Günümüzün güvenlik ekiplerinin kendilerini güvenlik açıklarını belirleme, önceliklendirme ve azaltma konusunda hiç bitmeyen bir döngüde sıkışıp kalmaları yaygın bir zorluktur. Çoğu zaman bu sürekli süreçte gözden kaçırılan şey teminat borcudur. Teknik borca benzer şekilde, güvenlik borcu da bir kuruluşun yazılım ve sistemlerindeki çözülmemiş güvenlik açıklarının giderek artan toplamıdır. Daha fazla güvenlik açığı tespit edildikçe ve düzeltme için daha yüksek riskli olanlara öncelik verildikçe, geri kalan güvenlik açıkları listesi büyümeye devam ediyor.
Risk bazlı güvenlik açığı yönetimi yoluyla, daha yüksek öncelikli güvenlik açıklarını gidermeye odaklanmak harika bir fikir gibi görünüyor. Ancak düzelttiğiniz şeyin gölgesinde kalan, aynı zamanda neyin düzeltilmeyeceğine dair pasif bir karar da vardır; bu, zamanla bir kuruluşun kaynaklarını zorlayabilecek, ‘düşük’ riskli güvenlik açıklarından oluşan büyük bir birikim oluşturur. Güvenlik açıklarına yönelik standart keşif ve yanıt süreci, genellikle kuruluşların her 10 yeni güvenlik açığından ikisini düzeltmesini sağlarken, daha az risk oluşturan ancak hiçbiri olmayan geri kalan %80’i, döngü en son güvenlik açıklarını ele almak için kendini tekrarladığından geri itilir. Önce ‘kritik’ güvenlik açıkları.
Menkul Kıymet Borcunun Etkisi
Kuruluşlar düşük öncelikli güvenlik açıklarını sürekli olarak ele alınmadan bıraktığında, güvenlik borcu oluşur ve bunun birkaç olumsuz etkisi olabilir:
•Artırılmış Saldırı Yüzeyi: Daha fazla güvenlik açığı açığa çıktıkça, zamanla bu güvenlik açıklarının riski artabilir, bu da saldırı yüzeyini genişleterek saldırganların zayıf noktalardan yararlanmasına ve uzun vadede sistemlere sızmasına olanak tanır.
• Kaynak Boşalması: Güvenlik ekipleri, büyümeye devam eden mevcut güvenlik açıklarının büyük hacmini ele almak için herhangi bir proaktif adım atmadan sürekli olarak güvenlik açığı üzerine öncelik verme ve yama uygulama durumunda olduğundan, devam eden güvenlik borcunu yönetmek, kaynakların tükenmesine neden olabilir. Güvenlik açıkları, ne kadar güncel olursa olsun, genellikle düzeltilmesi en az maliyetli olanlardır; bu nedenle uzun bir iyileştirme kuyruğu, zaman içinde artan maliyetleri erteleyebilir.
• Uyumluluk Riskleri: Bir işletmenin coğrafyasına ve endüstrisine bağlı olarak uyumluluk düzenlemeleri, belirli bir güvenlik açığının giderilmesinde hızlılık gerektirebilir. Düzeltme eki uygulanmayan güvenlik açıklarından kaynaklanan güvenlik borcu, uyumsuzluğa yol açarak iş kaybına, para cezalarına, yasal yansımalara ve bir markanın itibarının zarar görmesine yol açabilir.
•Karmaşık İyileştirme: Güvenlik borcu ne kadar birikirse, çözüm de o kadar karmaşık hale gelir. Bu karmaşıklık, kritik güvenlik açıklarının giderilmesi de dahil olmak üzere süreci daha da yavaşlatır. Bu, bir kuruluşun yeni tehditlere karşı dayanıklılığını azaltır.
Kuruluşların menkul kıymet borcunun olumsuz etkilerini ve onun bileşik doğasını anlaması kritik öneme sahiptir. Giderilmeyen güvenlik açıklarının listesi büyüdükçe, risk de artar, karmaşıklık da artar ve güvenlik borcunu geri almanın maliyeti de artar.
Hızlandırılmış ve Verimli İyileştirme
Risk bazlı güvenlik açığı yönetimi, en yüksek riske sahip güvenlik açıklarının derhal iyileştirilmesini vurgulayan bir stratejidir. Bu iyileştirme stratejisinin odak noktası, en acil öğeleri ilk önce düzeltmektir, dolayısıyla ‘hızlandırılmış’ iyileştirme olarak tanımlanır. İhlallere neden olma olasılığı en yüksek olan güvenlik açıklarını çözmek kritik olmaya devam etse de hızlandırılmış iyileştirme, bir kuruluşun güvenlik açığı yönetimine yönelik tek yaklaşımı olamaz.
Verimli iyileştirme adı verilen başka bir yaklaşım tam da burada devreye giriyor. Bu, güvenlik ve BT ekiplerinin güvenlik borcunu hafifletmek için birlikte çalışması için bir fırsattır. Bu strateji, tek tek öğelere odaklanmak yerine, borcu kaynağında silmek için kök neden analizinin nerede kullanılabileceğine ilişkin daha yüksek düzeydeki modellere bakmayı içerir. Ek olarak bu, Geliştirme ve BT ekiplerine güvenlik açığı puanlaması konusunda görünürlük sağlamayı ve sprintler veya diğer geliştirme yaşam döngüleri sırasında kuruluşlarında mevcut olan güvenlik açıklarının birikmiş birikimini düzenli olarak değerlendirmelerine olanak sağlamayı içerir. Bu yaklaşımın en yaygın örneği, her ay tek bir günün, güvenlik açıklarının büyük bir yüzdesini tek seferde ortadan kaldırdığı “Yama Salı”dır. Ancak sınırları daha da zorlayabilir ve aynı anda tüm güvenlik açığı gruplarını ortadan kaldırmak için üst düzey stratejiler oluşturabilirsiniz. Bir sonraki ortak adım, güvenlik açıklarını teknoloji yığınınıza göre gruplandırmak ve hangi teknolojilerin kuruluşunuz için en fazla riski oluşturduğunu görmektir. Riski çözmede kaynaklarınızın en etkili olduğu yer hakkında iş kararları vermek için bundan yararlanabilirsiniz.
Teminat Borcunu Çözmek
İşletmeler yeni güvenlik açıklarını ortaya çıkardıkça güvenlik borcu artacak ve bu da saldırılara karşı savunma ve verileri güvende tutma yeteneğini etkileyecektir. Risk bazlı güvenlik açığı yönetimi, en kritik risklerin hemen ele alınmasını sağlarken, etkili iyileştirmenin de birlikte yapılması gerekir. Yan yana çalışan güvenlik, BT ve Mühendislik ekipleri birlikte daha fazla toplam güvenlik açığını düzeltebilir, güvenlik borcunu ve kuruluşlarının saldırılara maruz kalma potansiyelini azaltabilir.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu”nda 500.000’den fazla siber güvenlik profesyoneline katılın!