Bu yardımda net güvenlik görüşmesinde, PlexTrac’taki kurucu ve CTO olan Dan DeLoss, siber güvenlikte maruz kalma yönetiminin rolünü ve kuruluşların risk değerlendirmesini ve önceliklendirmeyi iyileştirmek için saldırı yüzeylerine nasıl görünmesine yardımcı olduğunu tartışıyor. Ayrıca PlexTrac’ın platformunun raporlama sürecini nasıl kolaylaştırdığını ve ekiplerin iyileştirmeyi hızlandırmak için daha etkili bir şekilde işbirliği yapmalarını sağladığını açıklıyor.
DECLOSS, sürekli, bağlamsal ve riskle bilgilendirilmiş güvenlik programları yoluyla kimliği belirsiz güvenlik açıkları üzerindeki boşluğu kapatmaya yardımcı olacağına inanarak sürekli tehdit maruziyet yönetiminin yaygın olarak benimsenmesini dört gözle bekliyor.
Her şeyden önce, bize biraz kendinizden ve neden PlexTrac’ı kurduğunuzdan bahseder misiniz? Hangi sorunları çözmeye çalışıyordunuz?
Son birkaç on yılını siber güvenlik içinde geçirdim ve endüstrinin evrimine tanık olma ve bir parçası olma fırsatım oldu. Çalışmanın çoğunun manuel olduğu bir zamanda güvenlik açığı yönetimi ve güvenlik programı geliştirmeye başladım. Henüz alanda girişim destekli çok fazla çözüm yoktu, bu yüzden kendi başımıza bir şeyler inşa ediyor ve anlıyorduk.
Sahada büyüdüğümde, nişimi penetrasyon testi ve güvenlik değerlendirmelerinde buldum. Her zaman reaktif olmaktan ziyade proaktif olduğuna inandım. Ben olay tepkisinin güçlü bir savunucusuyum, ancak riskleri sömürülmeden tanımlamak ve düzeltmek de aynı derecede önemlidir. Penetrasyon testi, kuruluşlara proaktif bir avantaj sağlar, gerçek, sömürülebilir riskleri gösterir ve en önemli olduğu yerde odak çabalarına odaklanmak için içgörü sağlar. Ancak pentesters için büyük bir ağrı noktası var: raporlama.
Pentest raporları yazmak acı verici ve zaman alıcıydı. Akranlarım ve ben belgeleri biçimlendirmek, ekran görüntüleri eklemek ve her şeyin doğru görünmesini sağlamak için sayısız saat harcıyorduk, sadece rafa kaldırılmayandan daha fazla hantal bir rapor sunmak için. On iki ay sonra geri dönüp aynı raporu tekrar yazardık. Bu döngü kimseye yardım etmedi. Değerli içgörüler kayboldu ve anlamlı işbirliği neredeyse yoktu.
PlexTrac’ı kurduğumda çözmek için hazırladığım sorun bu.
Sadece raporlama sürecini kolaylaştırmakla kalmayıp aynı zamanda saldırgan ve savunma ekipleri arasındaki işbirliğini de etkinleştiren bir platform oluşturmak istedim – bu yüzden sorunlar anlaşılabilir, çoğaltılabilir ve daha hızlı sabitlenebilir. Plextrac özünde, güvenlik açıkları bulmak ve bunları düzeltmek arasındaki boşluğu kapatmaya yardımcı olur.
O zamandan beri vizyonumuz genişledi. Penetrasyon testi raporlamasında endüstri lideri olarak kalırken, ekiplerin sürekli tehdit maruziyet yönetimi (CTEM) için PLEXTRAC ile proaktif olarak maruz kalma riskini yönetmelerine yardımcı oluyoruz. Amaç, ekiplerin iş akışlarını otomatikleştirmelerine, iş bağlamına dayalı iyileştirmeye öncelik vermelerine yardımcı olmak ve “Doğru şeyler üzerinde mi çalışıyorum?” Sorularını cevaplamaktır. Ve “zamanla daha iyi oluyor muyuz?”
Kuruluşların pentestlerden, tarayıcılardan, kod incelemelerinden ve değerlendirmelerden verileri toplamaya ve normalleştirmelerine yardımcı oluyoruz, daha sonra iyileştirmeyi hızlandırmak için işletmeye özgü risk puanlama ve otomasyonu uygulamaya koyuyoruz. PlexTrac ile ekipler manuel çabayı azaltır, kapsamı izler ve sonuçları her zamankinden daha hızlı ve daha verimli bir şekilde sunar.
Bugün, bu vizyonu AI ile daha da ileriye taşıyoruz. Otomatik rapor yazımından akıllı iş akışı önerilerine ve kapsam analizine kadar, pozlama yönetiminin geleceğini geliştiriyoruz.
PlexTrac ile hedefinizin bir kısmının kuruluşların soruları cevaplamasına yardımcı olmak olduğunu belirttiniz: “Doğru şeyler üzerinde mi çalışıyorum?” Neden bu kadar çok takımın bu soruyu cevaplamak için mücadele ettiğini düşünüyorsunuz?
Cisos ile konuşurken, birçok kişinin veri siloları nedeniyle tam saldırı yüzeyini görmek için mücadele ettiğini gördüm. Aslında, yakın tarihli bir Ivanti raporuna göre, BT uzmanlarının% 55’i kuruluşlarının güvenliğini ve BT verilerinin susturulduğunu ve tehdit tespitini ve yanıtı engellediğini söylüyor.
Şirketlerin, kaynakları düzeltmeye yatırmadan önce riske maruz kalma durumlarının tam resmine umutsuzca bakmaları gerekir. Maruz kalma yönetimi devreye giriyor. Maruz kalma yönetimi, bir kuruluşun tam saldırı yüzeyinde potansiyel güvenlik risklerini bulmaya, değerlendirmeye ve azaltmaya odaklanan proaktif bir siber güvenlik yöntemidir. Bu, tüm erişim noktalarını ve saldırı vektörlerini içerir.
PlexTrac gibi bir maruz kalma yönetim platformundan yararlanarak, tüm bulgularınızı tek bir yerde görebilirsiniz, böylece ileriye dönük bir azaltma planını düzgün bir şekilde değerlendirebilir, önceliklendirebilir ve tasarlayabilirsiniz. Aslında, yakın tarihli bir Gartner akran araştırması, kuruluşların% 60’ının sürekli bir tehdit maruziyet yönetimi (CTEM) programını aktif olarak takip ettiğini veya düşündüğünü bulmuştur.
Bulgulara öncelik vermek söz konusu olduğunda kuruluşların yaptığını gördüğünüz en büyük hata nedir?
Seni doğrudan vereceğim. Pentesters’ınız iyileştirme önerileri için yalnızca Ortak Güvenlik Açığı Skorlama Sistemine (CVSS) güveniyorsa, bu yeterli değildir. CVSS, CVES’i şiddete göre sıralamak için kullanılır. 0-10 arasında geçen ölçek, bir güvenlik açığının şiddetinin-sömürülürse-düşük, orta, yüksek veya kritik olup olmadığını belirler. Benzersiz iş önceliklerinizi hesaba katmaz. Örneğin, CVSS tarafından “ortam” etiketli bir risk aslında bir kuruluş için kritik olabilir.
Bağlam temelli risk puanlaması, güvenlik açıklarına öncelik vermenin en etkili yoludur. Bağlam tabanlı puanlama, kuruluşunuzun belirlediği kurumsal risk denklemine dayanan hesaplanmış bir risk puanıdır. Varlık kritikliği, şiddet bulma, etiketler ve aktif istismarlar gibi çeşitli faktörler vermenin ne kadar kilo vermenizi sağlar. Verilen kuruluşun benzersiz ihtiyaçları göz önüne alındığında, endüstri standart ortak güvenlik açığı puanlama sisteminin (CVSS) ötesine geçer.
Ve elbette, “Doğru şeyler üzerinde mi çalışıyorum?” Puanlamadan önce tüm bulgularınız için merkezi bir depoya sahip olmalısınız. Silolardaki bulgulara öncelik verdiğini ve düzeltmeyi kaç kez gördüğümü size söyleyemem. Bu, kaynakların daha az kritik düzeltmeler için zaman harcamasına neden olabilir ve bu da sizi bir ihlale duyarlı bırakır.
Sürekli tehdit maruziyet yönetimi için bir geçiş, kuruluşların saldırı yüzeylerine gerçek zamanlı görünürlük kazanmalarına nasıl yardımcı olabilir?
PlexTrac’ı “Veri Kontrol Merkezi” olarak adlandırmayı seviyoruz çünkü tüm tarayıcı verileriniz için tek noktadan bir mağaza. PlexTrac veya başka bir CTEM optimize edilmiş platform kullanıp kullanmadığınıza bakılmaksızın, tüm veriler tek bir konumda olduğunda, tam saldırı yüzeyinizi görebilir ve anlamaya başlayabilirsiniz.
CTEM tarafından açılan platformlar, veri izini gerçek zamanlı olarak takip etmenizi sağlar. Bir bulgu kritik olarak değerlendirilir ve puanlanırsa, düzeltilmesi için bir geliştiriciye geçer. PlexTrac gibi geliştiricilerin mevcut biletleme sistemleriyle (JIRA ve ServiceNow) entegre olan araçlarla, geliştiricilere “yüksek” veya “eleştirel” bulgular ortaya çıktıkça WebHooks’u geliştiricilere otomatik push biletlerini kullanabilirsiniz. Ayrıca, düzeltme sonrası iş akışlarını tekrar test etmeyi tetikleyebilirsiniz.
Bir CISO olarak, her bulguya gerçek zamanlı görünürlük paha biçilmezdir. Saldırı yüzeyinizin mevcut durumunu ölçme ve PlexTrac ile çözmek için hazırladığım sorulardan birini cevaplama yeteneği verir, “Zamanla daha iyi oluyor muyuz?”
Sadece CISO’lar için paha biçilmez değil, aynı zamanda ekip üyelerinin güvenlik açıklarını bulan ve düzeltmesi için de paha biçilmezdir. Eski bir pentester olarak, emeğinizin meyvelerini görmüyorsanız, işin ne kadar sıradan hissedebileceğini hatırlıyorum. Bulgularınızın düzeltildiğini ve bir fark yarattığını görebildiğinizde, bu gerçekten ödüllendirici bir deneyim.
Kuruluşların çoğunluğunun CTEM programlarını benimsediği ve olgunlaştırdığı günü gerçekten dört gözle bekliyorum. CTEM daha yaygın olarak benimsendikçe, güvenlik programlarını sürekli, bağlamsal ve riskle bilgilendirerek tanımlanamayan güvenlik açıklarının boşluğunu azaltmaya daha yakın olacağımıza inanıyorum.