Siber güvenlik ekipleri giderek artan bir şekilde tehditlere ve güvenlik açıklarına ayrı ayrı bakmanın ötesine geçmek istiyor. Bu sadece neyin yanlış gidebileceği (zafiyetler) veya kimin saldırabileceği (tehditler) ile ilgili değil, aynı zamanda bunların gerçek ortamınızda nerede kesiştiği ve gerçek, sömürülebilir bir teşhir yaratmasıyla da ilgilidir.
Hangi maruz kalmalar gerçekten önemli? Saldırganlar bunlardan yararlanabilir mi? Savunmalarımız etkili mi?
Sürekli Tehdit Maruziyeti Yönetimi (CTEM) siber güvenlik ekiplerine birleşik tehdit/zafiyet veya maruziyet yönetimine yönelik yolculuklarında yararlı bir yaklaşım sağlayabilir.
CTEM Gerçekte Ne İfade Ediyor?
Gartner tarafından tanımlandığı şekliyle CTEM, saldırı yüzeyinizdeki istismar edilebilir açıkları tanımlama, önceliklendirme ve düzeltmeye yönelik ‘sürekli’ bir döngüyü vurgular ve sonuç olarak genel güvenlik duruşunuzu geliştirir. Bu, tek seferlik bir tarama ve bir araç aracılığıyla sağlanan bir sonuç değildir; beş adıma dayanan operasyonel bir modeldir:
- Kapsam belirleme – Tehditlerinizi ve güvenlik açıklarınızı değerlendirin ve en önemli olanı belirleyin: varlıklar, süreçler ve rakipler.
- Keşif – Düşmanın eylemlerini tahmin etmek için ortamınızdaki riskleri ve saldırı yollarını haritalandırın.
- Önceliklendirme – Saldırganların gerçekçi bir şekilde nelerden yararlanabileceğine ve neyi düzeltmeniz gerektiğine odaklanın.
- Doğrulama – Güvenli, kontrollü saldırı simülasyonlarıyla varsayımları test edin.
- Seferberlik – Kanıta dayalı iyileştirme ve süreç iyileştirmelerini teşvik edin
CTEM’in Gerçek Faydası Nedir?
CTEM, odağı riske dayalı risk yönetimine kaydırarak güvenlik açığı değerlendirmesi, güvenlik açığı yönetimi, saldırı yüzeyi yönetimi, test ve simülasyon gibi birçok alt süreci ve aracı entegre eder. CTEM, güvenlik ekiplerinin siber riskin azaltılmasına yönelik potansiyel etkiyi kaydedebilmesi ve raporlayabilmesi nihai hedefi ile maruz kalma değerlendirmesi ve maruziyet doğrulamayı birleştirir. Teknoloji veya araçlar hiçbir zaman sorun olmadı; Aslında siber güvenlik alanında pek çok sorunumuz var. Aynı zamanda, daha fazla araçla daha fazla silo oluşturduk ve CTEM’in meydan okumaya başladığı şey de tam olarak bu: tehditler/zafiyetler/saldırı yüzeyleri konusundaki bakış açımızı birleştirebilir ve genel siber riski azaltmak için gerçek anlamda istismar edilebilir maruziyetlere karşı harekete geçebilir miyiz?
CTEM’de Tehdit İstihbaratının Rolü
Her yıl binlerce güvenlik açığı bildiriliyor (2024’te bu sayı 40.000’den fazlaydı), ancak gerçekte %10’dan azı istismar ediliyor. Tehdit İstihbaratı, güvenlik açıklarını aktif kampanyalarda gözlemlenen düşman taktikleri, teknikleri ve prosedürlerine (TTP’ler) bağlayarak kuruluşunuz için önemli olanlara odaklanmanıza önemli ölçüde yardımcı olabilir. Tehdit istihbaratı artık sahip olunması gereken bir şey değil, sahip olunması gereken bir şey. Öncelikli İstihbarat Gereksinimlerini (PIR’ler) belirlemenize yardımcı olabilir: bağlam, ortamınızda en önemli olan tehdit ortamı. Bu öncelikli tehdit istihbaratı size hangi kusurların, hangi hedeflere karşı ve hangi koşullar altında silah haline getirildiğini söyler, böylece neyin istismar edilebilir olduğuna odaklanabilirsiniz. senin çevrendeteorik olarak mümkün olan bir şey değil.
Tehdit istihbaratı ekibinize sormanız gereken soru şudur: Bugün topladığınız tehdit verilerinin değerini optimize ediyor musunuz? Bu sizin ilk iyileştirme/değişim alandır.
Doğrulama Odaklı Risk Azaltma
Öncelikli tehdit istihbaratının, güvenlik kontrollerinizin en olası istismarlara ve saldırı yollarına karşı nasıl dayandığını ve kuruluşunuzu nasıl etkileyebileceğini görmek için test ve doğrulama ile takip edilmesi gerekir. Burada önemli bir faktör, güvenlik doğrulama programınızın teknolojinin ötesine geçmesi gerektiğidir; aynı zamanda süreçleri ve insanları da içermelidir. Mükemmel şekilde ayarlanmış bir EDR, SIEM veya WAF, olay iş akışlarınızın belirsiz olması, taktik kitaplarınızın güncel olmaması veya yükseltme yollarının baskı altında bozulması durumunda sınırlı koruma sunar. Bu noktada ihlal ve saldırı simülasyonu, masa üstü egzersizler, otomatikleştirilmiş sızma testi vb.nin Adversarial Exposure Validation’a (AEV) doğru yakınsamasını görmeyi bekliyoruz.
Moda Sözcüklerden Kaçının
CTEM bir ürün değildir; risk yönetimi için sonuç odaklı ölçümleri kullanan stratejik bir yaklaşımdır. Bunun uygulanması da tek bir güvenlik ekibinin/fonksiyonunun sorumluluğunda değildir. Bunun tepeden yönetilmesi, siloların kırılması ve ekipler arasındaki güvenlik iş akışlarının iyileştirilmesi gerekiyor. Karar vermek için ‘Kapsam Belirleme’ aşamasıyla başlayın Ne Maruziyet yönetimi programınıza dahil etmek ve Neresi önce odaklanmak için:
- Siber güvenliğin doğrudan etkileyebileceği en önemli iş risklerimiz nelerdir?
- Hangi ortam (şirket içi, bulut, BT/OT, yan kuruluşlar…) ve varlık türleri (taç mücevherleri, uç noktalar, kimlik sistemleri, veri depoları…) kapsam dahilindedir?
- Bu envanterin doğru bir görünümü var mı?
- Hangi tehdit aktörleri ve saldırı yöntemleri sektörümüz ve teknoloji grubumuzla en alakalı?
- Kapsamı iyileştirmek için mevcut tehdit istihbaratını ve olay verilerini nasıl birleştireceğiz?
- ‘Kritik maruziyeti’ nasıl tanımlayacağız (istismar edilebilirlik, iş etkisi, veri hassasiyeti, patlama yarıçapı vb. temel alınarak)?
- Araçları, insanları, süreçleri ve araçları bugün doğrulayabiliyor muyuz?
- Bu kapsamdaki sorunları (insanlar, araçlar, SLA’lar) düzeltmeye yönelik başlangıç kapasitemiz nedir?
Bu kapsamlı bir liste değildir ancak bu sorular, aşırı geniş ama yönetilmesi zor bir çaba yerine, yürütülebilecek ve ölçülebilecek gerçekçi, risk odaklı bir CTEM kapsamının tanımlanmasına yardımcı olur.
Sonuç olarak:
CTEM, önemli soruları kanıtlarla yanıtladığında çalışır:
Bize ne zarar verebilir? Bu nasıl olurdu? Bunu durdurabilir miyiz?
Teşhir yönetimi, tehdit istihbaratı ve doğrulama uygulamaları hakkında daha fazla kaynak için şu adresi ziyaret edin: Telkari.