Çevrenizde neyin koştuğunun farkında değilseniz, bunu yamalayamaz, izleyemez veya güvence altına alamazsınız. Basit gerçek şu ki, var olduğunu bilmediğiniz şeyi savunamazsınız. Ekibiniz alt alan veya eşleştirilmemiş bir evreleme sunucusu gibi bir varlıktan emin değilse, güvenlik kontrollerinize dahil edilmeyecektir. Tespit edilmezse, sonunda bir tehdit oyuncusu bulacak ve kullanacaktır.
Intigriti’nin önde gelen böcek ödül avcılarından biri ‘2. çeyrekte en iyi hacker’da tartışıyor
Her zaman unutulmuş sunucuyu bulabilirsiniz. Her zaman özel bir adres alanına işaret eden bir DNS girişi olabilir; Bu, sunucu tarafı bir istek ambalajı (SSRF) bulursanız daha sonra kullanabileceğiniz bir şeydir. Belki bu evreleme sunucusu üretim sunucuları gibi CloudFlare’e işaret etmiyor.
Varlık yönetimi eksikliği, ihlallere ve veri sızıntılarına yol açabilecek güvensiz cihazlara yol açabilir. Etkili Varlık Yönetimi siber güvenlik olgunluğunun temel taşıdır ve anlamlı hata ödül sonuçları için gereklidir.
Güncel bir varlık envanteri, risk yönetiminin yanı sıra olay yanıtı ve güvenlik açığı taramasının temel taşı olduğundan, ISO27001, SOC2, NIS2, NIST ve CI’ler dahil olmak üzere çoklu siber güvenlik çerçeveleri önemini vurgulamaktadır.
. Ağ ve Bilgi Güvenliği Direktifi (NIS 2), örneğin, Avrupa Birliği (AB) genelinde siber güvenlik ve kritik altyapıyı iyileştirmek için tasarlanmış yasal bir çerçevedir. NIS2 uyumlu olmanın ilk adımı, tüm BT varlıklarınızın durumunu sergilemektir. Bu, kullanımda olan tüm donanım ve yazılımları tanımlayabilmeyi ve daha sonra ilişkili risk seviyelerini değerlendirebilmeyi içerir.
ISO27001 Finansal bilgiler, fikri mülkiyet, çalışan detayları veya üçüncü taraflarca emanet edilen bilgiler gibi varlıkların güvenli yönetimini ve güvenliğini garanti eder. Ayrıca şirketlerin varlıklarını tanımlamasını ve belgelemelerini, ilişkili riskleri tanımlamasını ve söz konusu varlıkları korumak için adımlar atmasını gerektirir.
En yüksek güvenlik seviyelerini sağlamak, yaptığımız işin merkezindedir. ISO/IEC 27001, müşterilerimiz tarafından en iyi bilinen ve en çok aranan sertifikadır. Bu sertifikayı gerçekleştirerek, müşterilerimizin yaptığımız şeyin güvenliğine ve gizliliğine mutlak güvene sahip olabilmelerini sağlamak için bir adım daha attık.
SOC2 (Sistem ve Organizasyon Kontrolleri) SOC 2, işletmelerin beş temel güven kriterine göre hassas verileri yönetmelerini ve güvence altına almasını gerektiren bir uyumluluk standardıdır. Bunlar güvenlik, kullanılabilirlik, işleme bütünlüğü, gizlilik ve gizliliktir. Varlık yönetimi bağlamında, SOC 2, fiziksel ve dijital varlıkların doğru bir envanterinin korunmasını, erişim kontrollerinin uygulanmasını, sistemin kullanılabilirliğini sağlamak, hassas ve kişisel verilerin sağlanmasını ve tam varlık yaşam döngüsünü yönetmeyi vurgulamaktadır. SOC2 hakkında daha fazla bilgi edinin.
. NIST Siber Güvenlik Çerçevesi ‘Kimlik’ bölümündeki ilk adım olarak varlık yönetimini içerir.
‘Kuruluşun iş amaçlarına ulaşmasını sağlayan veriler, personel, cihazlar, sistemler ve tesisler, iş hedefleri ve kuruluşun risk stratejisi için göreceli önemleriyle tutarlı bir şekilde tanımlanır ve yönetilir’ – NIST, Siber Güvenlik Çerçevesi, Tanımlama
Ve İnternet Güvenliği Merkezi (CIS) Controls, donanım ve yazılım varlıklarının envanterleştirilmesine odaklanır. Kontrol 1, işletme varlıklarının kontrolünü belirtir:
‘Tüm işletme varlıklarını (taşınabilir ve mobil; ağ cihazları; ağ cihazları; Nesnelerin (IoT) cihazların (IoT) İnterneti (IoT) İnterneti ve sunucular) aktif olarak yönetin (envanter, mobil; ağ cihazları; Bu aynı zamanda yetkisiz ve yönetilmeyen varlıkların kaldırılması veya düzeltilmesi için tanımlanmasını da destekleyecektir. ‘ – Kurumsal varlıkların envanteri ve kontrolü.
Kontrol 2, yazılım varlıklarının kapsamlı stoklarının korunmasını belirlerken:
‘Yalnızca yetkili yazılımın yüklenmesi ve yürütülebilmesi için ağdaki tüm yazılımları (işletim sistemleri ve uygulamalar) aktif olarak yönetin (envanter, iz ve düzeltin) ve yetkisiz ve yönetilmeyen yazılımların kurulum veya yürütülmesinden itibaren bulunması ve önlenmesi.
Saygın bir varlık envanteri, donanım, yazılım, bulut varlıkları, ağ cihazları, alan adları ve alt alanlar dahil olmak üzere şirketinizin alanında her şeyi içermelidir.
Donanım, cep telefonları, dizüstü bilgisayarlar, IoT cihazları ve sunucular gibi öğeleri içermelidir. Yazılım tüm uygulamaları, lisansları ve ürün yazılımını içermelidir.
Birçok belirsiz veya daha az kullanılan eleman kaçırılabilir. Örneğin yazıcılar veya dağıtım ağı operatörleri (DNO’lar) tarafından elektrik ağına bağlı şarj direkleri kaçırılabilir.
Bulut varlıklarınız için depolama hesaplarının yanı sıra sunucusuz işlevler, bulut, sanal makineler ve S3 kovaları eklediğinizden emin olun.
‘AWS S3 (Basit Depolama Hizmeti) kovaları, yazılım şirketleri ve kuruluşlar tarafından halka açık ve hassas verileri depolamak için kullanılan popüler bir depolama hizmetidir. Ancak, bu hizmetin uygulanması her zaman doğru yapılmaz. Tek bir eksik erişim politikası genellikle güvenlik riskleri, veri sızıntıları veya diğer istenmeyen sonuçları getirebilir. ‘ – Hacking yanlış yapılandırılmış AWS S3 kovaları
Ağ aygıtları listesi altında, tüm anahtarları, yönlendiricileri ve güvenlik duvarlarını kataloglayın. Alanlar ve alt alanlar, tüm aktif ve park edilmiş alanlar ve DNS kayıtlarını içermelidir.
‘Alan adları merkezi olarak şirket düzeyinde varlıklar olarak yönetilir. Daha önce, özdeş adlara ve türlere sahip yinelenen alanlar otomatik olarak tek, benzersiz varlık girişleriyle birleştirilmişti. Harici API’ler ve mevcut entegrasyonlar bu güncellemeden etkilenmez. ‘ – Varlık Yönetimi
Sağlanması gereken bir diğer unsur, haydut cihazlar, geliştirici örnekleri ve gayri resmi SaaS araçları gibi gölge BT’dir.
‘Gölge BT, resmi BT veya güvenlik onayı olmadan oluşturulan varlıkları ifade eder. Bu, geliştirici ortamlarını, haydut API’leri ve kayıt dışı bulut örneklerini içerebilir. Bu unsurlar envanter kontrollerini atlayabilir ve bu nedenle tarama veya hata ödül kapsamlarına dahil edilemez. ‘ – Güvenlik olgunluğu karmaşıklığı
Güncel bir varlık listesine ve neleri dahil edileceğine dair birçok kılavuza sahip olmanın açık önemine rağmen, ‘Varlık yönetimi neden çoğu şirket için bir zorluk olmaya devam ediyor?’
Şirket içi ortamlar hala manuel süreçlere ve çoğu zaman eski CMDB’lere güvenmektedir.
‘Modern ortamların dinamik doğası nedeniyle, yapılandırma yönetimi veritabanlarının (CMDB’ler) korunması zorlaşıyor. Bulut örnekleri ve kaplar gibi unsurların hesaba katılması gerekir. Manuel güncellemeler zaman yoğundur ve zayıf entegrasyon ve araç eksikliği eksik girişlere yol açabilir. Bunun yanı sıra, yön eksikliği ve onunla birlikte sahiplik eksikliği, sorumlulukların net olmadığı bir suç kültürü aşılıyor. ‘ – Güvenlik olgunluğu karmaşıklığı
Bulut tabanlı müşteriler için zorluk, Merkezi Varlık Yönetimi Listesine girmeyebilecek sessiz bulut çözümlerinin kullanılmasıdır.
Herkese uyan tek bir çözüm yoktur, ancak ortamınıza bağlı olarak başlamak için kullanabileceğiniz araçların bir karışımı vardır.
· Hem hibrit hem de bulut merkezli ortamlar için, varlık izleme ve hem donanım hem de yazılım envanterleri hakkında raporlama için uygulanabilen Varlık Panda gibi araçları kullanabilirsiniz. Mobil destek, özel iş akışları ve barkod taraması ile birlikte gelir.
-
Bluetally, atamaları ve yaşam döngüsünü izlemek için kullanılabilecek Azure AD, Intune ve JAMF gibi diğer platformlara entegrasyonlarla varlık yönetimi için kullanışlıdır.
-
Microsoft Intune, mobil cihazlarda, işletim sistemlerinde ve Windows makinelerinde uç nokta güvenliği, envanter ve uyumluluğu yönetmek için kullanılabilir. Intune ve JAMF gibi mobil cihaz yönetimi (MDM) çözümleri.
-
Geleneksel bir şirket içi hizmet için Active Directory (AD), etki alanına bağlı cihazları, kullanıcıları ve grupları izlemek ve politika uygulama sağlamak için kullanılabilir.
-
ServiceNow BT Varlık Yönetimi (ITAM), süreçler için otomasyon özelliklerine sahip kurumsal düzeyde bir varlık ve yapılandırma yönetimi platformudur.
-
Hibrit ortamlar için, LansWeeper gibi araçlar varlık keşfi ve envanter için aracısız bir ağ sağlayabilir.
-
Ve Snipe-It, şirket içi konuşlandırma gerektiren küçük ve orta ölçekli şirketler için tasarlanmış açık kaynaklı bir BT varlık yönetim sistemidir.
Siber güvenlik yapılacaklar listenizdeki bir sonraki şeye atlamadan önce duraklatın ve kendinize, ekibinize ve şirketinize “Neye sahip olduğumuzu biliyor muyuz?” Diye sorun.
Cevap% 100’den daha az bir şeyse evet, varlık yönetiminize bakmaya başlayın. Gerçek siber güvenlik burada başlıyor. Doğru Varlık Yönetimi, güvenlik olgunluğunuzu oluşturmanın temelini oluşturacak ve verimli böcek ödül avının temeli olacaktır.
Varlık yönetimi için proaktif adımlar için bu blogu okuyun.
Veya, bu makalede tartışılan herhangi bir şeyden emin değilseniz veya hata ödülüyle ilgili sorular için buradaki ekiple iletişime geçin.