne yapacaklarına dair daha akıllıca kararlar alabilirler. Bir güvenlik süreci yapısı kullanarak, kuruluşlar tam olarak kimin neyi, ne zaman yaptığını görebilir ve ardından neden hakkında doğru soruları sormaya başlayabilir. Ekipler ayrıca süreçlerle ilgili hipotezleri test edebilir.
Güvenlik açığı yönetimi için, işlem yürütmeyle ilgili verileri görselleştirme ve izleme yeteneği, önceliklendirmeyi ikili ölçümlerden (yama uygulanmış/uygulanmamış) ayrıştırılıp ölçülebilen bir zaman serisine değiştirir. Bu yöntem, karmaşık güvenlik işlem verilerini eyleme dönüştürülebilir içgörülere dönüştürerek güvenlik yatırımlarında hem verimliliği hem de yatırım getirisini artırır.
Özellikle Wiz gibi bir güvenlik açığı tarayıcısı, GitHub veya GitLab gibi bir kod deposu ve ServiceNow veya Jira gibi bir destek sistemi kullanılarak yapılan güvenlik açığı yönetiminde, haritalama, bir güvenlik açığının ne zaman yüksek öncelikli olarak işaretlendiğini, bir destek biletinin ne zaman oluşturulduğunu, destek biletinin kime ait olduğunu, destek biletini GitHub’da (veya CI/CD’de) çözmek için hangi faaliyetin gerçekleştirildiğini ve destek biletinin ne zaman ve kim tarafından kapatıldığını netleştirebilir.
Zamanla, güvenlik süreci yapısı güvenlik süreçlerinin uzunlamasına bir görünümünü sağlar. Bu, CISO’ların süreç verimliliğini ve süreçleri daha verimli hale getirmedeki ilerlemeyi ölçecek yeni bir ölçüm seti geliştirmelerine ve izlemelerine olanak tanır.
Güvenlik her zaman bir süreç olmuştur ancak süreçlerin programlı olarak yakalanmaması, onları geri çağırma hatasına ve yüksek değişkenliğe tabi hale getirmiş ve güvenlik darboğazları yaratmıştır. Süreç haritalama eklemek ve süreç verilerini ve kimin, neyin ve neden olduğunu açıklayan bağlamsal meta verileri bir güvenlik süreci yapısına dahil etmek, sonunda güvenlik şeffaflığı döngüsünü kapatır.