Lisa Xu tarafından [Lisa Xu is CEO of the risk-based vulnerability management platform ]
Kuruluşların güvenlik açığı yönetimine nasıl yaklaştıklarını, saldırı yüzeylerini nasıl denetlediklerini ve riskleri nasıl kontrol ettiklerini daha iyi anlamak için NopSec, günlük zorluklarını, hayal kırıklıklarını ve önceliklerini aydınlatmak ve ölçmek için tasarlanmış sorularla 426 güvenlik uzmanıyla anket yaptı. Bu anketin sonuçlarından, güvenlik ve iş liderleri, olası en iyi risk tabanlı güvenlik açığı yönetimi (VM) programını oluşturmalarına yardımcı olacak değerli bilgiler edinebilir.
Güvenliğin, en iyi güvenlik açığı yönetimi uygulamaları hakkında daha fazla içgörü kazanmasına yardımcı olabilecek, “” raporumuzda ortaya çıkardığımız bazı temel bilgiler.
Risk bazlı önceliklendirme hayati önem taşımaktadır.
Bugün güvenlik açıklarının hacmi, kuruluşların bir “av tüfeği” yaklaşımı benimsemesi ve her şeyi bir kerede düzeltmeye çalışması için çok büyük. Etkili ve sağlam güvenlik, dikkatli bir planlama gerektirir ve her durum, kuruluşun dijital varlıklarına bağlı olarak benzersizdir. İşletmelerin, bilinen kritik güvenlik açıkları arasında bile hangi güvenlik açıklarının kuruluşları için en büyük tehdidi oluşturduğunu belirlemek için tehdit istihbaratı uygulamaları gerekir.
CISA direktörü Jen Easterly, bir House Homeland Security Committee duruşmasında konuşurken işletmelerin bilinen güvenlik açıklarını önceliklendirmesi ve düzeltmesi gerektiğini söyledi. Federal kurumların, federal hükümetin siber güvenlik kusurlarını yönetme şeklini “temelde değiştirdiğini” düzeltme yetkisinin, gemiye alınması gerekenin yalnızca devlet kurumları olmadığını vurguladı.
Easterly, “Her ağ savunucusunun, yayınlanan bilinen güvenlik açıklarını görmesini ve acil düzeltmeye öncelik vermesini şiddetle tavsiye ediyoruz.” Dedi. Easterly, işletmeleri iyileştirme çabalarına öncelik vermeye çağırırken, bunun nasıl yapılacağı her şirkete bırakılmıştır.
Aynı güvenlik açığı bir kuruluştan diğerine bile daha büyük veya daha az riski temsil edebileceğinden, güvenlik açığı yönetiminin geleceği risk tabanlıdır. Basit gerçek, tüm maruziyetlerin eşit yaratılmadığıdır.
Siber güvenlik savunucularının reaktif bir yaklaşımdan güvenlik açığı yönetimine proaktif bir yaklaşıma geçmeyi umabilmelerinin tek yolu, risk tabanlı bir VM programını benimsemektir.
Statüko onu kesmiyor.
Bugün, risk tabanlı bir güvenlik açığı yönetimi programı tasarlamak ve yürütmek, kritik bir görevdir. Tehditlerdeki üstel artışa ve saldırı vektörlerinin artan karmaşıklığına ayak uydurmak için tek umudunuz bu olabilir.
Anketimiz, işletmelerin mevcut teknoloji kadar hızlı hareket etmediğini netleştirdi. Güvenlik ekiplerinin bugün işleri nasıl yaptığı, yarının zorluklarına karşı savunma yapmak için yeterli olmayacaktır. Belirsiz bir geleceğe hazırlanmak, bugünden öngörülü bir liderlik gerektirir.
Yanıtlarıyla, yanıt verenlerin çoğu, onları yönetmenin pratik ve yapılandırılmış bir yolu olmadan bir güvenlik açıkları tsunamisi altında boğulduklarının sinyalini verdi. Yine de başarılı olan bu katılımcılar, güvenlik açıklarını kuruluşlarına karşı oluşturdukları riske göre önceliklendirmeyi öğrendikleri için bunu yapıyorlar.
Saldırı yüzeyleri her zamankinden daha karmaşık.
Bugün, BT altyapılarının çeşitli kombinasyonları (On-Prem, Cloud ve Hybrid) benzersiz marka güvenlik açıklarını ve tehditlerini beraberinde getiriyor. Yalnızca riske dayalı bir yaklaşım, bu çeşitli ortamları anlamlandırabilir ve ileriye doğru kesin bir düzeltme yolu sağlayabilir.
Büyüyen ve merkezi olmayan, hesaba katılması zor saldırı yüzeyleri, “Bilmediğin şeyi koruyamazsın” özdeyişinin geçerliliğini kanıtlıyor. Kuruluşların saldırı yüzeylerini anlamak ve yönetmek için ortamlarındaki tüm çeşitli varlıkların envanterini çıkaran ve rutin olarak yenilerini keşfetmeye çalışan bir araca ihtiyacı vardır.
Ekipler, hiçbir rahatlama belirtisi olmayan bir güvenlik açığı seli yaşıyor.
Verizon’un 2022 Veri İhlali Araştırmaları Raporu (), fidye yazılımı saldırılarındaki yıldan yıla artışın son beş yılın toplamından daha fazla olduğunu buldu. Rapor, fidye yazılımlarının veri ihlallerine katılımının geçen yıl boyunca %13 arttığını belirtiyor.
EC-Council, güvenlik açığı iyileştirmesinin fidye yazılımlarını azaltmadaki rolü hakkında yorum yaparak, “Son zamanlarda yaşanan fidye yazılımı saldırıları önlenebilirdi. İlgili kuruluşlar, fidye yazılımlarıyla ilişkili güvenlik açıklarını gidermiş olsaydı, saldırı yüzeylerini küçültebilirdi.”
Ankete katılanların çoğu, anlamlı düzeltme eylemleri gerçekleştirmek için gerekli önceliklendirme bağlamlarının tümünü tek başına CVE’lerin sağlamadığı bir güvenlik açığı aşırı yüklemesi yaşıyor. Birçok şirket için bilinen tüm güvenlik açıklarını hemen ele almak bir seçenek değildir. Yalnızca riske dayalı bir önceliklendirme planı, kendilerine sunulan güvenlik açığı yönetimi kaynaklarının etkinliğini en üst düzeye çıkarmalarını sağlayacaktır.
Sofistike saldırılar, sofistike çözümler gerektirir.
Kuruluşlar reaktif olmaktan proaktif olmaya geçmelidir. Bunu yapmanın yolu, güvenliğe saldırgan bir yaklaşım getirmektir. Saldırgan bir yaklaşım, geçmişin güvenlik pratisyenlerinden tamamen farklı bir zihniyet gerektirir.
Zafiyet yönetimi tek bir teknoloji ile etkin bir şekilde gerçekleştirilmemektedir. Modern güvenlik zorluklarını karşılayan gelişmiş koruma, tarayıcılardan gelen girdileri, tehdit istihbaratı beslemelerini, bir EDR çözümünü, ASM ve BAS teknolojisini bir araya toplanmış olarak içermelidir.
Başarılı bir risk tabanlı VM programı, birlikte iyi entegre olan teknolojileri kullanır. Tek bir merkezi platforma ne kadar çok veri besleyebilirseniz o kadar iyi. Ayrı sistemlerde çalışmaktan kaçındığınızda, güvenlik ekiplerinin iş akışını kolaylaştırır, zamandan ve enerjiden tasarruf sağlar.
Çözüm
Güvenlik uygulayıcısının işi, güvenlik açıklarına öncelik vermekle bitmez. Bir güvenlik açığı hala bir tehdittir ve düzeltilene ve azaltılana kadar kuruluşun riskini artırır. Bu nedenle risk tabanlı bir VM çözümü, güvenlik ekipleri ile ITO’lar arasındaki boşluğu doldurabilir.
En iyi güvenlik uygulamaları, VM platformunuzun ITOps ekibinizin bilgi teknolojisi hizmet yönetimi (ITSM) çözümüyle entegre olmasını zorunlu kılar. Hem güvenlik ekibi hem de ITOps ekibi için karşılıklı olarak sorumlu SLA’lar, herkesin neyin beklendiğini ve başarının veya başarısızlığın nasıl göründüğünü bilmesini sağlayacaktır. Bu, yarının siber güvenlik zorluklarını ele almanın en iyi yoludur.
reklam