Alex Yampolskiy, SecurityScorecard'ı yönetmeseydi muhtemelen New York City'de bir parkta oturup satranç oynuyor olacağını söylüyor. Rus-Ukraynalı ailesi o gençken ABD'ye göç ettiğinden beri New York uzun yıllardır onun evi olmuştur.
Satranç dehası daha gençliğinde bile siber güvenlik açığına yakalanmıştı. Yampolskiy'nin güvenlik yolculuğu, 12 yaşındayken bir arkadaşının ona klasik video oyununun bir kopyasını içeren 3,5 inçlik bir disketi vermesiyle başladı. Persia Prensi. Ve bir virüs.
“Sanırım günümüzde insanlar disketlerin ne olduğunu hatırlamıyorlar. Ama onu bilgisayarıma atıp ona bir virüs bulaştırdığımda, bunun ne halt olduğunu bulmam gerektiğini düşündüm. Bilgisayarların hatalı davranmasını nasıl sağlarsınız? Arkadaşıma geri dönmek istedim” diyor.
“Ve nasıl şifre kırılacağını, bilgisayarlara nasıl girileceğini öğrenmeye başladım. Daha sonra siber güvenliğe gerçekten aşık oldum.”
Yampolskiy ABD'ye vardığında ilgisinin peşinden gidebildi. Üniversiteye gitti ve daha sonra Yale Üniversitesi'nden kriptografi alanında doktorasını aldı; burada beş yılını tezini tamamlayarak ve şu anda blockchain teknolojisinin bir parçası olan kavramlar üzerine araştırmalar yürüterek geçirdi.
Yampolskiy, “Sadece akademik makaleler yayınlamak yerine bir şeyler inşa etmek ve onları hayata geçirmek istedim, bu yüzden sektöre girdim” diyor. “Oracle ve Goldman Sachs gibi şirketlerde çalıştım. Daha sonra baş güvenlik görevlisi oldum [CSO] Gilt Groupe adlı bir şirkette [a US-based members-only online retailer]SecurityScorecard fikrinin doğduğu yer burasıdır.”
Aslında işin doğuşu, Yampolskiy'nin CSO olarak görev yaptığı dönemde Gilt Groupe'ta yapılan bir satın alma çalışması sırasında ortaya çıktı.
Şöyle açıklıyor: “Pazarlama ekibim bu hizmet olarak yazılıma kaydoldu [SaaS] e-ticaret dolandırıcılığını azaltmaya yardımcı olan ürün – bir perakendeci olduğunuzda ve çevrimiçi olarak mal sattığınızda, insanlar sizden çalmak için sahte kartlar kullanacaklardır, bu yüzden bu ürüne kaydolduk.
“Ancak,” diye devam ediyor, “etkili olabilmesi için tüm müşterilerimiz hakkındaki bilgileri paylaşmamız gerekiyordu, bu da beni tedirgin ediyordu, bu yüzden onları bir onay sürecinden geçirdik. Kağıt ve kalemle uzun bir anket doldurdular; harika bir iş çıkardıklarını söylediler.”
“Harika bir iş çıkarabileceğimi, bir STK olarak çok çalışabileceğimi ama yine de kontrolüm dışındaki koşullar nedeniyle işimi kaybedebileceğimi fark ettim. Bu büyük bir aydınlanmaydı”
Alex Yampolskiy, GüvenlikPuan Kartı
İlerlemeye hevesli olan kuruluş noktalı çizgiyi imzaladı ancak entegrasyon süreci başlarken büyük bir engelle karşılaştı.
“Beni dehşete düşüren bir şekilde, sistemlerinde diğer müşterilere ait şifrelenmemiş kredi kartı verileri keşfettik” diyor. “Bu benim için büyük bir uyandırma çağrısıydı. Harika bir iş çıkarabileceğimi, bir STK olarak çok çalışabileceğimi ama yine de kontrolüm dışındaki koşullar nedeniyle işimi kaybedebileceğimi fark ettim. Bu büyük bir keşifti!”
Ölçülmemiş bağımlılıklar
2013 yazında Yampolskiy ve iş ortağı, ortalama bir işletmede üçüncü taraflara olan sayısız bağımlılık ve belge ve verilerin ne kadar geniş çapta paylaşıldığı hakkında daha derinlemesine düşünmeye başladı; yasal evraklar hukuk firmasına gidiyor, vergiler hukuk firmasına gidiyor. bir muhasebeciye, kendi dosyalarınızı bir bulut depolama hizmetine vb.
Yampolskiy, bu bağımlılıklardan herhangi birinin kuruluşunuzun ulusal bir gazetenin ön sayfasında yer almasına neden olacak bir siber güvenlik olayıyla sonuçlanabileceğini söylüyor; ancak tarihsel olarak güvenlik dünyasında hiçbir temel performans göstergesi (KPI) bulunmuyor. Bu, üçüncü taraf riskinin neye benzediğini etkili bir şekilde yargılamak için kullanılabilir.
“Doktora gidiyorsunuz, tansiyonunuzu ölçüyorlar. Araba sürüyorsun, hız göstergen var. Güvenlik açısından hiçbir şey alamazsınız. Riski ölçmek ve sayısallaştırmak için neden bir KPI olamaz? SecurityScorecard'ı geliştirmeye başlamamıza yol açan içgörü buydu” diyor.
Nasıl çalışır
SecurityScorecard platformu özünde çeşitli siber risk faktörlerine göre puanlanan şirketlerin yer aldığı bir veritabanıdır ve kullanıcılara iş yaptıkları veya arama yapmak istedikleri herhangi bir kuruluşun güvenlik durumları ve risk profilleri hakkında fikir verir.
Bu puanlar nasıl hesaplanıyor? İlk olarak SecurityScorecard, kuruluşlar hakkında sinyaller toplamak için müdahaleci olmayan tarama yöntemlerini kullanarak bir kuruluşun saldırı yüzeyine dışarıdan bakar.
“Mahallede yürürken kırık bir pencere veya duvarda grafiti gördüğünüz gibi, bir evin içine girmeden de iç kısmının bakımsız olduğunu anlayabilirsiniz. Benzer şekilde şirketler için de müdahaleci olmayan bir şekilde yakalayabileceğiniz yüzlerce sinyal var” diyor Yampolskiy.
“Basit bir örnek şu olabilir; bir web sitesine bakıyorsunuz ve sitenin alt kısmında 'telif hakkı 2005' ifadesini görüyorsunuz. Yıl 2024 değil mi? Yani bu bir güvenlik açığı değil, bundan yararlanamazsınız, ancak web sitesini proaktif olarak güncellemediklerini belirlediniz. [so] başka türden bir saldırıya direnme konusunda ne kadar gayretli olacaklar?”
Daha sonra bu bilgiye, kuruluşu emsal grubundaki diğer kişilerle kıyaslamak ve nihai bir puana ulaşmak için neredeyse on yıllık tarihsel verilere dayanan istatistiksel bir model uygular. Kullandığı algoritma halka açık olarak yayınlanıyor; Yampolskiy, kuruluşun işleyişinde şeffaflığın büyük bir savunucusu.
Yampolskiy, bunu oluşturmak için gereken çaba ve kaynakların önemli olduğunu ve bunun devam eden bir zorluk olduğunu söylüyor. “Şirketimizde 600 kişi var ve bunların yaklaşık %35 ila %40'ı araştırma ve geliştirmede çalışıyor. Geçtiğimiz dokuz yılda her gün milyarlarca sinyali toplayan bir teknoloji geliştirdik.
“Örneğin, dünyanın en büyük kötü amaçlı yazılım çukurlarından birini işletiyoruz; burada dünya çapında hangi makinelere virüs bulaştığına dair sinyaller topluyoruz ve bunun doğru ve güvenilir olduğundan emin olmamız gerekiyor. Çok fazla mühendislik çalışması gerektirir. Bu tür bir teknolojiyi oluşturmak kolay değil.”
Peki veriler doğru mu? Görünüşe göre öyle. “Biz gösterdik – ve örneğin Marsh McLennan gibi şirketler de kanıtladı ki – kötü puana sahip şirketlerin veri ihlaline maruz kalma olasılığının iyi puana sahip şirketlere göre sekiz kat daha fazla olduğunu” söylüyor.
Ancak hizmet bununla bitmiyor. “Size sadece puan verip iyi şanslar söylemiyoruz. Ayrıca size nasıl daha dayanıklı olabileceğinize dair tavsiyeler de veriyoruz. [and] Yampolskiy, puanları ve öngörüleri alıp bunları iş akışlarına entegre etmenize olanak sağlıyoruz” diyor.
“Kötü puana sahip şirketlerin veri ihlaline maruz kalma olasılığının iyi puana sahip şirketlere göre sekiz kat daha fazla olduğunu gösterdik”
Aleksandr Yampolskiy, GüvenlikPuan Kartı
SecurityScorecard, kullanıcıların risk profillerinin her türlü farklı unsurunu (örneğin, Genel Veri Koruma Yönetmeliği (GDPR) veya ABD'deki eşdeğer eyalet düzeyindeki düzenlemelerle uyumluluk) oluşturmasına ve tanımlamasına olanak sağlamak için 100'den fazla başka platformla entegre olur ve Daha da önemlisi, tedarikçileri arasındaki risk planlamalarına dahil edilmesi gereken güvenlik sorunlarını ve tutarsızlıkları anlayın.
Sürekli artan tehditler
SecurityScorecard neredeyse 10 yıl önce başlangıç bloklarından ilk çıktığında, siber güvenlik dünyası bugün olduğundan çok farklı görünüyordu. Güvenliğin teknik uzmanların ve hacker kültürüne sahip kişilerin alanı olarak kabul edildiği bir dünyadan, fidye yazılımı saldırılarının prime time TV haber bültenleri haline geldiği ve güvenliğin akşam yemeği partilerinin konusu haline geldiği bir dünyaya geçtik.
Yampolskiy'e göre üç temel eğilim buna katkıda bulunuyor. Birincisi, saldırı yüzeyi çok daha karmaşık ve birbirine bağlı hale geldi. İkincisi, üçüncü taraf riskinde bir patlama yaşandı; firmanın kendi istatistikleri, tüm ihlallerin neredeyse %30'unun artık üçüncü bir taraftan kaynaklandığını gösteriyor. Üçüncüsü, tehdit aktörleri, birkaç dolara satın alınabilen dağıtılmış hizmet reddi (DDoS) saldırılarından binlerle başlayan sıfır güne kadar daha karmaşık ve daha ucuz silah çeşitlerine erişebilir.
“Dünyanın daha karmaşık hale geldiği gerçeğini değiştiremeyiz. Saldırganların daha sofistike hale geldiği gerçeğini değiştiremeyiz” diyor Yampolskiy.
“Etkileyebileceğimiz şey, çoğu şirketin hala dayanıklılık yerine sağlamlığa odaklanmasıdır. Varsayımları tersine çevirerek er ya da geç yeterli çabayla düşmanın içeri gireceğini söylemek yerine, düşmanın içeri girmesini engellemeye çalışıyorlar. [so] Bunu onlar için mümkün olduğu kadar zorlaştırmayı nasıl başarabilirim?
Üçüncü taraf riskinin ele alınmasının dayanıklılığa yönelik bu değişimin bir parçasını oluşturduğu görüşü birçok kişinin paylaştığı bir görüştür. Geleceğe bakan Yampolskiy, kuruluşlar dayanıklılık odaklı bir güvenlik uygulamasına doğru ilerledikçe, SecurityScorecard'ın KPI destekli metodolojisinin, soruna müdahale etmek yerine sonuçta daha uygun bir satın alma kararı vermelerine yardımcı olacağından umutlu.
Gelecekteki gelişmeler
SecurityScorecard ayrıca müşterilerin istediği bir şey olarak, derecelendirme sistemini geliştirebilecek ve yanında yer alabilecek hizmetleri de artırıyor. Sonuçta, sizin ve iş ortağınızın ve tedarikçi ekosisteminizin güvenlik riskini ölçmek sizi yalnızca bir yere kadar götürecektir ve muhtemelen bir noktada yine de saldırıya uğrayacaksınız.
Yampolskiy, “Size sadece ölçmeniz için güvenlik derecelendirmeleri vermekle kalmayıp aynı zamanda çözümler de sunmaktan oldukça heyecan duyuyorum” diyor.
“Şu anda bizim için büyük bir odak noktası, büyük bir itici güç, derecelendirmelerden çözümlere nasıl genişleyeceğimizdir. Artık gelip yönetici ekibinize eğitim verdiğimiz masa üstü tatbikatlar yapan bir iş birimimiz var. Adli tıp yapan bir birimimiz var, dolayısıyla bilgisayarınız saldırıya uğrarsa veya fidye yazılımı bulaşırsa size yardımcı olabiliriz.”
Yampolskiy, özellikle güvenlik ekipleri ile onların yönetim kurulu düzeyindeki liderleri arasında uzun zamandır kabul edilen iletişim açığının kapatılmasına yardımcı olmakla ilgileniyor.
“Yönetim kurulları ve CISO'lar ortak bir dilden yoksundur. Yönetim kurulu üyeleri Mars'tan, CISO'lar Venüs'ten”
Aleksandr Yampolskiy, GüvenlikPuan Kartı
“Yönetim kurulları ve CISO'lar ortak bir dilden yoksundur. Yönetim kurulu üyeleri Mars'tan, CISO'lar ise Venüs'ten” diyor.
“Bir CISO genellikle teknik bir dille, teknik jargonla konuşur ve bu nedenle 'Uç nokta saldırılarını azaltmak için Akamai Prolexic'i 124.1.1.3/24'te kullandım' diyebilir ve yönetim kurulu üyesinin CISO'nun az önce ne söylediği hakkında hiçbir fikri yoktur. CISO'nun şunu söylemesi gerekirdi: 'Hizmet reddi önlemeyi uyguladım. Bana 200.000 dolara mal oldu ve kesintilerden 3 milyon dolar tasarruf etmemizi sağlayacak'.
“Yönetim kurulu üyelerinin siber güvenlik hakkında daha fazla bilgi edinme sorumluluğu da var. Yönetim kurulu üyesiyseniz ve bir toplantı sırasında 'Brüt kar marjı nedir?' diye sorarsanız, omzunuza dokunacaksınız ve insanların 'Gerçekten daha fazlasını öğrenmeniz gerekiyor' diyecekleri bir ara vereceksiniz. Finansal konularla ilgili olarak brüt kar marjının ne olduğunu bilmeniz gerekir'. Ancak bir yönetim kurulu üyesi 'Hizmet reddi saldırısı nedir?' diye sorarsa Kimse umursamaz. Bu normal. Bu bekleniyor.
“Maalesef yönetim kurulu üyeleri teknik açıdan tamamen bilgili değil ve bunun değişmesi gerekiyor; zaten değişiyor. Yani daha fazla katılım gösteren kurullar görüyoruz, kurulların risk ölçümü ve raporlama konusunda standartlaştığını görüyoruz ve kurulların yaptıklarını incelemek için bizimki gibi güvenlik derecelendirmelerini benimsediğini görüyoruz. Dünya siber güvenlik konusunda olumlu yönde değişiyor” dedi.
