Şirketler siber güvenlik duruşlarını iyileştirmeye çalışırken, çabalarını ölçmek için giderek daha fazla çeşitli ölçümler, puanlama sistemleri ve itibar sıralamaları kullanıyorlar. Ancak çoğu durumda işletmeler, güvenliği ölçmeye çalışan çeşitli sistemlerden çok fazla şey talep ediyor.
Eski görüş, bir şeyi yönetmek için ölçmeniz gerektiğini söylüyor ancak Ortak Güvenlik Açığı Puanlama Sistemi’nden (CVSS) kurumsal güvenlik duruş puanlamasına ve yazılım geliştirme projelerine yönelik derecelendirmelere kadar gelişen birçok sistem bazen yalnızca ölçülebilir riski ifade etmede başarılı olabiliyor. . Ancak şirket yönetim kurulları bazı güvenlik ölçümlerini temel performans göstergelerine (KPI’ler) dönüştürüyor ve sigorta şirketleri gibi bazı endüstriler bunları riski belirlemek için kullanıyor. Vardıkları sonuç: Risk puanlama ve itibar araçları kusurludur ancak hiç yoktan iyidir.
Kullanıcı odaklı bir veri yönetimi sağlayıcısı olan Inrupt’un baş teknoloji sorumlusu ve Harvard Kennedy School’da yardımcı öğretim görevlisi Bruce Schneier, bunun nedenlerinden birinin şirketlerin yalnızca güvenliği artırmak değil, riski yönetmek istemesi olduğunu söylüyor. Schneier, güvenliği ölçmeye yönelik birçok girişimi eleştiriyor.
“Ne zaman bunu yapabilecek bir şirketim olsa, her zaman karşılaştırmalı ölçümler oluşturmaya çalıştım; bunu yapan diğer herkese kıyasla nasıl durumdayım?” diyor. “Bu işe yarıyor. İnsanlar akranlarıyla nasıl karşılaştırıldıklarını bilmek istiyorlar ve bu aynı zamanda iyi bir dava koruması.” “Evet bu bir sorun ama bakın herkes aynı şeyi yapıyor” diyebilirler.
Yazılım ve güvenlik açıklarından kurumsal güvenliğe ve insan riskine kadar, bilgi teknolojisi ekosisteminin çeşitli bileşenlerine puan ve itibar verme çabaları artıyor. Bu hafta tespit ve müdahale platformu Sweet Security bir anlaşma imzaladı açık kaynak yazılım paketlerindeki riskli değişiklikleri tespit etmek amacıyla bir paket itibar hizmeti sunmak için erken aşamadaki başlangıç Illustria’yı kullanmak. Güvenlik sağlayıcıları duruş derecelendirmeleri – örneğin Bitgörüntüsü, GüvenlikPuan KartıVe UpGuard – siber sigortacılar arasında bir takipçi kitlesi kazanırken, insan risk yönetimi firmaları da Yaşayan Güvenlik Ve Mime yayınıkullanıcıların siber güvenlik farkındalığına giderek daha fazla puan veriyor.
Puanlama Güvenliğinin Yaygın Sıkıntıları
Yazılım kusurlarının potansiyel kritikliğini derecelendirmenin standart yolu olan CVSS, derecelendirme ve itibar sistemlerini etkilemeye devam eden sorunların çoğunu vurgulamaktadır. CVSS, güvenlik araştırmacılarının ve yazılım şirketlerinin güvenlik açıklarının temel ciddiyetini değerlendirmek 10 puanlık bir puanlama sistemi kullanılıyor ancak kuruluşların güvenlik açıklarının etkilerini kendi ortamlarında değerlendirmesi gerekiyor. Çoğu zaman gözden kaçırılan ve eleştirmenlere yaklaşıma saldırmaları için önemli bir yem sağlayan bu adım.
Sonuç olarak, CVSS bazı övgülerin yanı sıra çok sayıda eleştiri de alıyor. Business Cyber Guardian danışmanlık firmasının kurucu ortağı ve baş yazılım mühendisi Richard Brooks, puanlama sisteminin bir beyzbol maçını hesaplamak yerine daha çok yüksek bir dalışı derecelendirmeye benzediğini yazdı: sistemin ılık savunmasında bu çoğu zaman eleştiriye dönüştü.
“Bu son derece özneldir ve her bir tarafın, kendi koşullarına ve güvenlik açığı ile güvenlik açığından yararlanma yöntemleri hakkında bilinen bilgilere dayanarak bir güvenlik açığından kaynaklanan risk olup olmadığına kendisi karar vermesi gerekir” dedi.
Inrupt’tan Schneier, herhangi bir puanlama sistemi için büyük bir problemin, güvenliğin çoğunlukla subjektif olması ve çoğu zaman olumsuzluk anlamına gelmesidir; ölçüm ve puanlamanın zor bir uygulamasıdır, diyor.
Kontrol listelerini beslemek için puanları kullanmanın yardımcı olabileceğini söylüyor. Kontrol listeleri uçak, hastane ve uzay aracı gibi güvenilirliğin kritik olduğu ortamlarda kullanılır. Yazılım güvenliği topluluğu bir dereceye kadar bu yaklaşımı izlemiş ve güvenlik açıklarının listelerini oluşturmuştur. OWASP’ın İlk 10’u Ve CWE En İyi 25 listesi – iyileştirme çabalarına odaklanmayı amaçlayanlar.
Schneier, “Kontrol listeleri kanıtlanamayan olumsuzlukları kanıtlanabilir olumluya dönüştürmenin bir yoludur” diyor. Yine de güvenlik için ölçümler oluşturmada hala sorun yaşıyoruz çünkü “güvenlik temelde yeteneklerle ilgili değildir. İşlevsellikle ilgili değildir. İşlevselliği reddetmekle ilgilidir.”
Metrik Kralları (Sigortacılar) Tarafından Benimsenme
Puanlara ve ölçümlere aç olan bir grup da sigorta sektörüdür. Sigortacılar olayları verilere dönüştürmeyi hedefliyor; güvenlik olayları ve siber saldırılar da farklı değil. Siber sigortacılar, hangi ürünlerin iyi güvenliğe sahip olduğunu anlamak ve potansiyel poliçe sahiplerinden ne kadar ücret alacaklarını belirlemek için giderek daha fazla kendi verilerini topluyor bu ürünleri kullanmalarına dayalı olarak.
Örneğin, şirketlere gözlemlenebilir siber güvenlik duruşlarına göre puanlar atayan modeller, en kötü performansı gösterenleri belirleyerek sigorta şirketlerine önemli miktarda tasarruf sağlayabilir. Reasürans şirketi Gallagher Re, Bitsight’tan gelen bilgileri ve dahili verileri kullanarak, örneğin reasürans şirketi Gallagher Re’nin, zarara uğrama ihtimalinin 3,17 kat daha fazla olduğu şirketlerin en alttaki %20’sini belirlediğini ve reasüröre göre sigorta şirketinin zararlarını yaklaşık %16 oranında azaltabilecek bir yaklaşım olduğunu belirtti. 2024 yılında yapılan bir çalışmada belirtildi. Profesyonel hizmetler firması Marsh McLennan ve Bitsight tarafından yapılan ikinci bir araştırma, en düşük puan alan şirketlerin siber güvenlik olayı yaşama olasılığının en yüksek puan alan şirketlere göre neredeyse beş kat daha fazla olduğunu ortaya çıkardı.
Bitsight’ın kurucu ortağı ve baş teknoloji sorumlusu Stephen Boyer, bir puanlama sisteminin yalnızca şirketler puanlarını (uyumluluk) artırmaya çalışmak yerine nihai hedeflerine ulaşmak (daha fazla güvenlik) için kullanıyorlarsa işe yaradığını söylüyor.
“Risk azaltıcı bir eyleme yön veren bir şeyi ilettiği sürece bunun iyi olduğunu düşünüyorum” diyor. “Eğer bu düzenleyici bir odaksa ve [the company] Bunu skoru optimize etmek için yapıyorsanız ve aslında riski azaltmıyorsanız, bu herkes için boşa giden bir çaba olur.”
Şaşırtıcı olmayan bir şekilde, daha fazla düzenlemeye tabi olan endüstriler, kurumsal derecelendirmelerde daha yüksek puan alma eğilimindedir. Finansal firmalar, kamu hizmetleri, enerji ve sağlık hizmetleri ortalama 720 veya daha yüksek puan alırken, iletişim hizmetleri ortalama 630, sanayi sektörü ise 690 puan alıyor. kurumsal yönetim kurullarının siber güvenlik gözetimi hakkında bir rapor.
Yazılım Derecelendirmeleri İlgi Kazanıyor
Yazılım tedarik zinciri endişeleri arttıkça şirketler ve açık kaynak topluluğu, açık kaynak projelerinin itibarını ve geliştirme süreçlerini derecelendirmeyi ve ürettikleri bileşenlere puanlar atamayı hedefliyor. OpenSSF Puan KartıÖrneğin, bir dizi otomatik kontrol gerçekleştirir ve bir projeyi, projenin ikili yapılara sahip olup olmadığı, şube korumasının açık olup olmadığı, taahhütlerin ritmi ve projenin kullanım belirtileri gösterip göstermediği de dahil olmak üzere her alan için sayısal bir puana göre sıralar. otomatik araçlar ve fuzzers. Örneğin popüler makine öğrenimi kütüphanesi TensorFlow şu anda genel puanı 8,2Kod İnceleme uygulamaları ve bağımlılıkların tespit edilememesi nedeniyle düşük puanlarla.
BT holdingi OpenText’in ürün ve mühendislikten sorumlu kıdemli direktörü Dylan Thomas, bazı açılardan çok fazla veriye sahip olduğumuzu ve çoğu zaman bunların doğru veriler olmadığını söylüyor.
“Çok daha fazla veri olduğu için en büyük zorluk, bunları etkili bir şekilde kullandığımızı ve doğru sonuçlara varmak için doğru verileri kullandığımızı anlamaktır. [so we don’t] belirli bir veri noktasını, ölçüyü veya puanlama sistemini yanlış tanıtıyor” diyor. “Bu, yüksek lisans tabanlı makine öğrenimi algoritmalarının güvenlikle ilgili karar alma sürecini artırmak için gerçekten çok fazla değer sağlayabilmesinin nedenlerinden biri.” [and] çok büyük miktarda veriyi gerçekten anlamlandırabileceğimiz potansiyel kalıplara sentezleyebiliriz.”
OpenText’in bir parçası olan yazılım tedarik zinciri güvenlik şirketi Debricked tarafından sunulan Açık Kaynak Seçimi hizmeti, katkıda bulunanlara yönelik derecelendirmeleri, açık kaynak bileşenlerinin popülerliğini ve güvenliğini kullanarak uygulamalarını 1’den 100’e kadar bir ölçek kullanarak özetlemektedir. Her bileşene açık renk. Örneğin TensorFlow, katkıda bulunanlar (puan: 73) ve popülerlik (puan: 84) nedeniyle yeşil derecelendirme aldı ancak güvenlik için yalnızca sarı derecelendirme (puan: 42).
Thomas, derecelendirmelerin mutlaka bir yazılım bileşeninin tehlikeli olup olmadığını tespit etmenin bir yolu olmadığını, ancak açık kaynak bileşenlerinin önerilen kullanımı için onay ve alım sürecini otomatikleştirmenin ve karar almayı hızlandırmanın bir yolu olduğunu söylüyor.
“Bunun avantajı, bir geliştirici olarak açık kaynak alımı süreci üzerinde çalışmak için haftalarca beklemiyor olmamdır” diyor. “Kullanım senaryolarının bir alt kümesinde (ve umarım anlamlı bir alt kümede) hızla bir karara varabilirim. Ya belirli bir bileşen için uzun bir süreçten geçerek zamanımı hemen boşa harcamayın ya da çok çabuk yeşil ışık alın.”
Şirketlerin metrikleri kullanırken sorması gereken soru, bu metriklerin karar verme süreçlerini hızlandırıp hızlandırmadığı, hızlandırmıyorsa neden hızlandırmadığıdır.
Thomas, “Yapmamız gereken şeylerden biri, yalnızca ölçmek amacıyla ölçüm yapmadığımızdan, aynı zamanda ölçüm çubuğunu ölçmek için de zaman ayırdığımızdan emin olmaktır” diyor.