Bu yardımda net güvenlik röportajında, Gigamon Başkanı ve CEO’su Shane Buckley, araç şişmesi ile mücadele etmenin neden daha sıkı bütçelerle ve genişleyen güvenlik yığınlarıyla karşılaştıkça CISOS için en önemli öncelik olduğunu tartışıyor.
Buckley, gözlemlenebilirliğin güvenlik operasyonlarını nasıl kolaylaştırabileceği, maliyetleri optimize edebileceği ve derinlemesine bir savunma stratejisini nasıl güçlendirebileceğine dair fikirleri paylaşıyor.
Birçok CISO, güçlü savunmaları sürdürürken güvenlik bütçelerini azaltma baskısı altındadır. Mücadele aracı şişmesi neden bu yıl en önemli öncelik olmalı?
Cisos sürekli olarak daha azıyla daha fazlasını yapma zorluğuyla karşı karşıyadır. Hem ön uç hem de arka uç tehditlerine karşı koruyan katmanlı bir siber güvenlik yaklaşımı olan derinlemesine bir savunma stratejisi uygulamakla görevlendirilirler. Kuruluşlar hibrit ve çoklu kavurucu altyapılarını benimsedikçe, AI’yı entegre ettikçe, güvenlik aracı yığınlarını genişlettikçe ve artan yönetim zorluklarında gezintikçe bu görev giderek karmaşıklaşıyor.
Cisos’un karşılaştığı en büyük zorluklardan biri, araç şişkinliği veya maliyetleri artırabilen, verimsizlik yaratabilecek ve entegrasyonu karmaşıklaştırabilen gereksiz veya az kullanılan güvenlik araçlarının birikmesidir. 2024’te Tool Bloat ilk beş CISO endişesi arasında yer aldı. Güvenlik araçları katmanlama savunmaları güçlendirmeyi amaçlarken, genel güvenliği zayıflatabilecek parçalanma, silolar ve kör noktalara yol açabilir. Bu parçalanma nihayetinde derinlemesine bir savunma stratejisini tehlikeye atabilir ve ihlal riskini artırabilir.
Bunu ele almak için kuruluşlar, hareketteki tüm verilere tam görünürlük kazanmaya, Doğu-Batı (lateral) hareketini izlemeye ve ağ tabanlı meta veri yoluyla telemetrinin sadakatini geliştirmeye öncelik vermelidir. Derin gözlemlenebilirlik, günlük ve ağ telemetri verilerinin entegrasyonu, yalnızca güvenlik aracı yığınlarını ve verimliliği arttırmakla kalmaz, aynı zamanda karmaşıklığı da azaltır-her aracı, derinlemesine bir savunma stratejisine anlamlı bir katkı sağlar.
Araçlar arasında en fazla fazlalığı veya örtüşmeyi gördüğünüz belirli güvenlik alanları var mı?
Araç örtüşmesi genellikle gözlemlenebilirlik ve güvenlik bilgileri ile olay yönetimi (SIEM) araçları arasında meydana gelir. Kuruluşlar, metrik, olay, log ve izleme (eriyik) verilerini ağdan türetilen telemetri ile entegre ettiklerinde her ikisinin değerini en üst düzeye çıkarabileceklerini fark ederler. Bu güçlü kombinasyon, bir ihlal riskini artırabilecek zayıf şifreler ve süresi dolmuş sertifikalar gibi daha önce görülmemiş güvenlik açıklarını ortaya çıkarmak için gereken derin gözlemlenebilirliği sağlar.
Kuruluşların hangi araçları saklayacağını, değiştireceğinizi veya ortadan kaldıracağınızı değerlendirirken kullanması gereken en iyi uygulamaları veya çerçeveleri paylaşabilir misiniz?
Mevcut güvenlik ve gözlemlenebilirlik araçlarının değerini en üst düzeye çıkarmak için kuruluşlar, veri içi verilerin derinlemesine gözlemlenebilirliğe ve analiz için araçlara gönderilen veri akışlarını optimize etme yeteneğine ihtiyaç duyarlar. Bu, yinelenen veya alakasız verileri azaltır ve potansiyel olarak birden fazla araç örneğine olan ihtiyacı azaltır. Ağ trafiğini bir kez analiz ederek ve birden fazla araca dağıtarak kuruluşlar, güvenlik yığınları genişledikçe artan bir zorluk olan verimliliği artırabilir ve ajan şişesini azaltabilir.
Araç kullanımını optimize etmek için anahtar adımlar:
- Bir araç envanteri yapın – Tüm güvenlik ve gözlemlenebilirlik araçlarını, maliyetlerini ve işlevlerini değerlendirin.
- Benchmark performansı – Güvenlik duruşunu güçlendiren araçlara ve fazlalıklara neden olan araçları belirleyin.
- Entegrasyona öncelik ver – Geniş kapsama alanı sağlayan ve iyi entegre olan araçları seçin, sessiz nokta çözümlerinden kaçının.
Bu proaktif adımları atmak, her bir aletin katmanlı bir güvenlik modelinde belirgin bir rol oynamasını ve maliyet verimliliğini ve operasyonel etkinliği artırırken derinlemesini güçlendirmesini sağlar.
Kuruluşlar, özellikle farklı işlevleri daha az platformda birleştirirken, araç azaltmanın güvenlik boşluklarına yol açmamasını nasıl sağlayabilir?
Kuruluşlar azaltma üzerinden araç optimizasyonuna öncelik vermelidir. Organizasyonlar, eriyik verileri ağdan türetilen telemetri ile entegre ederek ve güvenlik ve gözlemlenebilirlik araçlarına verimli bir şekilde sunarak, ağ trafiği, bulut ortamları ve uç noktalar arasında derin bir gözlemlenebilirlik kazanırlar. Bu ek bilgi, güvenlik kapsamının daha etkili bir şekilde haritalanmasına yardımcı olur ve gereksiz araçların ortadan kaldırılmasına yardımcı olur.
Ancak, konsolidasyon devam eden bir süreç olmalıdır. Güvenlik liderleri, araç konsolidasyonu ve optimizasyonundan çok sonra güvenlik etkinliğini korumak için araç yığınlarını sürekli olarak izlemeli ve değerlendirmelidir.
İyileştirilmiş ağ görünürlüğü, gereksiz güvenlik araçlarına olan ihtiyacı azaltmaya nasıl yardımcı olur?
Sınırlı görünürlük genellikle kuruluşları örtüşen araçları dağıtmaya iter. Bu araçlar düzgün bir şekilde enstrüman olmamış göz önüne alındığında, ilgili tüm trafiği görmezler ve güvenlik duruşundaki boşluklara neden olurlar. Derin gözlemlenebilirlik, sadece kuzey-güney değil, aynı zamanda doğu-batı (lateral) hareketi de, hibrid bulut ortamlarında hareketteki tüm verilere kapsamlı bir görünüm sağlayarak bu ihtiyacı ortadan kaldırır.
Bunun temel sonuçları şunları içerir:
- Proaktif Tehdit Tespiti -Yanal (Doğu-Batı) hareketi birçok güvenlik ekibi için kör bir yerdir. Derin gözlemlenebilirlik, daha hızlı tehdit tespiti ve yanıtı sağlar.
- Gereksiz araçlarda azalma -Hareket halindeki tüm verilere birleşik, gerçek zamanlı bir bakış, gereksiz izleme araçlarına olan ihtiyacı azaltır.
- Gelişmiş operasyonel verimlilik -Ağdan türetilen telemetri, parçalanmış, örtüşen araçlara güvenmeyi ortadan kaldırarak eyleme geçirilebilir içgörüler sunar.
Derin gözlemlenebilirlik kazanarak, kuruluşlar takım yığınlarını kolaylaştırabilir ve sağlam bir derinlemesine savunma stratejisi uygulayabilir.