Net güvenlik röportajında, Scrut Automation CEO’su Aayush Choudhury, büyük işletmeler için inşa edilen birçok güvenlik aracının neden daha yalın, bulut doğal ekipler için iyi çalışmadığını tartışıyor. Sınırlı kaynaklara sahip KOBİ’ler için sadelik, entegrasyon ve otomasyonun nasıl anahtar olduğunu açıklıyor.
Choudhry ayrıca AI’nın orta pazar şirketleri için risk ve uyumluluk yönetmesinde nasıl bir fark yaratmaya başladığını paylaşıyor.
Daha yalın, bulut anadili ekiplerin ihtiyaçlarını azaltmayan güvenlik araçları veya satıcı yaklaşımlarının bazı özel örnekleri nelerdir?
Yalın, bulut doğal takımlar için en büyük zorluklardan biri, genişleyen siber güvenlik becerileri boşluğudur. Kalifiye güvenlik uzmanlarının işe alınması, eğitim ve elde tutulması zaten zordur ve bu ekipler genellikle daha büyük işletmelerin karşılayabileceği uzmanlık derinliği olmadan faaliyet göstermektedir. Yine de aynı karmaşık düzenlemeler ve sofistike tehditlerle karşı karşıyadırlar.
Sonuç olarak, kendileri için pazarlanan birçok araç, kuruluşu güvenli tutmaya değil, güvenliği kolaylaştırmaya odaklanan kurumsal çözümlerin ölçeklendirilmiş sürümleridir. Bir örnek GRC platformlarıdır. Özünde, iyi bir GRC aracı, şirketlerin büyümeyi yavaşlatmadan tolerans seviyeleri içinde risk tutan güçlü kontrollere sahip bir güvenlik programı oluşturmalarına yardımcı olmalıdır. Ancak piyasada, GRC genellikle kontrol listesine dayalı uyum otomasyonuna indirgenir. Bu araçlar politikalar üretme, kanıt toplama ve denetimleri hızlandırma konusunda mükemmeldir. Yapmadıkları şey, bu politikaların anlamlı olup olmadığını veya kontrollerin etkili bir şekilde uygulanıp uygulanmadığını açıklamaktır. Güvenlik politikanız sadece şirketinizin adı takas edilmiş bir şablonsa ve hiç kimse gerçek ortamınızla uyumunu doğrulamazsa, risk hala çok gerçektir, sadece evrakların arkasına gizlenir.
Deneyiminizden, KOBİ’lerin kurumsal sınıf platformlarını ortamlarına güçlendirmeye çalıştıklarında en kritik sonuçlar nelerdir?
Kurumsal sınıf platformlarının SMB ortamlarına güçlendirilmesi genellikle yapımda bir felakettir. Bu araçlar, bürokrasi katmanları, karmaşık yapılar ve her güvenlik ve uyum işlevine adanmış tüm ekipler için tasarlanmıştır. Microsoft veya Salesforce gibi büyük bir işletme, yönetişim, risk, uyum, bulut güvenliği, ağ güvenliği ve güvenlik operasyonları için ayrı ekiplere sahip olabilir. Bu takımların her biri, şovu yürüten alan uzmanlarının üstesinden gelen özel araçlara sahip olacak ve yönetecekti.
KOBİ’ler farklı bir gerçekliktir. Genellikle, <5 kişilik ekipler tüm bu sorumlulukları ele alıyor. Kurumsal platformları uyarlamaya çalıştıklarında, çeşitli sorunlar ortaya çıkıyor.
- Kurumsal araçlar genellikle pahalıdır ve yılda 100 bin dolardan daha fazla maliyetlidir. Sadece bu maliyet, güvenlik girişimlerini ölçeklendirmek veya ekip kapasitesini genişletmek için daha iyi harcanacak bütçeleri tüketebilir.
- Uygulama acı verici bir şekilde yavaş, 6-12 aydan fazla bir süredir, bir sistem entegratörü (SI) ile ek bütçeler ve çaba yatırımı gerektiriyor. UX aracılığıyla yapılması gereken bir iş akışı ayarı kadar basit bir şey, SI ile 2-3 haftalık bir değişiklik talebini tetikleyecektir. Uygulama tamamlandığında, kuruluş daha fazla olgunlaşacak ve eski iş akışlarını biraz eskimiş hale getirecek ve hiç bitmeyen bir uygulamaya yol açacaktı.
- Geri getiri sınırlıdır. Çoğu KOBİ, aracın işlevselliğinin sadece yüzde 20 ila 30’unu kullanır, çünkü süreçleri platformun oluşturulduğu karmaşıklığı talep etmez.
Ölçekleri için amaca yönelik araçlarla çok daha iyi servis edilirler; Sezgisel UX, jargonsuz dil, kolay katılım akışları ve teknoloji yığınlarında hızlı entegrasyonlar sunan platformlar. Bir kişinin birden fazla alanı kapsadığını varsayan araçlar ve bu kişinin ağrı noktalarını boyuta uygun bir şekilde çözdüğünü varsayar, KOBİ’ler düşünülerek tasarlanmayan kurumsal sistemleri uyarlamaktan çok daha etkilidir.
Sınırlı mühendislik bant genişliğine sahip bir ekip için bir “platform” seçerken entegrasyon ve kullanım kolaylığı nasıl bir rol oynar?
Yalın güvenlik ekipleri için, entegrasyon ve kullanım kolaylığı, risklerin üstünde kalmak ve sürekli yakalama oynamak arasındaki fark anlamına gelebilir. Kullanıcı röportajlarımızda iki tema tekrar tekrar öne çıkıyor: sadelik ve otomasyon.
Hızlı büyüyen bir SaaS şirketinde üç kişilik bir güvenlik ekibini hayal edin. Mühendislerinin karmaşık bir araç öğrenmek için zamanı yok. Hemen açabilecekleri, anlayabilecekleri ve harekete geçebilecekleri bir şeye ihtiyaçları var. Beklenti açıktır: Platform, sorunları çözebilmeleri için doğru bilgileri bir araya getirmelidir – bağlam için avlanma saatlerini boşa harcamamak veya tıknaz iş akışlarını tıklamak.
Şimdi güvenlik sorunlarını ele almanın günlük öğütündeki katman. Basit bir bulut yanlış yapılandırması alın. Otomasyon olmadan, GRC analisti karmaşık AWS kurulumlarını kazmak, sorunu fark etmek, bir JIRA biletini yükseltmek, doğru vekilliği bulmak, bağlamsallaştırmak ve önceliği belirlemek ve güncellemeleri kovalamak zorunda. Bu arada, mühendis, yanlış yapılandırmanın nerede olduğunu izlemek, bir düzeltme arayışını aramak, uygulayın ve son olarak Jira’yı güncellemek için, GRC analisti güncellemeler için onu takip etmek için zaman çeker. Bu ileri geri günler içinde gerilebilir ve kimsenin istemediği sürtünme getirir.
Doğru entegrasyonlarla, tüm döngü farklı görünüyor. GRC aracı, AWS entegrasyonu yoluyla yanlış yapılandırmayı işaret eder, riske dayalı öncelik atar, zenginleştirilmiş meta veriler ve iyileştirme adımları olan bir JIRA bileti oluşturur ve otomatik olarak yönlendirir. Mühendis, sorunu çözmek ve bileti kapatarak beş dakika harcarken, analist gerçek zamanlı olarak bilgilendirilir. Kovalama yok, bağlam anahtarlama yok. Yanlış yapılandırma, minimum çaba ile yakalanır, atanır, izlenir ve çözülür.
Bant genişliği olmayan takımlar için, basit, sezgisel ve sorunsuz bir şekilde yığınlarına entegre edilmiş araçlarla çalışma yeteneği, güvenlik sorunlarının hızlı bir şekilde ele alınıp işlenmediğini veya tırmanmasına izin verilip verilmediğini belirleyebilir.
AIT triyajı, günlük analizi veya uyum otomasyonu gibi özel kullanım durumları var mı, AI’nın piyasada zaten kendini kanıtladığı yer mi?
Genai, karmaşık, genişleyen, heterojen verilerle tarama yeteneğini tanıtır ve doğru kullanıldığında, sizi hızlı bir şekilde harekete geçiren uzman düzeyinde bilgiler oluşturabilir. Örneğin GRC’yi ele alalım. Ajan GRC, yönetişim, risk ve uyum için proaktif bir yaklaşım benimser. Genai sistemleri artık kararları bağlamsallaştırıyor, yorumluyor ve öneriyor. Bu gelişmiş araçlar, her bir etkinliğin önemini açıklayan ve sonraki adımlara rehberlik ederek kuruluşunuza göre uyarlanmış içgörüler sunar.
Bu değişimin birkaç örneği:
- Bağlam farkında risk puanlama: AI, uyarıları olan taşkın ekipleri yerine, hangi risklerin gerçekten dikkat gerektirdiğini belirlemek için SIEM’ler gibi araçlardan sinyalleri iş açısından kritik varlıklar ve hassas verilerle birleştirir.
- Dinamik Uyumluluk Eşleme: GENAI, NIS2, CCPA veya PCI DSS 4.0 olsun, düzenleyici güncellemeleri sürekli olarak tarar ve bunları kuruluşların yetersiz kalabileceği yer yüzeyine mevcut kontrollerle çapraz referans yapar.
- İleriye dönük tehdit tespiti: AI, tedarikçi etkinliği, kod taahhüt kalıpları ve hatta jeopolitik eğilimler gibi göstergeleri analiz ederek riskleri olaylara dönüşmeden önce tahmin edebilir.
Bu değişim herkes için yeni olasılıklar açar, daha çok yalın ve genellikle var olmayan güvenlik ekiplerine sahip KOBİ’ler için. Onları, bir zamanlar uzman katmanlarını gerektiren karar zekası ile donatır, bu da onları daha hızlı, daha keskin ve artan risk karşısında daha iyi hazır hale getirir.
Bir CISO veya Kurucu Mühendisi yarın ihlal riskini azaltmak için sadece üç eyleme odaklanmak zorunda kalırsa, ne tavsiye edersiniz?
1. Bir temel güvenlik çerçevesine uyumlu olun
“Uyumluluk güvenlik değildir”, birçok güvenlik uzmanı arasında ısıtmalı tartışmalara yol açan bir ifadedir. Bununla birlikte, gerçek şu ki, kontrol listesine dayalı uyumluluk bile, güvenliği olmayan şirketlerin güçlü bir temel oluşturmasına yardımcı olabilir. SOC 2 ve ISO 27001 gibi çerçeveler, kritik kontrollerde kapsama sahip olmanızı sağlayan güçlü bir güvenlik programının temelini oluşturmaya yardımcı olur. Şahsen tanımlanabilir bilgiler (PII) ile ilgileniyorsanız, GDPR gizlilik kontrolleri için altın standarttır. Ve yapay zeka benimsemesinin kaçınılmaz hale gelmesiyle, ISO 42001, yapay zeka yönetişimi için kilit bir çerçeve olarak ortaya çıkmakta ve kuruluşların AI riskini yönetmelerine ve sorumlu uygulamaları sıfırdan geliştirmelerine yardımcı olmaktadır.
2. Üçüncü taraf riskini güçlendirin ve hijyeni erişim
Önemli sayıda ihlal satıcı ortamlarından veya yanlış yapılandırılmış hesaplardan kaynaklanmaktadır. En az ayrıcalık ilkesini uygulayın, erişimi düzenli olarak gözden geçirin, güçlü kimlik doğrulamasını uygulayın ve satıcı yönetişimini sıkılaştırın. Hassas veriler için yama ve şifreleme gerektiren otomatik olarak pozlamayı önemli ölçüde ve hızlı bir şekilde azaltabilir.
3. Olay müdahale planınızı test edin ve hassaslaştırın
Bir bağlayıcıda yaşayan planlar riski azaltmaz; pratik olanlar yapar. Yöneticiler ve mühendislik potansiyel müşterileri ile masa üstü egzersizleri çalıştırın, gerçek ihlal senaryolarını simüle edin ve ortaya çıkardığınız boşluklara göre rafine edin. Bir kriz sırasında rollere ve iletişim akışlarına aşinalık, hızlı muhafaza ile maliyetli yükselme arasındaki fark olabilir.