Etkili Güvenlik Açığı Yönetimi, siber güvenliğin önemli bir kısmının görünümünü sunar ve uygulamaların, araçların ve süreçlerin kuruluşların riski azaltmasına nasıl yardımcı olabileceğini gösterir.
Yazarlar hakkında
Chris Hughes, profesör olarak hizmet veren 20 yıllık kamu ve özel sektör deneyimine sahip siber güvenlik lideri olan Aquia’nın başkanı ve CISA Cyber Innovation Üyesi.
Nikki Robinson, Capitol Technology Üniversitesi’nde güvenlik mimarı ve uygulama profesörüdür ve siber güvenlik ve insan faktörleri alanında çift doktora ile.
Kitabın içinde
Kitap bir gerçeklik kontrolü ile başlar. Yazarlar, birçok kuruluşun, genellikle on binlerce insanda bilinen güvenlik açıklarının büyük birikimiyle karşılaştığına dikkat çekiyor. Ancak bu kusurların çoğu asla sömürülmez. Bu, kitabın ana noktasını oluşturur: Sadece güvenlik açıkları bulmamız gerekmiyor, hangilerinin önemli olduğunu bilmemiz ve bunlara göre hareket etmeliyiz.
Her bölüm güvenlik açığı yönetimi sürecinin bir kısmını ele alır. Tam bir varlık listesi oluşturmaktan, yamaya, yapılandırmayı güvence altına almak için adımlar pratik ve ayrıntılıdır. Yazarlar ayrıca CVSS puanları, KEV kataloğu ve EPSS gibi araç ve standartları da açıklar. Bu, okuyucuların gürültüyü sıralamasına yardımcı olur ve gerçek risk oluşturan güvenlik açıklarına odaklanır.
Kitabın güçlü yönlerinden biri sadece teknolojiye odaklanmamasıdır. Yazarlar siber güvenliğin insan tarafına gerçekten dikkat ediyorlar. Zihinsel yorgunluk ve bilgi yüklemesinin güvenlik açığı yönetimine nasıl zarar verebileceğine dair tam bir bölüm var. Mesaj açık: İnsanlar araçlar kadar önemli.
Başka bir yüksek nokta, bulut, devsecops ve yazılım tedarik zinciri riskleri üzerine bölümdür. Hızlı hareket eden geliştirme ekiplerinin yeni güvenlik açıklarını nasıl getirebileceğini ve bulutta paylaşılan sorumluluğun takımların yapması gerekenleri nasıl değiştirebileceğini açıklıyor.
Kitap bir güvenlik açığı yönetimi olgunluk modeli ile bitiyor. Bu bölüm, mevcut uygulamaları yeni başlamış ya da iyileştirmeye çalışsalar da, kuruluşların iyileştirilmesine yardımcı olmak için adım adım bir yol sunmaktadır. Herkese uyan tek bir çözüm olmadığını vurgular. Olgunluk zaman alır ve her adım kuruluşunuzun ihtiyaçlarına ve yapısına bağlıdır.
Kitabın bir kusuru varsa, format zaman zaman çok yoğundur. Alınacak çok şey gibi hissedebilecek tanımlar, listeler ve önerilerle doludur. Ancak bu, sadece bir kerelik bir okuma değil, referans olarak hizmet ettiği anlamına gelir.
Kimin için?
Etkili güvenlik açığı yönetimi, gerçek sistemlerde yazılım kusurlarıyla nasıl başa çıkılacağını anlamak isteyen herkes içindir. Yazı basittir ve yapı, konuya yeni olan okuyucular için bile takip etmeyi kolaylaştırır.