YORUM
Yüzlerce güvenlik ekibiyle konuşma zevkine sahip oldum ve gördüğüm en büyük hata, çoğu zaman araç satın almayı program yönetimiyle karıştırdıkları, yani aracın programın bir parçası olduğunu düşünmek yerine, çoğu zaman programı yönlendiren aracı düşündükleridir. programın. Güvenlik ekipleri, araca odaklanmak yerine, bir güvenlik programının kendileri için ne anlama geldiğine ve neyi başarmaya çalıştıklarına odaklanmalıdır. Aşağıda siber güvenlik stratejinizi geliştirebilecek öngörüleri paylaşıyorum.
Siber Güvenlik Araçlarına İlişkin Yanılgılar ve Sınırlamalar
Bir programın uçtan uca planlanmaması başarısızlığa yol açabilir. Bir şeyi tespit edebilmek ama bu konuda hiçbir şey yapmamak işe yaramaz. Güvenlik ekipleri sıklıkla bir güvenlik aracının kapsamlı bir güvenlik programı olduğu yanılgısına düşer. Ama onları suçlayabilir miyiz?
Siber güvenlik araçları ilgi çekici olacak şekilde paketlenmiştir: şık kontrol panelleri, entegrasyonlar, API'ler, çoklu dil desteği, her şeyi bulma vaadi. Bu özellikler güvenlik açısından kesin bir bahis yanılsaması verir. Güvenlik ekipleri bu araçları, bahislerinin karşılığını alacağını umarak, sonra umarak, en sonunda da yalvararak satın alır.
Bilinen Hata İhlali
Kuruluşların bir yazılım güvenlik açığını düzeltmek için rutin olarak haftalar veya aylara ihtiyacı vardır. Daha da şaşırtıcı olanı, üçte birinde güvenlik ihlalleriBekleyen güvenlik düzeltmesi, kötüye kullanılmadan önce biliniyordu. Neden? Bu genellikle anlamlı bir güvenlik açığı yönetim programı yürütememek ve paydaşların desteğini alamamak nedeniyle güvenlik bildirimlerinin öncelik kazanmasından kaynaklanır.
Etkili Siber Güvenlik Programları Oluşturmak İçin En İyi Uygulamalar
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) bir güvenlik programı “Kurumsal risk yönetimi kararlarını desteklemek için bilgi güvenliği, güvenlik açıkları ve tehditlere ilişkin sürekli farkındalığı sürdürmek olarak.” Bir güvenlik programı şu sorulara yanıt verir: neden bu, bu konuda ne yapılmalı, ne zaman, nasıl ve kim. Bu yanıtları herkesin takip edeceği politikalara ve talimatlara dönüştürerek basitleştirir.
Eski bir bilgi güvenliği sorumlusu (CISO), “Benim kuruluşumda,” dedi, “araç için bir iyileştirme planı oluşturulana kadar herhangi bir aracın satın alınmasına yeşil ışık yakmadık.” Bu eski CISO, güvenliği iyi yönetmenin, güvenlik programını yönetmek, bunun da bir güvenlik kültürünü yönetmek, sürdürmek ve oluşturmak olduğunu anlıyor. Etkili olabilmek için güvenlik programını işin her katmanına yerleştirmelisiniz.
Tavsiyem: SAST gibi bir araç satın almadan önce bir güvenlik programının temelini atın.
O kadar çok tehdit modeli ve tanımı var ki, bunaltıcı olabiliyor. Bunun yerine, başlamayı basit tutun. Bu denenmiş ve doğrulanmış formülü kullanın:
program = araç + insanlar + süreçler + hedefler
Bunu yaparsanız, bir aracın program olduğu yanılgısını ortadan kaldırmış olursunuz. Bu en iyi uygulamalar, dayanıklı, uyarlanabilir ve hataları düzeltebilen daha etkili siber güvenlik programlarını destekler.
Sonraki iki bölümde bu denklemin yanlış anlaşılabilecek iki önemli ve çoğunlukla gözden kaçan kısmına değinmek istiyorum.
Güvenlik Programlarında Paydaş Katılımı
Paydaş katılımı bir güvenlik programı için çok önemlidir. Bir güvenlik ekibinin başarısının büyük çoğunluğu, mühendislik ekipleri gibi kilit paydaşlarla elde ettikleri ilişkilere ve sahiplenmelerine dayanır. Paydaşların katılımını ve taahhüdünü unutmak, satın almaların büyük çoğunluğunda başarısızlığa yol açacaktır.
Paydaş katılımı, herkesin siber güvenliğin önemini anlamasını sağlar ve belirsizliği ortadan kaldırır. Güvenlik programı, her bireyin güvenlikteki rolünü ve bu rolü yerine getirmenin önemini anlamasına yardımcı olur. Bir SAST aracının uygulanması durumunda, mühendislik ekibinizin desteğinin olmaması, bu konuda harekete geçemeyeceğiniz için bir güvenlik açığı sayımına gireceğiniz anlamına gelir.
Güvenlik Açığı Yönetimi
Güvenlik açığı yönetimi, güçlü bir güvenlik programının temel bileşenidir ve genellikle çoğu güvenlik aracına uygulanabilir. Yalnızca en büyük kuruluşların özel bir güvenlik açığı yöneticisi kiraladığını ve çoğu kuruluşta bu güvenlik açıklarına sahip olan ve bunları yönlendiren birinin bulunmadığını gördük.
Güvenlik açığı yönetimi, sistemdeki güvenlik açıklarının tanımlanmasını, değerlendirilmesini, önceliklendirilmesini ve ardından ele alınmasını içerir. Bu, düzenli izleme ve güncelleme gerektiren sürekli bir süreçtir.
Örneğin, bir SAST aracından kod güvenlik açıklarını düzeltirken, güvenlik açığı yönetimi için esas olan, düzeltme ve daha sonra önlemedir. Proaktif çabalar hakkında pek çok bilgi var. Buraya ekleyebileceğim en büyük katkı, güvenlik açığı yönetimi programınızın hızlı olgunlaşmasını, yani otomatik iyileştirmeyi sağlamak için en son araçları kullanmaktır. Yapay zekadaki son gelişmeler ekiplerin emsalleri gibi davranmasını sağladı. Örneğin, ürün yöneticileri artık veri bilimi görevlerini gerçekleştirebilir. Ayrıca yapay zeka, ekiplerin savunmasız kaynak kodunu otomatik olarak düzeltmesine olanak tanıyor. Güvenlik ekipleri çabalarını tek başlarına ölçeklendiremez. Programları yönlendirmelerine yardımcı olacak eylem ve sistemlere yatırım yapmaları gerekiyor.
Çözüm
Siber güvenlik araçları sağlam bir güvenlik programının yerini alamaz. Hiç kimse inşaat aletleri satın alıp, ister istemez inşaata başlamaz. Bir plan olmadan, vidalanmış vidalar, dövülmüş çiviler ve kesilmiş tahtalardan oluşan kaotik bir montajla karşı karşıya kalacaklardı. Bu üretkenlik değil. Yoğun bir iş. Ne yazık ki arkasında sağlam bir plan olmayan bir araç da aynı yolu izleyebilir. Bir güvenlik programı, güvenlik araçlarının etkili olmasını ve kuruluşunuz için değer sunmasını sağlar ve sonuçta kuruluşunuzun güvenliğini artırır.