Sürekli Tehdit Maruziyeti Yönetimi (CTEM), kuruluşların siber riski sürekli olarak değerlendirmesine ve yönetmesine yardımcı olan stratejik bir çerçevedir. Güvenlik tehditlerini yönetmeye yönelik karmaşık görevi beş ayrı aşamaya ayırır: Kapsam Belirleme, Keşif, Önceliklendirme, Doğrulama ve Mobilizasyon. Bu aşamaların her biri, saldırganlar tarafından istismar edilmeden önce güvenlik açıklarının belirlenmesinde, ele alınmasında ve azaltılmasında önemli bir rol oynar.
Kağıt üzerinde CTEM kulağa harika geliyor. Ancak kauçuğun yolla buluştuğu yerde – özellikle CTEM acemileri için – CTEM’i uygulamak bunaltıcı görünebilir. CTEM ilkelerini uygulamaya koyma süreci ilk başta son derece karmaşık görünebilir. Ancak doğru araçlarla ve her aşamanın net bir şekilde anlaşılmasıyla CTEM, kuruluşunuzun güvenlik duruşunu güçlendirmek için etkili bir yöntem olabilir.
Bu nedenle hangi aşamada hangi araçların kullanılacağına ilişkin adım adım bir kılavuz hazırladım. Daha fazlasını mı öğrenmek istiyorsunuz? Okumaya devam edin…
Aşama 1: Kapsam Belirleme
Kapsam belirleme sırasında kritik varlıkları tanımlarken kuruluşunuzun en değerli süreçlerini ve kaynaklarını anlama yolunda ilk önemli adımı atıyorsunuz. Buradaki amacınız, operasyonlarınız için hayati önem taşıyan varlıkları belirlemektir ve bu genellikle yalnızca güvenlik operasyonları (SecOps) ekibinizin değil, çeşitli paydaşların girdilerini içerir. Kapsam belirleme sadece teknik bir görev değildir, insanlar görev – işinizin bağlamını ve süreçlerini gerçekten anlamakla ilgilidir.
Buna yaklaşmanın yararlı bir yolu, iş açısından kritik varlık atölyeleridir. Bu oturumlar, iş süreçlerinizi onları destekleyen teknolojiyle uyumlu hale getirmek için üst düzey liderlik de dahil olmak üzere karar vericileri bir araya getirir. Ardından, kapsam belirleme çalışmalarınızı desteklemek için eski moda elektronik tablolar, Yapılandırma Yönetimi Veritabanları (CMDB’ler) gibi daha gelişmiş sistemler veya Yazılım Varlık Yönetimi (SAM) ve Donanım Varlık Yönetimi (HAM) gibi özel çözümler gibi araçları kullanabilirsiniz. Ayrıca Veri Güvenliği Duruş Yönetimi (DSPM) araçları, varlıkları analiz ederek ve en fazla korumaya ihtiyaç duyanlara öncelik vererek değerli bilgiler sağlar. (Kapsam Belirleme hakkında daha fazla bilgiyi burada bulabilirsiniz.)
Aşama 2: Keşif
Discovery, teknolojik ortamınızın kapsamlı bir görünümünü derlemek ve güvenlik ekiplerinizin potansiyel riskleri değerlendirmesini sağlamak için çeşitli araçlar ve yöntemler kullanarak kuruluşunuzun ekosistemindeki varlıkları ve güvenlik açıklarını belirlemeye odaklanır.
Güvenlik açığı tarama araçları, varlıkları keşfetmek ve potansiyel zayıflıkları belirlemek için yaygın olarak kullanılır. Bu araçlar, sistemlerinizde ve ağlarınızda bilinen güvenlik açıklarını (CVE’ler) tarar ve ardından hangi alanların ilgilenilmesi gerektiği konusunda ayrıntılı raporlar sunar. Ayrıca Active Directory (AD), özellikle kimlik sorunlarının yaygın olduğu ortamlarda keşifte çok önemli bir rol oynar.
Bulut ortamları için AWS, Azure ve GCP gibi platformlardaki yanlış yapılandırmaları ve güvenlik açıklarını belirlemek amacıyla Bulut Güvenliği Duruş Yönetimi (CSPM) araçları kullanılır. Bu araçlar aynı zamanda bulut ortamlarına özgü kimlik yönetimi sorunlarını da ele alır. (Discovery hakkında daha fazla bilgiyi burada bulabilirsiniz.)
Aşama 3: Önceliklendirme
Etkili önceliklendirme çok önemlidir çünkü güvenlik ekiplerinizin en etkili tehditlere odaklanmasını sağlar ve sonuçta kuruluşunuzun genel riskini azaltır.
Zaten CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) puanlarına göre öncelik veren geleneksel güvenlik açığı yönetimi çözümlerini kullanıyor olabilirsiniz. Ancak, bu puanların çoğu zaman iş bağlamını kapsamakta başarısız olduğunu ve bu durumun hem teknik hem de teknik olmayan paydaşların belirli tehditlerin aciliyetini kavramasını zorlaştırdığını unutmayın. Buna karşılık, iş açısından kritik varlıklarınız bağlamında önceliklendirme yapmak, süreci iş liderleri için daha anlaşılır hale getirir. Bu uyum, güvenlik ekiplerinizin güvenlik açıklarının potansiyel etkisini kuruluş genelinde daha etkili bir şekilde iletmesine olanak tanır.
Saldırı yolu haritalaması ve saldırı yolu yönetimi, önceliklendirmenin temel bileşenleri olarak giderek daha fazla tanınmaktadır. Bu araçlar, saldırganların ağınızda yatay olarak nasıl hareket edebildiklerini analiz ederek, bir saldırının en fazla hasarı verebileceği tıkanıklıkları belirlemenize yardımcı olur. Saldırı yolu haritalamayı içeren çözümler, maruz kalma risklerinin daha kapsamlı bir resmini sunarak önceliklendirme konusunda daha stratejik bir yaklaşıma olanak tanır.
Son olarak, dış tehdit istihbaratı platformları bu aşamada anahtar rol oynuyor. Bu araçlar size aktif olarak yararlanılan güvenlik açıklarına ilişkin gerçek zamanlı veriler sağlayarak CVSS puanlarının ötesinde kritik bağlam sağlar. Ek olarak, yapay zeka tabanlı teknolojiler tehdit tespitini ölçeklendirebilir ve önceliklendirmeyi kolaylaştırabilir ancak sürecinizde hatalara yol açmamak için bunları dikkatli bir şekilde uygulamak önemlidir. (Önceliklendirme hakkında daha fazla bilgiyi burada bulabilirsiniz.)
Aşama 4: Doğrulama
CTEM’in doğrulama aşaması, belirlenen güvenlik açıklarının gerçekten de istismar edilebileceğini doğrular ve bunların gerçek dünyadaki potansiyel etkilerini değerlendirir. Bu aşama, yalnızca teorik riskleri ele almanızı değil, aynı zamanda ele alınmadığı takdirde önemli ihlallere yol açabilecek gerçek tehditlere öncelik vermenizi sağlar.
Doğrulama için en etkili yöntemlerden biri sızma testidir. Pen test uzmanları gerçek dünyadaki saldırıları simüle ederek güvenlik açıklarından yararlanmaya çalışır ve ağınızda ne kadar ilerleyebileceklerini test eder. Bu, uyguladığınız güvenlik kontrollerinin etkili olup olmadığını veya belirli güvenlik açıklarının silah haline getirilip getirilemeyeceğini doğrudan doğrular. Teorik risk puanlarının ötesinde pratik bir bakış açısı sunar.
Manuel sızma testine ek olarak, İhlal ve Saldırı Simülasyonu (BAS) gibi güvenlik kontrolü doğrulama araçları da önemli bir rol oynamaktadır. Bu araçlar, kontrollü bir ortamdaki saldırıları simüle ederek belirli güvenlik açıklarının mevcut savunmalarınızı geçip geçmediğini doğrulamanıza olanak tanır. Dijital ikiz modelini kullanan araçlar, üretim sistemlerini etkilemeden saldırı yollarını doğrulamanıza olanak tanır; bu, operasyonları kesintiye uğratabilecek geleneksel test yöntemlerine göre büyük bir avantajdır. (Doğrulama hakkında daha fazla bilgiyi burada bulabilirsiniz.)
Aşama 5: Seferberlik
Mobilizasyon aşaması, güvenlik ve BT operasyon ekipleriniz arasındaki işbirliğini geliştiren çeşitli araç ve süreçlerden yararlanır. SecOps’un dikkat gerektiren belirli güvenlik açıklarını ve riskleri iletebilmesini sağlamak, bilgi açığını kapatarak BT Operasyonlarının tam olarak neyin düzeltilmesi gerektiğini ve bunun nasıl yapılacağını anlamasına yardımcı olur.
Ayrıca Jira veya Freshworks gibi biletleme sistemlerinin entegre edilmesi, iyileştirme sürecini kolaylaştırabilir. Bu araçlar, güvenlik açıklarını izlemenize ve görevleri atamanıza olanak tanıyarak sorunların kritik varlıklar üzerindeki potansiyel etkilerine göre önceliklendirilmesini sağlar.
E-posta bildirimleri aynı zamanda acil sorunların ve güncellemelerin paydaşlara iletilmesi açısından da değerli olabilir; Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümleri ise çeşitli kaynaklardan gelen verileri merkezileştirerek ekiplerinizin tehditleri hızlı bir şekilde tanımlamasına ve bunlara yanıt vermesine yardımcı olabilir.
Son olarak, yaygın güvenlik açıklarına yönelik iyileştirme adımlarının ana hatlarını çizen net taktik kitapları oluşturmak önemlidir. (Seferberlik hakkında daha fazlasını buradan okuyun.)
XM Cyber ile CTEM’i Başarılabilir Hale Getirmek
Artık CTEM’i gerçeğe dönüştürmek için ihtiyaç duyacağınız araçların listesini okuduğunuza göre, başlamaya daha hazır hissediyor musunuz?
CTEM ne kadar dönüşümsel olursa olsun, birçok ekip yukarıdaki listeyi görüyor ve bunun fazla karmaşık ve incelikli bir girişim olduğunu düşünerek anlaşılır bir şekilde geri adım atıyor. CTEM’in başlangıcından bu yana bazı ekipler avantajlardan vazgeçmeyi seçti çünkü bir yol haritası olsa bile bu onlar için çok hantal bir iş gibi görünüyor.
CTEM’i oldukça ulaşılabilir bir gerçeklik haline getirmenin en verimli yolu, CTEM’in tüm aşamalarını tek bir uyumlu platformda entegre ederek uygulamayı basitleştiren birleşik bir CTEM yaklaşımıdır. Bu, genellikle farklı araçların ve süreçlerin dağıtımıyla ilişkili karmaşıklığı en aza indirir. XM Cyber ile şunları yapabilirsiniz:
- Riskleri iş riskine göre önceliklendirmek için kritik iş süreçlerini temeldeki BT varlıklarıyla eşleştirin.
- Şirket içi ve bulut ortamlarında ve dahili ve harici saldırı yüzeylerinde tüm CVE’leri ve CVE olmayanları (yanlış yapılandırmalar, kimlik riskleri, aşırı izinler) keşfedin.
- Tehdit istihbaratından, saldırı yolunun karmaşıklığından, güvenliği ihlal edilen kritik varlıkların sayısından ve birden fazla saldırı yoluna giden Dar Noktalarda olup olmadığından yararlanan tescilli Saldırı Grafiği Analizi™’ne dayalı daha hızlı, doğru önceliklendirme elde edin.-
- Belirli bir ortamda sorunlardan yararlanılabilir olup olmadığını ve güvenlik kontrollerinin bunları engelleyecek şekilde yapılandırılıp yapılandırılmadığını doğrulayın.
- Bağlama dayalı kanıtlara, iyileştirme rehberliğine ve alternatiflere odaklanarak iyileştirmeyi iyileştirin. Ayrıca iyileştirme ilerlemesini takip etmek için biletleme, SIEM ve SOAR araçlarıyla da entegre olur.
CTEM – Yol Budur
XM Cyber’in CTEM’e yönelik birleşik yaklaşımı, birden fazla aşamayı tek bir uyumlu platformda entegre ederek uygulamayı basitleştirir. Bu, farklı araçların ve süreçlerin dağıtımıyla ilişkili karmaşıklığı en aza indirir. XM Cyber ile maruz kalma durumlarınıza ilişkin gerçek zamanlı görünürlük elde ederek, iyileştirme çabalarını teorik değerlendirmeler yerine gerçek riske dayalı olarak önceliklendirebilirsiniz.
Platform, SecOps ve IT Ops arasında kesintisiz iletişimi kolaylaştırarak herkesin güvenlik açıkları ve iyileştirme konusunda aynı fikirde olmasını sağlar. Bu işbirliği, daha verimli ve duyarlı bir güvenlik duruşunu teşvik ederek kuruluşunuzun potansiyel tehditleri hızlı ve etkili bir şekilde ele almasına olanak tanır. (XM Cyber’ın neden CTEM’e yönelik en eksiksiz yanıt olduğu hakkında daha fazla bilgi edinmek için CTEM Satın Alma Kılavuzumuzun bir kopyasını buradan alın.)
Sonuçta, XM Cyber yalnızca ekibinizin riskleri yönetme yeteneğini geliştirmekle kalmaz, aynı zamanda gelişen bir tehdit ortamına sürekli olarak uyum sağlamanıza da olanak tanır.
Not: Bu makale XM Cyber ABD Güvenlik Satış Mühendisliği Ekip Lideri Karsten Chearis tarafından ustalıkla yazılmış ve katkıda bulunulmuştur.