Genişleyen saldırı yüzeylerini güvence altına almaya çalışan kuruluşlar, sonunda kendilerini bir yol ayrımında buluyor: Riskleri etkili bir şekilde azaltmak için riskleri bulmanın ötesine geçmeleri gerekiyor.
Bu geçişi gerçekleştirmek, KPI olarak “bulunan riskleri” kullanmaktan, başarının gerçek ölçüsü olarak “düzeltilen risklere” geçişle başlar. Bu değişiklik, güvenlik ekibinin teşviklerini değiştiriyor ve onları risk iyileştirmeye odaklanmaya yönlendiriyor. Bunun geniş ölçekte işe yaraması için kuruluşların, risk azaltma söz konusu olduğunda “yangınla mücadele” modundan uzaklaşmaları, yani en son kritik sorunu takip etmeyi bırakmaları ve daha proaktif olmaları gerekir.
Mevcut güvenlik açığı ve risk yönetimi süreçlerinizi ve iş akışlarınızı yangınla mücadeleden risk azaltmayı geniş ölçekte proaktif bir şekilde yönetmeye geçirmek için atabileceğiniz yedi adımı burada bulabilirsiniz.
Adım #1: Toplayın – Hepsine hükmedecek bir biriktirme listesi oluşturun
Güvenlik testi araçlarınızla bulguya dayalı bir yaklaşım benimsemek, tipik iyileştirme sürecinizin her aracın kontrol panelinde oturum açmakla başlaması anlamına gelir. Bu elbette her aracın farklı işlevlerini öğrenmeyi ve her aracın bulgu dilini anlamayı gerektirir.
Sabitleme temelli bir yaklaşıma geçiş yapmak için tek bir biriktirme listesi oluşturarak başlayın. İlk adım, tüm test araçlarından elde edilen tüm bulguları ister bir elektronik tablo, ister veritabanı veya başka bir sistem olsun, tek bir merkezi konumda toplamaktır.
Adım #2: Birleştirin – Normalleştirin, tekilleştirin ve bağlamla zenginleştirin
Artık tek bir biriktirme kaydınız olduğuna göre, bunu bir adım ileri götürün ve tüm bulguları normalleştirerek tek tip bir terminoloji kullanmalarını sağlayın; böylece iyileştirme süreçlerinizi eşit şekilde yürütebilirsiniz. Sonuçta sonuçları ölçmek istiyorsanız aynı süreci tüm bulgular için uygulamanız gerekir. Bu normalleştirilmiş bulgular birikimi artık tüm sonraki faaliyetler için bir dayanak noktasıdır.
Artık normalleştirilmiş listenizde yinelenen bulgular bulunduğunu göreceksiniz. Biriktirme listenizin uzunluğunu azaltmak için gereksiz olanları kaldırın.
Normalleştirilmiş liste aynı kaynağı etkileyen farklı bulguları tanımlamanıza da olanak tanır. Bu noktada bulguları ileride ihtiyaç duyacağınız sahiplik bağlamıyla zenginleştirmelisiniz. Örneğin, daha sonra savunmasız bir makinenin kime ait olduğunu analiz etmek için bir yapılandırma yönetimi veritabanından (CMDB) meta veriler toplamak.
Adım #3: Seçin – İyileştirme eylemlerinin ne, kim, nasıl ve nerede gerçekleştirileceğine karar verin
Tüm bulgular normalleştirildiğinde, artık aşağıdakileri içeren çok boyutlu bir önceliklendirme yöntemi aracılığıyla nasıl düzeltme yapacağınızı seçebilirsiniz:
A. NE: Bir bulguyu dış bağlama göre mi (ör. yaygın olarak bilinen bir istismar) yoksa dahili bağlama göre mi (ör. hangi alanda – bulut, kod vb. – içinde olduğu) önceliklendirmek istediğinizi seçin.
B. DSÖ: Düzeltme öğesini kime göndereceğinizi seçin. Doğru ekibi belirlemek için 2. adımda topladığınız kaynak meta verilerini analiz edin.
C. NASIL: İyileştirme eylemleri etrafında bir araya gelerek sorunları değil sonuçları önceliklendirin. Bu, farklı kaynaklar veya farklı sorunlar için aynı çözüme sahipseniz yalnızca tek bir iyileştirme öğesi oluşturacağınız anlamına gelir.
D. NEREDE: Düzeltme ekibi için bildirimin nerede ve hangi proje altında açılacağını seçin (örneğin, Jira, ServiceNow veya tamircinin kullandığı diğer herhangi bir bildirim sisteminde).
Adım #4: Rota – İyileştirme öğesini iyileştirme ekibinin eline verin
Artık düzeltmeyi kimin yapacağını ve bunları gönderecek düzeltme eylemlerinin listesini bildiğinize göre, onları yönlendirmeye başlayabilirsiniz.
Bu aşamada, günümüzde genellikle yapıldığı gibi sıralı bir şekilde değil, paralel olarak iyileştirme yapabildiğinizi fark edeceksiniz.
Basit bir örnek senaryo olarak, Mühendislik ve DevOps adında iki iyileştirme ekibiniz olduğunu ve 150 kritik bulgunuzun olduğunu hayal edin. Daha sonra, ilk 100 bulgunun tamamının Mühendislik tarafından, geri kalan 50 bulgunun da DevOps tarafından düzeltileceğini varsayalım. Liste üzerinde sıralı bir şekilde çalışmak, Mühendislik ekibinin düzeltmelerle aşırı yüklenmesi, DevOps ekibinin ise yeterince kullanılmaması anlamına gelecektir. Ancak listeyi iyileştirme eylemlerine dayalı olarak çalıştırdığınızda, iyileştirme işini yapacak ekibi bildiğinizde, biriktirme yığınının bazı bölümlerini paralel olarak düzeltebilirsiniz.
Adım #5: Alma – Güvenliğe bağımlı değil, çözüm odaklı olun
Bu, gerçekten ölçeklendirmenize olanak tanıyan adımdır: programatik iş akışları oluşturarak biriktirme listesi yönetimini otomatikleştirin. Bunun anahtarı, diğer organizasyonel süreçlerle senkronizasyon yapmak ve güvenlik verilerini bir bulgu keşfedildiğinde değil, ihtiyaç duyduklarında iyileştirme ekiplerinin kullanımına sunmaktır.
Nasıl? Başlangıç olarak, iyileştirme öğeleri ile her farklı iyileştirme ekibinin kullandığı biletleme sistemi arasında bir iş akışı olmalıdır. Bu şekilde bir sorun bulunduğunda destek bildirimi otomatik olarak açılır ve 3. Adımda tanımlandığı gibi doğru ekibe yönlendirilir. Hatta bunu bir adım daha ileri götürebilir ve her biletleme sistemi için birleşik bir şablon oluşturabilirsiniz.
Otomatik iş akışınız iki yönlü olmalıdır, böylece biletleme sisteminde bir bilet kapatıldığında bunu bir sonraki test taramasının sonuçlarıyla doğrulayabilirsiniz. Herhangi bir tutarsızlık bulursanız düzeltme ekibinin iş akışı aracında ilgili ayrıntıları içeren bildirimi yeniden açarak bunu vurgulayın.
Adım #6: İyileştirme – Zor işin yapıldığı yer
Bu, güvenlik sorununu düzeltmek için yapılan gerçek düzeltme, azaltma veya risk kabulüdür. Bu, düzeltme sürecinin kritik bir parçasıdır, ancak bir güvenlik ekibi olarak doğrudan kontrolünüz dışındadır.
Adım #7: Raporlama – Gerçek performansı, verimliliği ve risk azaltımını ölçün
İyileştirme eylemlerini doğru iyileştirme ekibine gönderen otomatik bir yönlendirme sürecine sahip olmak, yalnızca düzeltilip düzeltilmediğini değil, birikmiş yığının tamamını ve durumunu aynı anda görmenize olanak tanır. Bu, risk azaltma sürecinizi izlemenize ve ölçmenize olanak tanır.
Bu verilerle performansı ölçebilir ve ayrıca kuruluş genelindeki farklı ekipler veya gruplar arasındaki iyileştirme performansını karşılaştırabilirsiniz. Örneğin, farklı uygulamalarınızı kritik bulgular, toplam bulgular ve ekiplerin destek taleplerini nasıl ele aldıkları açısından analiz edebilir ve karşılaştırabilirsiniz.
Artık paydaşlara, kuruluşun iyileştirme programına ilişkin, herkesin bu programın ritmini ve performansını anlamasını sağlayan raporlar ve yeni bulguların çözülmüş bulgulara oranı, iyileştirme için ortalama süre ve genel biriktirme durumu gibi istatistikler de sağlayabilirsiniz.
Bu tür bir izleme, iyileştirme sürecindeki sorunları tanımlamanıza olanak tanır ve güvenlik ekibine, süreçlerini geliştirmek ve iyileştirme gerektiren alanları ele almak üzere ilgili iyileştirme ekipleriyle daha yakın işbirliği yapmak için kullanabilecekleri verileri sağlar.
Güvenliğin iyileştirme sürecinde bir darboğaz olmaktan çıkarılmasına ve sürecin ölçeklendirilmesine olanak sağlanmasına yol açacak olan da tam olarak bu çıktıdan sonuca geçiş yaklaşımıdır.