Güvenlik Açığı Yönetimi (VM), uzun süredir kurumsal siber güvenliğin temel taşı olmuştur. Neredeyse siber güvenlik disiplininin kendisi kadar eski olan bu disiplin, kuruluşların potansiyel güvenlik sorunlarını ciddi sorunlara dönüşmeden önce belirlemelerine ve çözmelerine yardımcı olmayı amaçlamaktadır. Ancak son yıllarda bu yaklaşımın sınırlamaları giderek daha belirgin hale geldi.
Temelinde, Güvenlik Açığı Yönetimi süreçleri, zayıf yönlerin belirlenmesi ve ele alınması için temel olmaya devam etmektedir. Ancak zaman geçtikçe ve saldırı yolları geliştikçe bu yaklaşım yaşını göstermeye başlıyor. Güvenlik Açığı Yönetimini Maruz Kalma Yönetimine Nasıl Büyütebiliriz adlı yakın tarihli bir raporda (Gartner, Güvenlik Açığı Yönetimini Maruz Kalma Yönetimine Nasıl Büyütebiliriz, 8 Kasım 2024, Mitchell Schneider Et Al.), Gartner®’ın bu noktayı tam olarak ele aldığına ve kuruluşların aşağıdakileri nasıl yapabileceğini gösterdiğine inanıyoruz: ve mutlaka – güvenlik açığı merkezli bir stratejiden daha geniş bir Maruziyet Yönetimi (EM) çerçevesine geçilmelidir. Bunun okumaya değer bir kitaptan daha fazlası olduğunu düşünüyoruz ve bu makalede, Güvenlik Açığı Yönetiminin neden yetersiz kaldığına, iş bağlamını güvenlik operasyonlarına dahil etmenin neden bu kadar önemli olduğuna ve kuruluşların somut sonuçlar ortaya koyan ölçümlerle liderlikle nasıl daha iyi etkileşim kurabileceğine bir göz atacağız. değer.
Başlangıç Olarak Geleneksel Güvenlik Açığı Yönetimi Sınırlıdır
Geleneksel Güvenlik Açığı Yönetimi çözümlerinin günümüzde siber güvenliğin zorluklarına ayak uydurmakta zorlanması kimseyi şaşırtmıyor. Bunun birkaç özel nedeni var; Güvenlik açığı yönetimi, onu etkileyen ve onunla etkileşime giren geniş paydaş kapsamı nedeniyle zorlu bir iştir. Bir diğer önemli zorluk ise tespit edilen güvenlik açıklarının çokluğudur. Bunları sıralamanın net bir yolu olmayan geleneksel VM çözümleri, güvenlik kuruluşlarına çok uzun bir güvenlik açığı listesi bırakıyor ve bunları ele alacak net bir yol haritası yok.
Risk Tabanlı Güvenlik Açığı Yönetimi (RBVM) araçları, ortamınızı veya bağlamınızı etkileme olasılıklarına göre iyileştirmelere öncelik verir, ancak bu araçlarla bile ihtiyaç duyacağınız riske maruz kalma hacminde önemli bir düşüş yaratacak kadar yakın değildir. hitap etmek.
Bu önceliklendirilmemiş güvenlik açıklarından kaynaklanan operasyonel yorgunluk, çoğu zaman kritik güvenlik açıklarının gözden kaçırılmasına neden olur. Bu, daha az acil olan konular değerli zaman ve kaynakları tüketirken. Bu aynı zamanda ekiplerin karşılaştıkları çok sayıda sorun karşısında felce uğraması, nereden başlayacaklarına veya nasıl hareket edeceklerine karar verememeleri durumunda ‘analiz felci’ne de yol açabilir.
Geleneksel VM, iş bağlamını birleştirmede başarısız olarak hedefi de kaçırıyor. Bu, ilgili güvenlik açıklarının kritik iş fonksiyonlarını nasıl etkileyebileceği dikkate alınmaksızın teknik sorunlara odaklanılmasına yol açabilir. Analiz felcine benzer şekilde, bu yanlış hizalama kaynakların verimsiz kullanılmasına yol açar ve kuruluşları gereksiz yere savunmasız bırakır.
Son olarak, uyumluluk odaklı güvenlik açığı değerlendirmeleri günümüzde güvenlik duruşunu iyileştirmekten çok düzenleyici gereklilikleri karşılamaya odaklanıyor. Bu VM odaklı değerlendirmeler denetçileri tatmin etse de, kuruluşların karşılaştığı gerçek dünya tehditlerini nadiren ele alıyor.
Gizli Sos: İş Bağlamı
Maruz Kalma Yönetimine geçişteki önemli bir adım, ilgili her güvenlik operasyonuna iş bağlamının eklenmesini içerir. Siber güvenlik çabalarını stratejik kurumsal hedeflerle uyumlu hale getirmek için bu önemlidir. Ancak siber güvenliği değiştirebilmemiz için de bu gereklidir uzak teknik bir uygulama ve önleme odaklı bir maliyet merkezi olarak algılanmaktan ve karşı Stratejik ve gelir sağlayıcı olmak. Bunu yaparak, güvenlikle ilgili olmayan paydaşların direncini azaltırken, güvenlik tarafında daha bilinçli karar almayı teşvik edebiliriz.
Güvenlik hedeflerini iş öncelikleriyle uyumlu hale getirmek aynı zamanda anlaşmazlıkları da en aza indirir. Güvenlik ekipleri yalnızca teknik risklere odaklanmak yerine, hangi varlıkların operasyonlar ve itibar açısından en kritik olduğu gibi soruları ele alabilir. Bu düzeydeki netlik, kıt kaynakların en önemli riskleri hedef almasının sağlanmasına yardımcı olur. (İş açısından kritik varlıklara nasıl odaklanılacağı hakkında daha fazla bilgi edinmek ister misiniz? XM Cyber’in, işletmenizin işleyişi için kesinlikle gerekli olan varlıkları tanımlamaya ve onları yüksek etkili risklerden korumaya nasıl yardımcı olduğunu öğrenmek için son makalemize göz atın.)
Dahası, geleneksel güvenlik çabaları çoğu zaman yanlış soruları sordukları için bocalıyor. Yanlış soru şudur: “Bu güvenlik açığını…ve sonrakini…ve sonrakini nasıl ortadan kaldırırım?” Doğru soru şu olacaktır: “Bu güvenlik açığı kârlılığı/ürün benimsemeyi/gelir akışlarını/iş sonuçlarınızın adını nasıl etkiler ve hatta bunu ele almalı mıyız?” Doğru soruları sorarak ve iş bağlamını güvenliğe dahil ederek güvenliği reaktif bir süreçten proaktif bir stratejiye dönüştürüyoruz. Maruz Kalma Yönetimine geçiş, teknik ekiplerimiz ile iş liderleri arasındaki bariz boşluğu kapatıyor çünkü güvenlik girişimlerinin en önemli riskleri ele aldığını göstermemize yardımcı oluyor.
Günümüzün Saldırı Yüzeyini Anlamak
Saldırı yüzeyinin geleneksel BT sınırlarının çok ötesine geçtiği ve bunun güvenlik kuruluşları için daha geniş riskler ve zorluklar getirdiği bir sır değil. ‘Sadece’ şirket içi sistemler ve ağlar dönemi çoktan geride kaldı; günümüzün saldırı yüzeyi SaaS platformlarını, IoT cihazlarını, hibrit ve uzaktan iş gücünü, karmaşık tedarik zincirlerini, sosyal medyayı, üçüncü taraf platformları, karanlık ağı, halka açık varlıklar ve çok daha fazlası.
Saldırı yüzeylerini yönetmek, güvenlik ve risk liderleri için, özellikle de birçoğu hala tam olarak anlaşılamadığında, bunaltıcı olabilir. Bu zorlukların üstesinden gelmek için güvenlik operasyonları yöneticilerinin, erişimi kolay veya yüksek değerli hedefleri barındıran saldırı yüzeylerini belirleyerek çabalarına öncelik vermeleri gerekir. İşte bu nedenle güvenlik açığı yönetiminden risk yönetimine geçiş, bunun gerçekleşmesinde kritik bir adımdır.
Bu geçiş, dijital altyapıdaki tüm saldırı yüzeylerinde görünürlüğün iyileştirilmesiyle başlar. Temel adımlar arasında programın kapsamına hangi saldırı yüzeylerinin dahil edileceğinin belirlenmesi, mevcut teknolojilerin yetersiz kaldığı alanları ortaya çıkarmak için bir boşluk analizi yapılması ve bu bilgilerin doğru satıcıların seçilmesine yönelik gereksinimleri tanımlamak için kullanılması yer alır. Bu eylemler, etkili saldırı yüzeyi yönetiminin temelini oluşturur.
Metriklerle Liderliği Etkilemek
Son olarak, içinde faaliyet gösterdiğimiz gülünç derecede karmaşık siber ortamda, kurumsal liderlikle etkileşime geçmek için ortak bir dil bulmak, güvenlik açığı yönetiminden risk yönetimine geçiş için çok önemlidir.
Metrics tam da böyle bir dildir. Siber güvenlik çabalarını iş hedefleriyle uyumlu hale getirmenin ve risk yönetiminin somut değerini göstermenin en iyi yoludur. Burada önemli olan iş sonuçlarını yaşayan ve soluyan üst düzey yöneticilerin iş odaklı ölçümler almasını sağlamaktır.
İş odaklı içgörüleri yansıtan ölçümler (saldırı yüzeyine maruz kalmanın azaltılması, kritik varlıklara yönelik riskin azalması ve kazanılan operasyonel verimlilik gibi), teknik siber güvenlik önlemleri ile iş hedefleri arasındaki boşluğu doldurur. Saldırı senaryolarının simülasyonları veya yanal hareket potansiyelindeki kanıtlanabilir azalmalar gibi doğrulanmış sonuçlar, başarının somut kanıtlarını sunmanın ve liderlik güvenini artırmanın başka bir yoludur.
Yukarıda belirtildiği gibi, güvenlik operasyonlarını doğrudan iş sonuçlarına ne kadar yakınlaştırırsak, liderliğin siber güvenliği bir maliyet merkezi yerine iş kolaylaştırıcı olarak görmesi de o kadar muhtemeldir. Ölçütlerin etkili bir şekilde iletilmesi, vardiya riski yönetimi için katılımı, kaynak tahsisini ve sürekli desteği güvence altına alır. (Yönetime ve/veya liderliğe raporlamanın nasıl optimize edileceği hakkında daha fazla bilgi edinmek için bu e-Kitaba göz atın.)
Sonuç olarak
Güvenlik Açığı Yönetiminden Maruziyet Yönetimine geçişin zamanı şimdi değil, dün. Geleneksel VM, kuruluşları gerçekten önemli olan şeylere öncelik verme konusunda zor durumda bırakır ve değerli kaynakları israf etme riskiyle karşı karşıya bırakır. Maruziyet Yönetimine geçiş, doğal bir teknolojik evrimden daha fazlasıdır. Bu, işletmelerin en önemli şeyleri korumaya odaklanmasını sağlayan bir zihniyet değişikliğidir: kritik varlıklar, operasyonel süreklilik, stratejik iş sonuçları. Bu geçiş yalnızca güvenlik açıklarının daha iyi ele alınmasıyla ilgili değil; aynı zamanda uzun vadeli başarıyı sağlayan dayanıklı, stratejik bir savunmanın yaratılmasıyla da ilgili.
Risk Yönetimi ile kuruluşlar gerçekten önemli olan konuları daha iyi ele alabilir: kritik varlıklarımızı korumak, operasyonel kesintileri en aza indirmek ve siber güvenlik çabalarımızı iş öncelikleriyle uyumlu hale getirmek.
Not: Bu makale XM Cyber Müşteri Deneyimi Kıdemli Başkan Yardımcısı Shay Siksik tarafından ustalıkla yazılmış ve katkıda bulunmuştur.
Gartner, Inc. Güvenlik Açığı Yönetimini Maruz Kalma Yönetimine Dönüştürme. Mitchell Schneider, Jeremy D’Hoinne, vd. 8 Kasım 2024.
GARTNER, Gartner, Inc. ve/veya bağlı şirketlerinin ABD’de ve uluslararası alanda tescilli ticari markası ve hizmet markasıdır ve burada izin alınarak kullanılmaktadır. Her hakkı saklıdır.