Geçen ay bir Wall Street Journal makalesi, bilgi güvenliği yetkililerinin (CISO’lar) 2023’te şirketlerin karşı karşıya olduğu artan ekonomik belirsizliğe bağlı olarak bütçeleri nasıl giderek daha fazla kısıtlayacağının altını çizdi. Peki, CISO’lar bu belirsizliği nasıl yönetmeli? Çeşitli planlama kısıtlamalarını kabul ederek başlayalım:
- Düzenleyici beklentiler kurumsal kaynak sağlama amaçları için pazarlık konusu değildir ve artması muhtemeldir. Halka açık şirketler ve kritik altyapı operatörleri için zamana bağlı yeni olay raporlama düzenlemeleri beklemede ve Biden yönetiminin yakında yayınlanacak olan Ulusal Siber Güvenlik Stratejisi, muhtemelen sektörler genelinde mevcut düzenleyici makamların daha eksiksiz kullanılmasını gerektirecek.
- Tehdit aktörleri bizi savunmayı amaçlayan temel güvenlik teknolojilerindeki zayıflıkları belirlemek ve bunlardan yararlanmak için her zamanki kadar aktif ve giderek daha fazla arayış içindeler. Bulut tabanlı çok faktörlü kimlik doğrulama ve tek oturum açma çözümlerinin önde gelen sağlayıcısı Okta’daki kaynak kodu hırsızlığının yanı sıra parola yöneticisi LastPass’taki ihlalin yakın zamanda kabul edilmesi, bu durumu daha da rahatlattı.
- göz önüne alındığında yazılımların teknoloji ortamlarında hızla yaygınlaşmasıçoğu kuruluşun tüm sistemlerin tamamen güçlendirilmiş ve yamalanmış olduğundan emin olması pratik olarak imkansızdır.
Bu kısıtlamalar göz önüne alındığında, kısıtlı bir harcama ortamında siber güvenlik yatırımlarını daha iyi optimize etmeye yardımcı olabilecek üç adımı aşağıda bulabilirsiniz:
1. Temel iş ve teknoloji karmaşıklığına ışık tutun. Sistemlerin, uygulamaların, ayrıcalıklı kullanıcıların, üçüncü tarafların sayısındaki farklılıklar, çalışanların yıpranması ve coğrafi mevcudiyet, riski ve bir kuruluşu savunmak için neyin gerekli olduğunu etkiler. Gerçekten de, IBM Security tarafından yapılan son araştırma, artan karmaşıklığın (ör. bulut geçişleri, üçüncü taraf katılımı vb.) olay müdahale maliyetlerini nasıl artırma eğiliminde olduğunu vurgulamaktadır. Aynı zamanda, CISO’lardan savunmalarının istendiği temeldeki iş ve teknoloji ortamındaki karmaşıklığı azaltıp azaltmadığımızı da dikkate almadan, güvenlik harcamalarına sınırlamalar getirmek çılgınlıktır. Altta yatan “saldırı yüzeyinin” karmaşıklığındaki değişikliklerin ölçülmesi – yani bir sistemin sınırındaki noktalar kümesi, bir sistem öğesi veya bir saldırganın girmeye, üzerinde etki yaratmaya veya verileri çıkarmaya çalışabileceği bir ortam den — siber güvenlik kaynakları üzerindeki ayarlamaları veya kısıtlamaları değerlendirmenin bir ön koşulu olmalıdır.
2. Tehdit bilgili savunmalara öncelik verin. Maliyet kısıtlamaları, rakiplerin kullandıkları bilinen davranışlara ve muhtemelen hedef alacakları kritik yazılım sistemlerine (yukarıda belirtilen kimlik ve erişim yönetimi sistemleri dahil ancak bunlarla sınırlı olmamak üzere) dayalı olarak savunmalara öncelik verilmesine prim verir. MITRE’nin ATT&CK çerçevesi, yalnızca tehditleri ve bunların belirli hafifletme ve tespitlerle nasıl bağlantılı olduğunu kapsamlı bir şekilde haritalamakla kalmaz; bu hafifletme ve tespitlerin çoğuna, özellikle altyapı sağlayıcıları güvenlik özelliklerini tekliflerine dahil ettikleri için halihazırda yürürlükte olan teknolojiler aracılığıyla ulaşılabilir. Yaygın tehditlere karşı savunmalara yatırım yapmak, büyük risk azaltma avantajı sağlayabilir. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “kritik altyapı için ortak bir temel siber güvenlik uygulamaları seti oluşturmaya ve özellikle küçük ve orta ölçekli kuruluşların siber güvenlik çabalarını başlatmasına yardımcı olmayı” amaçlayan bir dizi Siber Güvenlik Performans Hedefi yayınladı. Hedeflerin her biri, belirli MITRE tehdit teknikleriyle eşlenir.
Önemli olarak şirketler, teorik olarak yürürlükte olan kontrollerin pratikte var olduğunu ve amaçlandığı gibi çalıştığını doğrulamak için en azından bazı kaynaklara yatırım yapmalıdır. CISA, FBI ve NSA geçen sonbaharda ortaklaşa bir kılavuz yayınladılar ve burada “bu danışma belgesinde tanımlanan MITRE ATT&CK tekniklerine karşı en iyi performansı sağlamak için güvenlik programınızı geniş ölçekte ve bir üretim ortamında sürekli olarak test etmeyi öneriyorlar.” Çok sık olarak, ilk erişimin yanlış yapılandırılmış bir varlık veya belgelenmemiş güvenlik istisnası yoluyla sağlandığı olaylarla karşılaşıyoruz. Son olarak, tehdide dayalı savunmanın dayanıklılık yönü kritiktir: Bir fidye yazılımı olayı meydana gelirse, çevrimdışı yedeklemeler ve güncel olay müdahale planları hasarı en aza indirmenin anahtarı olacaktır.
3. Üçüncü taraf risk yönetimini mantıklı hale getirin. Ayrıca, hiçbir kuruluşun ele alamayacağı ve bunun yerine sektörel veya ulusal düzeyde ele alınması gereken, ısrarla can sıkıcı birkaç sorun vardır. Şirketler, bir tedarikçideki bir siber olayın üstlerinde art arda gelen etkileri olabileceğini biliyor ve iş yapmanın bir koşulu olarak güvenlik denetimlerini ve minimum temel gereklilikleri giderek daha fazla zorunlu kılıyorlar. Sorun şu ki, bu yaklaşımda tekdüzelik olmaması, tedarikçileri ve müşterileri, yönetilmesi için giderek daha fazla personel kaynağı gerektiren bir gereksinimler ve tasdik bataklığı içinden ayırmaya bırakıyor. Gerçekten de “ekspertiz görevlileri”, siber sigorta yenileme incelemelerine tabi tutulduklarında giderek “ekspertiz görevlileri” haline gelmektedir. Standartlara daha fazla tekdüzelik getirmek, üçüncü taraf uyum karmaşıklığını azaltmak ve yatırımın tehdide dayalı savunmaya yeniden yönlendirilmesini sağlamak için sektör çapında yaklaşımlara ihtiyaç vardır.
Bu adımların birçoğunun özel sektör içinde gerçekleştirilmesi gerekse de, federal hükümet bu adımların ilerlemesine yardımcı olabilir. İlk olarak, artan düzenleyici faaliyeti düşündüğümüzde, düzenleyici kurumlar genelinde (ve ideal olarak müttefik yabancı hükümetlerdeki kardeş programlarla) kontrol beklentileri üzerinde uyum sağlayarak (tehdit bilgili bir şekilde) ek mali yüklerin yönetilmesine yardımcı olabiliriz. böylece birden çok düzenleyici programa tabi olan şirketler tutarlı bir dizi beklentiye odaklanabilir. İkinci olarak, düzenlemelerin sadece beklentileri karşılayamayan şirketleri nasıl cezalandırabileceğini değil, aynı zamanda şirketleri beklentilerin ötesine geçmeleri için nasıl ödüllendirebileceklerini de düşünmeliyiz. Son olarak, federal hükümetin yazılım güvenliği konusunda yapmaya çalıştığı gibi, tedarikçiler genelinde standart temel beklentiler ve tasdik mekanizmaları uygulayarak, üçüncü taraf risk yönetimine daha fazla tekdüzelik getiriyoruz.
İşletmeler son derece karmaşık bir iş, teknoloji ve tehdit ortamıyla karşı karşıyadır. Maliyet kısıtlı bir ortamda, yatırımın geri dönüşü her zamankinden daha önemli. Bu nedenle, olası tehditlere karşı savunmaları nasıl hizaladığımız konusunda mümkün olduğunca fazla doğruluk sağlamalı ve siber güvenlik performansını şeffaf, doğru ve kesin bir şekilde ölçerken mümkün olduğunca tekdüzeliği sürdürmeliyiz.