CISO’lar uzun zamandır e-tablo meraklıları olmuş, metrikleri öğrenmiş ve bunları güvenlik ilerlemesi için KPI’lar olarak kullanmışlardır. Bu ölçümler geleneksel olarak belirli sistemleri veya tek göstergeleri (tespit edilen güvenlik açıkları, yama uygulanan güvenlik açıklarının yüzdesi, yazılım ve donanım varlık envanteri kapsamı vb.) ölçmektedir. NIST Siber Güvenlik Çerçevesi (CSF) 2.0, bu gibi ölçümlerin tek başına yetersiz ve hatta kullanıldığında muhtemelen uygunsuz olduğunun altını çizmiştir. güvenlik sonuçlarının vekilleri olarak.
Silolanmış, dar ölçümlerin elbette siber güvenlikte yeri vardır. Ancak akıllı CISO, bu bağımsız metrikleri yalnızca tek bir bilgi türü olarak değerlendirecektir; bu tür yararlı bir bilgidir ancak aynı zamanda hatalı olabilir veya kandırılabilir. Bu nedenle resmin tamamını görmek isteyen CISO’ların güvenlik süreçlerini de yakından incelemesi gerekiyor.
Metriklerin etkili kullanımı ile güvenlik süreçlerinin nasıl işlediğine dair daha derin bir anlayışı birleştirmek, daha fazla güvenlik çevikliği oluşturmanın ve ekiplerin daha hızlı ve etkili tepki vermesini sağlamanın en iyi yoludur.
CISO’ların, ekiplerin işlerini nasıl gerçekleştirdiğine ilişkin gözlemlenebilirlik sağlamak için süreç uyumluluğuna ilişkin yeni bir ölçüm kümesine ihtiyacı var. Süreç ölçümleri birden fazla sistemi ve özelliği kapsayabilir, siloları parçalayabilir ve CSF 2.0’ın tek bir özelliği veya faktörü ölçen eski tarz ölçümlere göre sonuçlara vurgu yapmasıyla daha uyumlu olan daha bütünsel bir güvenlik görünümü sağlayabilir.
CISO’lar neden e-tablolara ve ölçümlere aşık oldu?
Başlangıçta CISO’lar genellikle her araçtan birer tane olmak üzere elektronik tablolar halinde silo halinde raporlar alıyordu. Analistler bunları manuel olarak değerli ve kapsamlı bir şey halinde toplayacaklardı. Görsel sunum katmanları geliştikçe ve API’ler aracılığıyla güvenlik aracı entegrasyonları daha yaygın hale geldikçe, CISO’lar ölçüm hatasını fark etti ve elektronik tablolarını tamamlayacak gösterge tabloları oluşturmaya başladı. Ve neden olmasın? İstatistikleri yayınlamak, hikayeleri ve temel gerçekleri iletmek için otomatik pilotta çalışan canlı, iyi tasarlanmış bir sistemi kim sevmez? Çoğu durumda kontrol paneli, orijinal e-tabloların bir uzantısıydı. Kontrol paneli, e-tablolar gibi aynı zamanda KPI uyumluluğu ve uyarlanabilirliği vaadini de sunuyordu.
Sorumluluk her zaman CISO’lar için temel bir zorluk olmuştur. Gösterge tabloları ve ölçümler, sorumluluk katmanı pastasının üzerine krema koyarak bunu kolay ve göz alıcı hale getirir. Siber güvenlikte açık ve ölçülebilir ölçümlerin cazibesi yadsınamaz. Kontrol panelleri kontrol vaadiyle parlıyor ve bir kuruluşun siber sağlığını ölçmenin görünüşte basit bir yolunu sunuyor. Metrikler şekillendirilebilir olabilir ve CISO’ların ilerlemeyle ilgili hikayeleri hızlı bir şekilde anlatmasına veya daha fazla yatırım için gerekçeler oluşturmasına yardımcı olabilir.
Ayrıca kritik kontrol panelleri ve ölçümler, yönetimi basitleştirmenin bir yolunu sunuyordu. Yönetim kurulu toplantılarında ve haftalık ELT sohbetlerinde CISO, bir paragraf yorumun yanı sıra en son gösterge panosuna bir bağlantı gönderebilir ve bu işi bir gün sonra bitirebilir. Sonuçta, diğer tüm C takımı liderlerinin, sermaye maliyetinden kişi başına maliyete, sürekli gelirden pazarlama nitelikli potansiyel müşterilere kadar kendi ölçümleri vardı. Kontrol paneline boyanmış güvenlik ölçümleri sorunsuz bir şekilde panele düşecektir. Veya elektronik tabloları konuşan finans ekibi için bunu bir elektronik tabloya aktarabilirsiniz.
CISO’lar neden ağırlık metriklerini ve süreçlerini eşitlemeli?
Ancak bu kesinlik maskesinin altında karmaşık bir gerçek yatmaktadır: bireysel ölçümler yararlı olsa da, silolanmış sistemlerden yalnızca tekil veri noktalarını ölçtüklerinden temelde sınırlıdır. Daha ilerici CISO’lar, gösterge tablolarına daha karmaşık bir bakış açısı getiriyor ve ölçümleri ve sonuçları etkileyen süreçleri mercek altına alıyor. Bruce Schneier’in uzun süredir tartıştığı gibi güvenlik bir ürün değil, bir süreçtir.
Süreç metriklerinin neden geleneksel silolanmış metriklerin gerekli bir tamamlayıcısı olduğunu anlamak için, Çinli ve Rus bilgisayar korsanlarının sırasıyla üst düzey ABD hükümet yetkililerinin ve üst düzey Microsoft yöneticilerinin e-posta hesaplarına erişmelerine olanak tanıyan son saldırılarını düşünün.
Bu saldırılar, kaba yöntemleri akıllı sosyal mühendislikle ve bazı durumlarda çok yüksek risk olarak kabul edilmeyen bilinen güvenlik açıklarından yararlanmayla birleştirdi. Bazı durumlarda saldırganlar, yanlışlıkla kurumsal ağlara bağlı kalan eski dahili sunucuları hedef aldı.
Bu saldırılar büyük ölçüde güvenlik kontrol panellerinin radarının altından geçiyordu. Bu olayların analizi öncelikle suç işleyen kuruluşların güvenlik kültüründe, diğer bir deyişle güvenlik süreçlerinin eksikliği veya uygunsuz olmasında hatalıydı. Zayıf veya başarısız süreç örnekleri arasında, eski sistemlerin çevrimdışı olduğundan emin olmak için yapılan yetersiz kontroller ve kalıcı saldırıları engellemek için yetersiz sertifika rotasyon süreçleri yer alıyordu. Sonuç olarak? Metrikler tek başına bu bozuk sürecin hikayesini anlatamaz. Daha genel anlamda, daha kapsamlı bir sürecin parçası olarak metriklere değil, tek veri noktalarına dar anlamda güvenmek CISO’lar için tehlikelidir.
- Silolanmış metrikler hikayenin tamamını anlatmıyor: Dar ölçümler yamalı güvenlik açıklarının sayısını gösterebilir ancak temel nedenleri, bu güvenlik açıklarının nasıl önceliklendirildiğini veya en kritik olanların ilk önce ele alınıp alınmadığını tespit edemez. Tek başına dar metrik ölçümler, ekiplerin tutarlı yama protokolleri izleyip izlemediğini veya anlık kararlar alıp almadığını ortaya çıkarmaz.
- Silolanmış metriklerle kolayca oynanır: Ekipler yalnızca ölçümlerle sorumlu tutulursa, gerçek güvenliğe ulaşmak yerine hedefleri vurmaya odaklanabilirler. Şişirilmiş sonuçlar veya özenle seçilmiş istatistikler, anlamlı iyileştirmeler sağlamak yerine sahte bir başarı duygusu yaratacak şekilde düzenlenebilir.
- Silolanmış metrikler uyarlanabilirliği yansıtmaz: Yalnızca ölçümlere odaklanmak yenilikçiliği ve hazırlığı engelleyebilir. Silolanmış ölçümler genellikle yeni ortaya çıkan bir tehdide verilen yanıtın hızını veya etkinliğini değil, geçmiş verileri yansıtır.
Bunların hiçbiri dar ölçümlerin işe yaramaz olduğu anlamına gelmiyor. Yönlülükleri daha büyük sorunlara veya süreç zayıflıklarına işaret edebilir. Örneğin, güvenlik kontrollerinin hazır olma durumunu veya saldırıların hacmini ve türünü anlık olarak görüntülemenin mükemmel bir yoludur.
Dar ölçümler bir kuruluşun günlük güvenlik duruşunu ölçmenin bir yoludur. Ancak CISO’lar, odağı dar metriklerden süreç metriklerine doğru genişleterek daha iyi güvenlik sonuçları elde edebilir. Karışıma süreç analizini eklemenin bazı avantajları şunlardır:
- Bütünsel anlayış: Süreç odaklı güvenlik, güvenlik önlemlerinin daha büyük süreçlerin bir parçası olarak birlikte nasıl çalıştığına dair kapsamlı bir anlayış sağlar. Bu anlayış, CISO’ların karmaşık soruları yanıtlamasına, bilinçli kararlar almasına ve iyileştirilecek alanları belirlemesine olanak tanır.
- Gerçek sorumluluk: Ölçümlere göre sürecin önceliklendirilmesi, sorumluluğun yalnızca hedeflere ulaşmaya değil aynı zamanda anlamlı güvenlik iyileştirmeleri elde etmeye dayalı olmasını sağlar. Bu yaklaşım, ekiplerin oyun ölçümleri yapmasını engeller ve gerçek güvenlik sonuçlarına odaklanmayı teşvik eder.
- Uyarlanabilirlik ve yenilik: Metrikler çoğunlukla geçmiş verileri yansıtır ve ortaya çıkan tehditlere verilen yanıtın hızını ve etkinliğini yansıtmayabilir. Süreç önceliklendirmesi, uyarlanabilirliği ve yenilikçiliği teşvik ederek kuruluşların gelişen siber tehditlerin önünde kalmasını sağlar.
CISO’lar nasıl daha iyi bir süreç gücü oluşturabilir?
Süreç odaklı bir güvenlik yaklaşımı oluşturmak, bir dizi kontrol listesi ve taktik kitabı oluşturmaktan daha karmaşıktır (gerçi bunların da yeri vardır). Daha iyi bir süreç odaklı kültür ve yaklaşım oluşturmak için bazı temel adımları burada bulabilirsiniz.
Güvenlik süreçlerini analiz edin ve enstrümanlayın. Ölçülmeyen şey geliştirilemez. Süreç başarısızlıklarının ve boşluklarının sistematik analizini mümkün kılmak için güvenlik süreçlerini izlemeye ve günlüğe kaydetmeye yönelik yöntemler dağıtın. Sık sık yapılan analizler ve geriye dönük incelemeler olmadan, ekipler eylemlerinden ders alamayacak ve kolektif öğrenme, paylaşılan öğrenmeler yoluyla ölçeklenemeyecek. İronik bir şekilde bu, başka bir ölçüm biçimi yaratıyor, ancak bir farkla. Süreç metrikleri, doğrudan ortamınızdan gelen canlı verileri kullanarak sistemlerin ve insanların ne yaptığını ve bunu nasıl yaptığını inceler. Güvenlik duruşu yönetimi ve müdahalesinin insan unsuruna bir mercektir.
Kuralları değil, süreç rehberliğini sağlayın. Ekiplerin süreçleri kendi ihtiyaçlarına ve durumlarına uyarlamalarına izin verildiğinde süreçler daha güçlü hale gelir. Güvenlik ekiplerinin bilgeliğini ve gücünü ortaya çıkarmak isteyen CISO’lar, onlara, bu sonuçlara nasıl ulaşacaklarına dair belirli kurallar yerine arzu ettikleri sonuçlar konusunda rehberlik edecekler.
İnsan uzmanların yol göstermesine izin verin. En iyi güvenlik mühendisleri, desen tanıma konusunda dahidir. Köklere neden olan saldırılardaki mantıkları çoğu zaman süreçlerin tasarlanması için mükemmel rehberlik sağlar. Bu aynı zamanda ekiplere yetki verir ve iş akışlarına uygun süreçleri oluşturmalarına ve uyarlamalarına olanak tanır.
Günümüzün CISO’ları baş döndürücü bir dizi siber güvenlik sorunuyla karşı karşıyadır. CSF 2.0 ve ölçümler üzerinden sonuçlara ve süreçlere doğru ilerlemesi, basit ölçümlere ve kontrol panellerine olan eski güvenin, hızla gelişen tehdit ortamını karşılamak için yetersiz olduğunu kabul ediyor.
Sistemleri kapsayan ve davranışları ve olayları toplu olarak gösteren bileşik ölçümlerle süreçlerin yakalanması, güvenlik ekiplerinin sonuçlara odaklanmasına ve en önemli anlarda nasıl davranacaklarına dair net bir vizyon kazanarak daha uyumlu olmalarına yardımcı olacaktır.