Birkaç yıldır, harici saldırı yüzey yönetimi (EASM), birçok güvenlik kuruluşu ve onlara hizmet veren satıcılar için önemli bir odak noktası olmuştur.
Bir kuruluşun dış saldırı yüzeyini tüm kapsamıyla keşfetmeye ve sorunları gidermeye çalışan EASM, yazılımdaki güvenlik açıklarını, yanlış yapılandırmaları ve dışarıdan içeriye ihmal edilen gölge BT varlıklarını hedef alan geniş bir görüş alanına sahipti. Daha fazla saldırı yüzeyi görünürlüğüne ve dış varlık farkındalığına odaklanılması, CISO’lar, CIO’lar ve uygulayıcılar arasında yankı buldu.
Son zamanlarda yeni bir siber güvenlik uygulamaları ve araçları çerçevesi ortaya çıktı: maruziyet yönetimi (EM). EM (bazen tehdide maruz kalma yönetimi olarak da anılır) uygulandığında, kuruluşlar yalnızca güvenlik açıklarının ve yanlış yapılandırmaların keşfedilmesine değil, aynı zamanda daha iyi sonuçlar ve basitleştirilmiş iş akışları için bu güvenlik bulgularının önceliklendirilmesine ve operasyonel hale getirilmesine de odaklanır.
EM’nin yeniliği, odağın salt güvenlik açığından eyleme dönüştürülebilir sömürülebilirliğe kaydırılmasında ve ardından iyileştirme eylemlerine öncelik vermek için sömürülebilirliğin kullanılmasında yatmaktadır.
EASM: İyi ve kötü
Gartner ilk olarak EASM’yi seslendirdi Güvenlik Operasyonları için 2021 Gartner Hype Döngüsüve kategori heyecan döngüsünde hızla tırmandı. yenilik tetikleyicisi.
Ekosistem EASM’deki değeri görmekte tereddüt etmedi ve çılgın pazar konsolidasyonu ortaya çıktı. IBM Randori’yi yuttu, Palo Alto Xpanse’yi satın aldı, Microsoft RiskIQ’yu satın aldı ve EASM hızla siber güvenlik devlerinin daha büyük, daha kapsamlı tekliflerine dahil edildi.
EASM çözümlerinin mimarları ve uygulayıcıları, bir güvenlik paradigmasının etkili olabilmesi için birçok yapısal ve lojistik zorluğu karşılaması ve bunların üstesinden gelmesi gerektiğinin farkına varmışlardır:
Dinamik saldırı yüzeyleri – SaaS uygulamaları ve ihtiyaç duyulan bulut provizyonu ve orkestrasyonu, varlıkların doğru ve güncel kataloglanması ve takibi için ihtiyaç duyulan bilgilerin (IP adresleri, cihaz adları, ağ tanımları vb.) anlaşılmasını zorlaştırır. Bu dinamizm, değişken kullanıcıların normalde zararsız yeniden yapılandırma yoluyla varlıkları açığa çıkarması ve kurumsal cihazları risk altındaki ağlara bağlamasıyla daha da artıyor.
Ağ çevresi yok – Bir zamanlar kurumsal ağlar organizasyon merkezleriyle sınırlıydı. Bu çevre, bölgesel ofisleri ve ortak kuruluşları da kapsayacak şekilde genişletildi. Bulutun benimsenmesi, kurumsal ağların tanımlarını daha da bulanıklaştırdı. BYOD ve COVID-19 uzaktan çalışma, sonunda iyi tanımlanmış ağlar veya varlıkların sınıflandırılmasına yönelik katı ve hızlı kurallar yanılsamasını ortadan kaldırdı. Ancak bu varlıkların hâlâ savunulmaya ihtiyacı var.
Bilgi ve personel siloları – Günümüzün organizasyonları büyük ve departman sınırları giderek daha değişken hale geliyor. Bu dinamizm, tıkanıklıkları ortadan kaldırabilir, inisiyatifi teşvik edebilir ve üretkenliği artırabilir, ancak aynı zamanda çeşitli paydaşlar tarafından dağıtılan (çoğunlukla gayri resmi olarak) ve kullanılan (geçici) varlıkların kataloglanması ve güvence altına alınmasına da engel olur.
EASM, birçok yeni varlık türü için yeterli düzeyde sürekli keşif gerçekleştirebildi ve iyileştirme önerileri sunabildi. Ancak en yüksek heyecan durumuna ulaştıkça EASM’nin vaatleri kırılmaya başladı. Varlık görünürlüğü arayışının, güvenlik açığı yönetimi ekipleri için önemli miktarda ek iş yükü oluşturduğu ortaya çıktı:
1. EASM araçlarının vurguladığı görünürlük, özellikle satıcı tarafından yönetilen varlık riskleri başta olmak üzere çoğu aracın ortaya çıkarmayacağı tehlikeli kör noktalar bıraktı. Ayrıca, web sitelerinin kullandığı kod ve komut dosyaları (örneğin, üçüncü taraf CSS ve JavaScript) de tehlikeye açıktır, ancak ilk EASM araçları bu riskleri tamamen gözden kaçırıyordu. Ayrıca, EASM’nin varlık sahipliğini yanlış tanımlama, bilgi silolarında sıkışıp kalma ve bir dizi hatalı pozitif sonuç üretme eğilimi, müşterilerin sinirlenmesine ve hüsrana uğramasına neden oldu.
2. Görünürlük, alarm yorgunluğunun bir başka kaynağı haline geldi. EASM’nin kendisi gürültüyü operasyonel hale getirmek, tekrarlanan bulguları birleştirmek veya bunları mevcut araçlara ve iş akışlarına entegre etmek için hiçbir süreç sağlamaz.
3. Tehdit doğrulama ve önceliklendirme EASM’deki zayıf noktalardır: artan görünürlükten kaynaklanan gürültü miktarı göz önüne alındığında, tehdidin ciddiyetini sıralamadan ve düzeltme önceliğini atamadan önce uyarıların geçerliliğini doğrulamak çok önemlidir.
4. Yukarıdaki eksikliklerin yarattığı dengesizlik, şirketlerin riskleri yanlış değerlendirmesine, yanlış konuların azaltılmasına, zaman ve kaynak israfına ve kritik risk alanlarının açıkta kalmasına neden olmuştur.
Gartner’ın kısa bir süre sonra EASM’yi “hayal kırıklığı çukuruna” göndermesi pek de şaşırtıcı değil. Çok fazla vaat var ama yine de EASM pazar sunumunun bu ilk aşamasındaki eksiklikleri gidermek için önemli miktarda yatırım yapılması gerekiyor.
Maruz kalma yönetimine (EM) girin
EASM olası CVE’leri ve yanlış yapılandırmaları sonu olmayan bir şekilde kataloglayarak “okyanusu kaynatırken”, EM bunun yerine akıllı bir şekilde gerçek dünya varlıkları ve yapılandırmalarındaki gerçek riskleri arar.
Maruz kalma yönetimi, kuruluşların riskleri keşfetmesini ve bunları doğrulamasını sağlamaya çalışır. Doğrulama yalnızca önceliklendirmeyi değil aynı zamanda iyileştirmeyi de destekler.
Aşağıdaki üç prensip EASM’den risk yönetimine doğru giden yolu sağlar.
Daha geniş, daha derin keşif – İlgili varlıkların kanıtı, bağlamı ve göreceli önemi ile birlikte potansiyel tehditler, güvenlik açıkları ve riskler hakkında daha fazla bilgi sahibi olmak. Keşif kapsamı çok önemlidir ve bulut ve SaaS varlıkları, satıcı tarafından yönetilen varlıklar ve kuruluşa ait olanlarla bağlantılı dijital tedarik zinciri varlıkları da dahil olmak üzere kuruluş tarafından yönetilen ve sahip olunan varlıkları içermelidir. Sahiplik kanıtı, daha kapsamlı bir keşif süreci için de kritik öneme sahiptir.
Doğrulama ve önceliklendirme – Potansiyel riskler keşfedildiğinde, EM araçları bu bulguların doğrulanmasına ve bunların iş etkisi ve kullanılabilirliğine göre önceliklendirilmesine yardımcı olur. Böyle bir yaklaşım, öncelikle açığa çıkan kritik varlıkların ele alınmasını sağlar. Yalnızca bir güvenlik açıkları envanteri oluşturmanın ötesinde, bu ilke, ilişkileri ve güvenlik sorunlarının etkisini anlamak için genellikle bir grafik olarak temsil edilen varlık bağlantısının daha dinamik bir şekilde anlaşılmasını savunur.
Operasyonel basitlik – Ortalama onarım süresinin (MTTR) azaltılması, maruziyet yönetimi açısından hayati öneme sahiptir. EM, uyarıları çözümleme sürecini kolaylaştırmaya ve uyarıların doğru ekibe ulaşmasını sağlamaya odaklanır. İyileştirme için takip edilmesi kolay prosedürlerin sağlanması, BT ekiplerinin hızlı ve verimli bir şekilde hareket etmesine yardımcı olur. Güvenlik bilgileri ve etkinlik yönetimi (SIEM) ve biletleme sistemleriyle entegrasyonlar, önlemlerin uygun personel tarafından derhal uygulanmasını sağlayarak kötüye kullanım penceresini en aza indirir.
EASM 2.0 = Maruz kalma yönetimi
EM, CISO’ları daha fazla yazılım aracı satın almaya yönlendiren bir sonraki Gartner kategorisi mi?
Eski EASM’den ortaya çıkan risk yönetimine giden yol, bir anlambilim meselesinden daha fazlasıdır. EASM, saldırı yüzeylerini vurgulayarak ve görünürlüğü vurgulayarak iyi bir başlangıç pozisyonu sağladı. Ancak sayısız semptomu kataloglamak, bu hastalıkların ciddiyetini anlamak ve doğrulanmış kullanılabilirlik bilgileri ve uygun iyileştirme sağlamakla aynı şey değildir.
Siber güvenlik pazarının, kullanılabilirliği analiz etmek ve iyileştirmeyi sürekli olarak operasyonel hale getirmek için optimize edilmiş araçlarla gerçek açığa çıkarmaya odaklanan bir disipline ihtiyacı var. EM’yi, eyleme geçirilebilir bulgulara ve basit direktiflere odaklanan “EASM 2.0″a yükseltme olarak düşünebilirsiniz. Dolayısıyla risk yönetimi, Gartner’ın “bir sonraki büyük işi”nden daha fazlasıdır; kuruluşunuzun varlıklarını ve itibarını güvence altına almak için en uygun yaklaşımdır.