Güvenlik liderlerinin% 61’i, son 12 ay içinde başarısız veya yanlış yapılandırılmış kontroller nedeniyle ihlal ettiğini bildirmiştir. Bu, ortalama 43 siber güvenlik aracına sahip olmasına rağmen.
Bu büyük güvenlik başarısızlığı oranı açıkça bir güvenlik yatırımı sorunu değildir. Bu bir yapılandırma problemidir. Kuruluşlar, kurulan veya dağıtılan bir güvenlik kontrolünün, gerçek dünyadaki tehditlere karşı savunacak şekilde yapılandırılmış bir güvenlik kontrolü olmadığını anlamaya başlamaktadır.
Son Gartner® Raporu– Güvenlik kontrolleri optimizasyonu ile tehdit maruziyetini azaltın, niyet ve sonuç arasındaki boşluğu ele alır. Zor bir gerçeği tartıştığını düşünüyoruz: Sürekli doğrulama ve ayar olmadan, güvenlik araçları yanlış bir güvenlik duygusu sunar.
Bu makalede, kontrol etkinliğinin neden siber güvenlik başarısı için yeni bir ölçüt olması ve kuruluşların bu değişimi nasıl yapabileceğine dair derin bir dalış yapacağız.
Araç kapsamı efsanesi
Daha fazla araç satın almak uzun zamandır siber güvenlik performansının anahtarı olarak kabul edilmektedir. Yine de gerçekler farklı bir hikaye anlatıyor. Gartner raporuna göre, “Teknik güvenlik kontrollerinin yanlış yapılandırılması, saldırıların devam eden başarısının önde gelen bir nedenidir.”
Birçok kuruluşun etkileyici güvenlik duvarları, uç nokta çözümleri, kimlik araçları, SIEM’ler ve diğer kontroller envanterleri vardır. Yine de ihlaller devam ediyor, çünkü bu araçlar genellikle yanlış yapılandırılmış, zayıf entegre veya gerçek iş risklerinden koparılmıştır.
Örneğin, California Blue Shield’daki 2024 ihlali’nde, bir web sitesi yanlış yapılandırması, Google reklamları aracılığıyla sızan 4.7 milyon üyeden gelen kişisel verilere yol açtı. Bu başarısızlık, yanlış konuşlandırılırsa veya yapılandırılmışsa, günlük araçların bile organizasyonel güvenliği ve uyumluluğu zayıflatabileceğini ortaya çıkardı.
Yine de güvenlik araçlarının varlığı ve etkinlikleri arasındaki boşluğu kapatmak, düşüncede temel bir değişim ve uygulamada daha da temel bir değişim gerektirir.
Etkinliğini kontrol etmek için organizasyonel değişimi yapmak
Gerçek kontrol etkinliğine doğru ilerlemek, birkaç teknik ayardan daha fazlasını gerektirir. Gerçek bir değişim gerektirir-zihniyette, günlük uygulamada ve organizasyondaki ekiplerin birlikte nasıl çalıştığı. Başarı, güvenlik ekipleri, varlık sahipleri, BT operasyonları ve iş liderleri arasındaki daha güçlü ortaklıklara bağlıdır. Özellikle varlık sahipleri, kritik bilgileri tabloya getirir – sistemlerinin nasıl inşa edildiği, hassas verilerin nerede yaşadığı ve hangi süreçlerin başarısız olamayacak kadar önemli olduğu.
Bu işbirliğini desteklemek aynı zamanda ekipleri nasıl eğittiğimizi yeniden düşünmek anlamına gelir. Güvenlik profesyonellerinin teknik becerilerden daha fazlasına ihtiyaçları vardır – korudukları varlıkların daha derin bir şekilde anlaşılmasına ihtiyaç duyarlar, bu varlıkların desteklediği işletme hedefleri ve onları etkileyebilecek gerçek dünya tehditleri.
Ve bu sadece daha iyi ekip çalışması veya daha iyi eğitim ile ilgili değil. Kuruluşlar ayrıca kontrollerinin gerçekten işi yapıp yapmadığını ölçmek için daha iyi yollara ihtiyaç duyarlar. Sonuç odaklı metrikler (ODM’ler) ve koruma seviyesi anlaşmaları (PLA’lar) devreye girer. ODM’ler yanlış yakınlaştırmaların ne kadar hızlı sabitlendiğini ve gerçek tehditlerin ne kadar güvenilir bir şekilde tespit edildiğini gösterir. PLAS, savunmaların belirli risklere karşı nasıl performans göstermesi gerektiğine dair açık beklentiler belirledi.
Birlikte, bu ölçümler güvenliği bir güven meselesinden bir kanıt meselesine taşımaktadır. Kuruluşların zamanla ölçebilecekleri, yönetebilecekleri ve geliştirebilecekleri esneklik oluşturmalarına yardımcı olurlar.
Sürekli optimizasyon yeni normaldir
Güvenlik etkinliğini ölçmek kritik bir ilk adımdır – ancak bunu korumak gerçek zorluğun başladığı yerdir. Güvenlik kontrolleri statik değildir. Tehditler geliştikçe ve işletmeler değiştikçe etkili kalmak için düzenli ayarlamaya ihtiyaç duyarlar. Gartner’ın belirttiği gibi, “Teknik Güvenlik Kontrollerinin Optimal Yapılandırması, bir set-forget veya varsayılan ayar değil, hareketli bir hedeftir.”
Yapılandırmayı tek seferlik bir proje olarak ele alan ekipler kendilerini geride bırakıyorlar. Yeni güvenlik açıkları ortaya çıkıyor, saldırganlar taktiklerini değiştiriyor ve bulut ortamları yıllık denetimin ayak uydurabileceğinden daha hızlı gelişiyor. Bu ortamda, sistemleri çeyrek bir kez yamalamak veya yılda bir kez ayarları gözden geçirmek yeterli değildir. Sürekli optimizasyon günlük günün bir parçası olmalıdır.
Bu, geri çekilmeyi ve zor soruları sormayı alışkanlık haline getirmek anlamına gelir: Kontrollerimiz hala en önemli olanı koruyor mu? Tespit kurallarımız bugün karşılaştığımız tehditlere ayarlanmış mı? Telafi önlemlerimiz hala doğru boşlukları kapatıyor mu – yoksa senkronizasyondan mı çıktılar?
Savunmaları keskin tutmak sadece teknik güncellemeler uygulamakla ilgili değildir. Gerçek dünyadaki tehdit istihbaratını entegre etmek, risk önceliklerini yeniden değerlendirmek ve operasyonel süreçlerin güvenliği güçlendirdiğinden emin olmak – yeni zayıflıklar getirmemekle ilgilidir. Güvenlik etkinliği bir kez kontrol ettiğiniz bir kutu değildir. Tekrar tekrar inşa ettiğiniz, test ettiğiniz ve rafine ettiğiniz bir şey.
Etkililik için Bina: Neyin Değişmesi Gereken
Güvenlik kontrollerini gerçekten etkili hale getirmek, kuruluşların nasıl düşündüğü ve çalışma konusunda daha geniş bir değişim gerektirir. Güvenlik optimizasyonu, sistemlerin nasıl tasarlandığı, çalıştırıldığı ve korunduğu – ayrı bir işlev olarak ele alınmamasına yerleştirilmelidir.
Gartner, “hiçbir güvenlik ekibinin tek başına tam olarak etkili olamayacağını” belirtiyor. XM Cyber’in görüşüne göre, bu, güvenliğin bir takım sporu olması gerektiği anlamına geliyor. Kuruluşların güvenlik mühendislerini, BT operasyonlarını, varlık sahiplerini ve iş paydaşlarını bir araya getiren işlevler arası ekipler oluşturmaları gerekir. Etkili optimizasyon, sadece kontrollerin nasıl çalıştığını değil, neyi koruduklarını, bu sistemlerin nasıl davrandığını ve gerçek iş risklerinin nerede olduğunu anlamaya bağlıdır.
Güvenlik kontrol çabalarının daha geniş bir sürekli maruz kalma yönetimi programı ile hizalanması, zaman içinde iyileştirilebilir ve yapılandırılmış bir yol oluşturmaya da yardımcı olur. Bir ihlalden sonra boşluklara tepki vermek yerine, kuruluşlar zayıflıkları proaktif olarak tanımlayabilir, ince ayar kontrollerini ve sadece teorik kapsamı değil, gerçek risk azaltmaya karşı ilerlemeyi ölçebilir. (Sürekli pozlama yönetim platformunun nasıl oluşturulacağı hakkında daha fazla bilgi edinmek ister misiniz? Kılavuzumuzu buradan okuyun!)
Sonuçta
Güvenlik asla doğru araçlara sahip olmakla ilgili olmamıştı. Bu araçların en önemli tehditlere hazır olup olmadığını anlamakla ilgilidir. Kontrol varlığı ile kontrol etkinliği arasındaki boşluğun kapanması teknik düzeltmelerden daha fazlasını gerektirir. Kuruluşların başarıyı nasıl düşündüğü, çalışması ve ölçmesinde bir değişiklik gerektirir.
Görüşümüze göre, Gartner’ın bu yeni araştırması mesajı açıklığa kavuşturuyor: Statik savunmalar dinamik risklere ayak uydurmayacak. Sürekli optimizasyonu benimseyen – kontrolleri ayarlama, performansı doğrulama ve güvenliği gerçek iş öncelikleri ile hizalama – esnek kalan kuruluşlar olacaktır.
En azından siber güvenlik söz konusu olduğunda hala geride duruyor. Gelecek, güvenliği her gün ölçülmüş, ayarlanmış ve kanıtlanmış bir yaşam sistemi olarak ele alan kuruluşlara aittir.
Not: Bu makale, XM Cyber Ürün Pazarlama Direktörü Dale Fairbrother tarafından ustaca yazılmış ve katkıda bulunmuştur.