Güvenlik açığı yönetimi programınız nasıl gidiyor? Etkili mi? Başarı? Dürüst olalım, doğru ölçümler veya analizler olmadan ne kadar iyi iş çıkardığınızı, ilerlediğinizi veya yatırım getirisi elde edip etmediğinizi nasıl anlayabilirsiniz? Ölçmüyorsanız çalıştığını nasıl anlarsınız?
Ölçüm yapıyor olsanız bile hatalı raporlama veya yanlış metriklere odaklanma, kör noktalar oluşturabilir ve risklerin işletmenin geri kalanına iletilmesini zorlaştırabilir.
Peki neye odaklanmanız gerektiğini nasıl biliyorsunuz? Siber hijyen, tarama kapsamı, ortalama düzeltme süresi, güvenlik açığının ciddiyeti, düzeltme oranları, güvenlik açığına maruz kalma… liste sonsuzdur. Piyasadaki her araç farklı ölçümler sunduğundan neyin önemli olduğunu bilmek zor olabilir.
Bu makale, güvenlik açığı yönetimi programınızın durumunu ve kaydettiğiniz ilerlemeyi takip etmek için ihtiyaç duyduğunuz temel ölçümleri belirlemenize ve tanımlamanıza yardımcı olacaktır; böylece aşağıdakileri sağlayan denetime hazır raporlar oluşturabilirsiniz:
- Güvenlik duruşunuzu kanıtlayın
- Güvenlik açığı giderme SLA’larını ve karşılaştırmalarını karşılayın
- Denetimlerin ve uyumluluğun geçmesine yardımcı olun
- Güvenlik araçlarında yatırım getirisini gösterin
- Risk analizini basitleştirin
- Kaynak tahsisine öncelik verin
Güvenlik açığı yönetimini neden ölçmeniz gerekiyor?
Metrikler, güvenlik açığınızın ve saldırı yüzeyi yönetiminin etkinliğini ölçmede kritik bir rol oynar. Kusurları ne kadar hızlı bulduğunuzu, önceliklendirdiğinizi ve düzelttiğinizi ölçmek, güvenliğinizi sürekli olarak izleyebileceğiniz ve optimize edebileceğiniz anlamına gelir.
Doğru analizlerle hangi sorunların daha kritik olduğunu görebilir, önce neyin düzeltilmesi gerektiğine öncelik verebilir ve çalışmalarınızın ilerleyişini ölçebilirsiniz. Sonuçta doğru ölçümler, doğru bilgiye dayalı kararlar vermenizi sağlar, böylece kaynakları doğru yerlere tahsis etmiş olursunuz.
Bulunan güvenlik açıklarının sayısı her zaman iyi bir başlangıç noktasıdır, ancak önceliklendirme, tavsiyeler ve ilerleme olmaksızın tek başına size pek bir şey söylemez; nereden başlayacaksınız? En kritik güvenlik açıklarınızı bulmak, önceliklendirmek ve düzeltmek, iş operasyonlarınız ve veri güvenliğiniz açısından her güvenlik açığını bulmaktan çok daha önemlidir.
Akıllı önceliklendirme ve gürültüyü filtrelemek önemlidir, çünkü gerekli olmayan bilgilerin altında ezilirken gerçek güvenlik tehditlerini gözden kaçırmak çok kolaydır. Akıllı sonuçlar, alakasız zayıflıklarla size yük olmadan, güvenliğiniz üzerinde gerçek etkisi olan sorunlara öncelik vererek işinizi kolaylaştırır.
Örneğin internete açık sistemleriniz bilgisayar korsanları için en kolay hedeflerdir. Bunu açıkta bırakan sorunlara öncelik vermek, saldırı yüzeyinizi en aza indirmeyi kolaylaştırır. Intruder gibi araçlar, gerçek riskleri açıklayarak ve anlaşılması kolay bir dille iyileştirme önerileri sunarak, uzman olmayanlar için bile güvenlik açığı yönetimini kolaylaştırır. Ancak önceliklendirmenin ötesinde başka neleri ölçmelisiniz veya ölçebilirsiniz?
Davetsiz misafirin güvenlik açığı yönetimi rapor sayfasına bir örnek |
Her güvenlik açığı yönetimi programı için en önemli 5 ölçüm
Tarama kapsamı
Neyi takip ediyor ve tarıyorsunuz? Tarama kapsamı, kapsadığınız tüm varlıkları ve iş açısından kritik tüm varlıkların ve uygulamaların analitiğini ve sunulan kimlik doğrulama türünü (örneğin, kullanıcı adı ve şifre tabanlı veya kimlik doğrulaması yapılmamış) içerir.
Saldırı yüzeyiniz zamanla geliştikçe, değiştikçe ve büyüdükçe, kapsanan konularda ve BT ortamınızda (yeni açılan bağlantı noktaları ve hizmetler gibi) yapılan değişiklikleri izlemek önemlidir. Modern bir tarayıcı, farkında olmadığınız dağıtımları tespit edecek ve hassas verilerinizin yanlışlıkla açığa çıkmasını önleyecektir. Ayrıca bulut sistemlerinizi değişikliklere karşı izlemeli, yeni varlıklar keşfetmeli ve IP’lerinizi veya ana bilgisayar adlarınızı bulut entegrasyonlarıyla otomatik olarak senkronize etmelidir.
Ortalama düzeltme süresi
Ekibinizin kritik güvenlik açıklarınızı düzeltmesi için gereken süre, rapor edilen güvenlik açıklarının sonuçlarına tepki verirken ekibinizin ne kadar duyarlı olduğunu ortaya çıkarır. Güvenlik ekibi sorunları çözmekten ve düzeltmeye yönelik mesaj ve eylem planlarını yönetime iletmekten sorumlu olduğundan bu tutarın sürekli olarak düşük olması gerekir. Ayrıca önceden tanımlanmış SLA’nıza dayanmalıdır. Güvenlik açığının ciddiyeti, planlama ve iyileştirme için karşılık gelen göreceli veya mutlak bir süreye sahip olmalıdır.
Risk puanı
Her sorunun ciddiyeti, genellikle Kritik, Yüksek veya Orta olmak üzere tarayıcınız tarafından otomatik olarak hesaplanır. Belirli bir güvenlik açığına belirli bir süre içinde yama uygulamamaya karar verirseniz, bu riski kabul ettiğiniz anlamına gelir. Riski kabul etmeye istekliyseniz ve hafifletici faktörler varsa Intruder ile bir sorunu erteleyebilirsiniz.
Örneğin, bir SOC2 veya ISO denetimine hazırlanırken kritik bir risk gördüğünüzde, bunu düzeltmek için gereken kaynağın gerçek risk düzeyi veya sistem üzerindeki potansiyel etkisi ile gerekçelendirilmemesi nedeniyle bunu kabul etmeye istekli olabilirsiniz. iş. Elbette konu raporlamaya geldiğinde CTO’nuz kaç konunun ertelendiğini ve nedenini bilmek isteyebilir!
Sorunlar
Bu, bir güvenlik açığının halka açılmasından, tüm hedeflerin taranmasına ve sorunların tespit edilmesine kadar geçen noktadır. Temel olarak, saldırı yüzeyinizdeki güvenlik açıkları ne kadar hızlı tespit ediliyor, böylece bunları düzeltebilir ve bir saldırganın fırsat penceresini azaltabilirsiniz.
Bu pratikte ne anlama geliyor? Saldırı yüzeyiniz artıyorsa, her şeyi kapsamlı bir şekilde taramanızın daha uzun sürdüğünü ve ortalama tespit sürenizin de artabileceğini görebilirsiniz. Tersine, eğer ortalama tespit süreniz aynı kalıyor veya azalıyorsa, kaynaklarınızı etkili bir şekilde kullanıyorsunuz demektir. Eğer tam tersini görmeye başlarsanız, kendinize bazı şeyleri tespit etmenin neden daha uzun sürdüğünü sormalısınız? Cevap, saldırı yüzeyinin balonlaştığıysa, belki de araçlarınıza ve güvenlik ekibinize daha fazla yatırım yapmanız gerekebilir.
İlerlemenin ölçülmesi
Önceliklendirme – veya akıllı sonuçlar – işletmeniz üzerindeki potansiyel etkisi nedeniyle ilk önce neyi düzelteceğinize karar vermenize yardımcı olması açısından önemlidir. Davetsiz misafir gürültüyü filtreler ve hatalı pozitif sonuçların azaltılmasına yardımcı olur; bu takip edilmesi gereken önemli bir ölçümdür çünkü gürültü miktarını azalttığınızda geri dönüp en önemli ölçüme, yani ortalama düzeltme süresine odaklanabilirsiniz.
Bu neden önemli? Çünkü bir sorun bulduğunuzda, onu olabildiğince çabuk çözebilmek istersiniz. Intruder gibi araçlar, çıktıyı yorumlamak ve sonuçları bağlama göre önceliklendirmek için birden fazla tarama motoru kullanır; böylece zamandan tasarruf edebilir ve gerçekten önemli olana odaklanabilirsiniz.
Sistemlerinizi kritik derecede etkileyebilecek yeni bir güvenlik açığı tespit edildiğinde Saldırgan otomatik olarak bir tarama başlatacaktır. |
Saldırı yüzeyi izleme
Bu, saldırı yüzeyinizde korunan, keşfedilen veya keşfedilmemiş varlıkların yüzdesini görmenize yardımcı olur. Ekibiniz yeni uygulamaları çalıştırırken, güvenlik açığı tarayıcısı yeni bir hizmetin ne zaman açığa çıktığını kontrol etmelidir, böylece verilerin yanlışlıkla açığa çıkmasını önleyebilirsiniz. Modern tarayıcılar, bulut sistemlerinizi değişikliklere karşı izler, yeni varlıklar bulur ve IP’lerinizi veya ana bilgisayar adlarınızı entegrasyonlarınızla senkronize eder.
Bu neden önemli? Saldırı yüzeyiniz zaman içinde kaçınılmaz olarak açık bağlantı noktalarından yeni bulut örneklerinin başlatılmasına kadar gelişecektir; maruz kalma riskinizi en aza indirmek için bu değişiklikleri izlemeniz gerekir. Saldırı yüzeyi keşfimiz tam da bu noktada devreye giriyor. Belirtilen zaman dilimi içinde keşfedilen yeni hizmetlerin sayısı, saldırı yüzeyinizin (kasıtlı olsun ya da olmasın) büyüyüp büyümediğini anlamanıza yardımcı olur.
Bu metrikler neden önemlidir?
Intruder gibi modern saldırı yüzeyi yönetimi araçları en önemli olanı ölçer. Paydaşlara rapor sağlanmasına, güvenlik açıklarının önceliklendirilmesine ve sorun izleme araçlarınızla entegrasyon sağlanmasına yardımcı olurlar. Nelerin savunmasız olduğunu görebilir ve siber riskinizi yönetmek için ihtiyaç duyduğunuz öncelikleri, çözümleri, öngörüleri ve otomasyonu tam olarak alabilirsiniz. Intruder’ı çalışırken görmek istiyorsanız bir demo talep edebilir veya 14 gün boyunca ücretsiz deneyebilirsiniz.