Siber güvenlik sürtünmesi genellikle bir kullanıcı sorunu olarak çerçevelenir: çalışanları hayal kırıklığına uğratan şifre politikaları, girişleri yavaşlatan MFA veya işçileri gölgenin kollarına gönderen uygulamaları engeller. Ancak perde arkasında farklı bir sürtünme var ve güvenlik ekiplerine vuruyor.
Olay yanıtı, tehdit avı ve günlük görevler sırasında ortaya çıkar. Çok fazla aletin, sert onay zincirlerinin ve kimin neye sahip olduğu konusunda netlik eksikliği. İroni görmezden gelmek zor. Organizasyonu güvence altına almak adına, güvenlik ekipleri kendi sistemleri tarafından yavaşlayabilir.
Çekirdekte sürtünme
Sorun karmaşıklıkla başlar. Güvenlik yığınları yoğunlaştı ve EDR, SIEM, SOAR, CASB ve DSPM gibi araçlar her zaman iyi entegre değil. Analistlerin genellikle bir uyarının önemli olup olmadığını doğrulamak için birden fazla gösterge panosu arasına atlamaları gerekir. Ayarlama sistemleri, birçok takımın sahip olmadığı zaman ve kaynaklar alır. Böylece uyarılar yığılır ve analistler hayaletleri kovalayan enerji harcarlar.
Sonra süreç sürtünmesi var. Birçok kuruluşta, güvenlik eylemleri, özellikle üretim sistemlerini etkileyenler, birden fazla onay gerektirir. Kağıt üzerinde, bu riski azaltmak içindir. Ancak bu gecikmeler, bir olay içerecek pencerenin eksikliği anlamına gelebilir. Saldırganlar dakikalar içinde hareket ettiklerinde, güvenlik ekipleri bir oturum açmasını beklememelidir.
Bu tür bir yavaşlama, rutin erişim talepleri sırasında bile gerçekleşir, çünkü FIRIMON’da ürün yönetimi direktörü Daniel Rheault şöyle açıklıyor: “NetSec ekipleri genellikle ‘App-portal.corp.local’ veya ‘Açık TCP Port 1433 için açık TCP bağlantı noktası 3389’u raporlama-db.corp.local.’ Geliştiriciler, ağlarda değil, ana bilgisayar adları ve roller halinde düşünürler, bu nedenle bağlantı noktasının sadece kurumsal bir VPN tüneli, MFA (veya diğer koşullu erişim kontrolleri) ile sertleştirilmiş bir atlama ana bilgisayar (veya belirli bir CIDR – ya da işletme sahibinin önemli risk göz önüne alındığında erişilebilir olup olmadığını nadiren belirlerler. ”
Bu bağlam olmadan, ekipler hızlı hareket edemez. Rheault devam ediyor: “Bu belirsizlik, e-posta veya gevşeklik üzerinden iki ila üç ekstra açıklama döngüsünü zorlar. Bu ileri-geri dönme günler kolayca günler ekleyebilir, çünkü VPN yolu, çok faktörlü kimlik doğrulama, IP kısıtlı ACL’ler, kütük gereksinimleri ve imzalama yetkisi tanımlanana kadar hiçbir kural uygulanamaz.”
Erişim verildiğinde bile, sürtünme genellikle daha sonra yeniden ortaya çıkar:
“Yinelemeli açıklamanın her günü, başvuru işlevselliğini geciktirir ve Netsec’i, gerekli tüm kontrollerin ilerlemeden önce yerinde olduğunu doğrulamak için zaman harcamaya zorlar. Bu sorun, yalnızca erişim personel değiştikten sonra periyodik uyumluluk zorunlu inceleme gerektirdiğinde çoğalır. Yeni bir işletme sahibine risk kabulü için isteği yeniden eşleştirmek ayrı bir egzersiz haline gelir ve tüm açıklama sürecini yeniden başlatır.”
Bu tür rutin belirsizlikler, güvenlik ekiplerini sadece acil müdahale değil, temel iş etkinleştirmesini yavaşlatarak kalıpları tutmaya zorlar. Zamanla bileşik olan sistemik bir konudur.
Mülkiyet de bulanıklaşıyor. Yama yapmaktan kim sorumlu? Kırılmaya değer bir güvenlik açığı olarak ne sayılır? SOC doğrudan ona yükselmeli mi yoksa CISO’nun ofisinden mi geçmeli mi? Beklentiler belirsiz olduğunda, eller dağınık olur. Ve eller dağınık olduğunda, yanıt süreleri yavaşlar. Bunların bir kısmı örgütsel yayılmadır, bazıları güvenliğin doğal sonucu, onu göz önünde bulundurularak tasarlanmamış yapılara cıvatalandırır.
Kültür kilo katar
Bir insan unsuru da var. Bazı takımlarda, söylenmemiş bir dikkat kültürü var: onaylandığından emin olmadığınız sürece harekete geçmeyin. Bu zihniyet aşırı erişime karşı korur, ancak aynı zamanda başkalarına da bir bağımlılık yaratır. Genç analistler her şeyi yukarı doğru yönlendirir ve deneyimli personel biletleri incelemek için sorunları çözmekten daha fazla zaman harcarlar. Tüm ekip daha yavaş hareket etmeye başlar.
Tükenmişlik başka bir katman ekler. Sürtünme sabit olduğunda, moral acı çeker. Analistler, sistemin değişime direneceğini varsaydıkları için düzeltmeler için itmeyi bırakabilirler. Sürtünme normalleşir, işlerin nasıl çalıştığının bir parçasıdır. Bu tehlikeli çünkü gerçek bir gelişmeyi hayal etmeyi zorlaştırıyor.
Transcend’de ikamet eden CISO Aimee Cardwell, yardım net güvenliğine, zorluğun bir kısmının güvenlik kültürünün nasıl geliştiğinde yattığını söyledi.
“Güvenlik kültürü biraz rönesans geçiriyor. Güvenlik ekibinin her üyesi, iç sürtünmeye neden olabilecek bu dönüşümü üstlendiğimizde farklı bir yerde olabilir. Güvenlik, çevre güvenliğini güvence altına almak ve insanların büyümenin bir parçası olmasını sağlayamamasını sağlamak için, çevre ve özel ekiplerin, şirketin de desteklemesi gerekmediğini, ancak işin bir parçası olmasını sağlamakla görevlendirildi. en önemli önceliktir, o zaman güvenlik profesyonellerinin bu varlıkları güvence altına almak için yeni araçlara ve süreçlere ihtiyaçları vardır. ”
Sürtünmenin azaltılmasının kontrolleri zayıflatmak anlamına gelmediğini de sözlerine ekledi.
“CISOS’un sürtünmeyi azaltabilmesinin bir yolu, ortak veri görünürlüğü yaratmak ve daha sonra politikayı entegrasyonlar yoluyla değil, entegrasyonlar yoluyla sistem düzeyinde uygulamak için işletmenin geri kalanıyla (özellikle gizlilik ve dijital ekipler) çalışmaktır. Güvenlik ve gizlilik ortak bir gerçek kaynağından çalıştığında, aynı zamanda sürtünme ve riski azaltırsınız.”
Pervasızlık olmadan hız
Bu tür bir sürtünmeyi düzeltmek tüm kontrollerin kaldırılması anlamına gelmez. Bazı onaylar gereklidir, ancak CISOS her işlem katmanının değer katıp katmadığını veya sadece gecikme eklediğini sormalıdır. Birçok durumda, hız ve güvenlik çatışmada değildir. Eksik olan güvendir.
Bu güven yönergelerle oluşturulabilir. Her muhafaza eylemi için imzalamak yerine, eşikleri tanımlayan bir çerçeve oluşturun. Bir tehdit belirli kriterleri karşılıyorsa, SOC beklemeden hareket edebilir. Bu, eylemleri sorumlu tutarken işleri hızlandırır.
Ayrıca takımların yeniden incelemesine yardımcı olur. Algılama yığınınız sinyalden daha fazla gürültü oluşturuyorsa, konsolidasyonu veya daha iyi entegrasyonu düşünün. Daha fazla araç her zaman daha iyi değildir. Amaç, sonsuz bir telemetri akışı değil, bağlam açısından zengin uyarılar ve triyaj olmalıdır.
Rollerdeki netlik de aynı derecede önemlidir. Güvenlik, BT ve mühendislik ekiplerinin paylaşılan oyun kitaplarına ve düzenli temas noktalarına ihtiyacı vardır. Bir SOC analisti tam olarak kimi arayacağını biliyorsa ve o kişi harekete geçme yetkisine sahipse, yanıt süreleri küçülür. Bu sadece hiyerarşi ile ilgili değil. Belirsizliği ortadan kaldırmakla ilgilidir.
Kültür değişikliği daha uzun sürer, ancak tonu ayarlamakla başlar. Liderlikten gelen mesaj “İhtiyacımız olduğunda hızlı hareket ediyoruz” ise, ekipler uyum sağlayacaktır. “Anlatılmadıkça hiçbir şeye dokunmayın” ise sürtünme kalır. Cisos her savaş odasında olamaz, ancak bu odaların izlediği normları şekillendirebilirler.
Gizli risk
Dahili sürtünme nadiren manşetler yapar. Hiçbir saldırgan bir yama döngüsünü yavaşlatmak veya bilet sırasını tıkamak için kredi talep etmez. Ancak bu gecikmelerin gerçek sonuçları vardır. Tespit ve yanıt arasındaki boşluğu genişletirler. Saldırganlara pivot için zaman veriyorlar ve işleri savunmak amacıyla ekiplerin güvenini aşındırıyorlar.
Cisos için bu bir uyandırma çağrısı olmalı. Savunma baskısı esneklik pahasına gelmemelidir. Bazı durumlarda, dahili sürüklemeyi azaltmak, güvenliği artırmak için başka bir savunma katmanı eklemekten daha fazlasını yapabilir.
Siber güvenlik zaten zor bir iş. Bir CISO’nun ihtiyaç duyduğu son şey, kendi yoluna giren bir güvenlik programıdır.