Xposure Summit 2025’ten Xposure Podcast Live’ın ilk bölümüne ev sahipliği yapmaktan onur duydum. Ve daha iyi bir başlama paneli isteyemezdim: sadece güvenlikten bahsetmeyen üç siber güvenlik lideri, yaşıyorlar.
Onları tanıtmama izin verin.
Alex GecikmeIDB Bank’taki CISO, yüksek düzeyde düzenlenmiş bir ortamı savunmanın ne anlama geldiğini biliyor. Ben MeadAvidite Biosciences’daki Siber Güvenlik Direktörü, Avidite’nin hedeflenen RNA terapötiklerinin arkasındaki yeniliği yansıtan ileri görüşlü bir güvenlik perspektifi getiriyor. En son ama en kötü değil, Michael FrancessWyndham Hotels and Resorts’daki Siber Güvenlik Direktörü Gelişmiş Tehdit, franchise’ın korunmasında suçlamaya öncülük ediyor. Her biri ortak bir zorluğa benzersiz bir bakış açısı getirdi: karmaşık üretim ortamlarına sürekli tehdit maruziyet yönetimi (CTEM) uygulanması.
Gartner 2023’te cesur bir tahminle dalgalar yaptı: CTEM’e öncelik veren kuruluşlar olacak Üç kat daha az olası 2026 yılına kadar ihlal edilmek. Ama işte kicker – sadece operasyonel hale getiriliyorsa.
Bu tecrübeli savunucularla konuşurken, aşağıdaki zor soruları ele alarak etkili bir maruz kalma yönetimi stratejisini uygulama ve operasyonel hale getirme hype’ının gerçekliklerini ve zorluklarını açtık:
- İyi bir CTEM programı neye benziyor ve üstesinden gelinmesi gereken tipik zorluklar nelerdir?
- Kurul düzeyinde kararları etkilemek için siber ve risk raporlamasını nasıl optimize edersiniz?
- Ve sonuçta, CTEM programınızın başarısını nasıl ölçüyorsunuz?
Zorluklar, öncelikler ve en iyi uygulamalar
CTEM fiş ve oynatmaz. Panelistlerin reçetesi açıktı: Varlık envanteri ve kimlik yönetimi ile başlayın; Zayıf servis hesapları, aşırı bırakılan kullanıcılar, eski girişler. Bunların hiçbiri küçük boşluklar değildir, sık sık kontrol edilmesi gereken geniş açık kapılardır. Ve tüm panelistlerimiz için, frekans önemli – çok. Çünkü tahmin et ne oldu? Düşmanlar da sürekli zorlu savunmalardır. İç varlıklar için haftalık doğrulama başparmak kuralıdır. Dışa dönük varlıklar için? Günlük. Gördükleri gibi, sürekli değişen ortamları üzerinde sabit bir sapı sürdürmenin tek yolu budur.
Şaşırtıcı bir şekilde, Michael Tehdit Zekası’na herhangi bir güvenlik test programının omurgası olarak işaret etti. Diyerek şöyle devam etti: “Düşmanlarınızı anlamanız, TTP’lerini simüle etmeniz ve savunmalarınızı sadece CVES’i yamalamak değil, gerçek dünya senaryolarına karşı test etmeniz gerekiyor.” CTEM ve güvenlik açığı yönetimi arasındaki temel fark budur. Güvenlik açığı yönetimi yama ile ilgilidir. Maruz kalma yönetimi, kontrollerinizin tehditleri engellemek için gerçekten işe yarayıp yaramadığını bulmakla ilgilidir.
Raporlama: Siberi risk terimlerine çevirme
Bankacılık endüstrisinde, diğer birçok düzenlenmiş endüstri gibi, Alex, düzenleyicilerden sorulan zor soruları cevaplamaya hazır olma ihtiyacını vurgulayamadı. “Sen irade Maruz kalmanız, iyileştirme zaman çizelgeleriniz ve risk tedaviniz konusunda meydan okuyun. Ve bu iyi bir şey. Netliği ve hesap verebilirliği zorlar “.
Ancak düzenlenmiş endüstrilerin dışında bile konuşma değişiyor. Kurullar CVSS puanlarını duymak istemiyor. Anlamak istiyorlar Risk – Ve bu tamamen farklı bir tartışma. Şirketin risk profili yukarı mı yoksa aşağı mı gidiyor? Nerede konsantre edilir? Ve bu konuda ne yapıyoruz?
İlerlemeyi Ölçme
CTEM’deki başarı güvenlik açıklarını saymakla ilgili değildir; Ben, ekibinin kapattığı sömürülen saldırı yollarının sayısını ölçtüğünü söylediğinde onu sabitledi. Saldırı yollarının doğrulanması, aşırı bırakılan hesaplar ve unutulmuş varlıklar gibi riskli güvenlik boşluklarını nasıl ortaya çıkardığını paylaştı. Aniden, risk görünür hale gelir.
Diğerleri bunu gerçek yoluyla liderlik yapan masa üstü egzersizleriyle başka bir yöne götürdü
Saldırı senaryoları. Metriklerle ilgili değil, riski ve sonuçları açıklamakla ilgili. Tartışmayı gürültüden sinyale taşıyan ve işin neyin önemli olduğu konusunda netlik kazandıran bir değişim: Yerleştiğimiz yer ve bu konuda ne yapıyoruz.
Kavramdan eyleme geç
Bu savunucuların CTEM’i gürültüde boğulmadan nasıl harekete geçirdiğini duymak ister misiniz?
Bu bölüm gerçek soruların derinliklerine dalıyor: Nereden başlıyorsunuz, neyin sömürülebilir olduğuna nasıl odaklanıyorsunuz ve hepsini iş riskine nasıl bağlıyorsunuz? Alex, Ben ve Michael gibi güvenlik liderlerinin bu zorluklarla nasıl başa çıktıklarını ve yol boyunca birkaç sürprizle nasıl başa çıktıklarını ilk elden duyacaksınız…
Apple Podcast ve Spotify’da tam sohbeti yakaladığınızdan emin olun