Saldırganlar, en uygun maliyetli uzlaşma yöntemlerini belirleme ve kullanma konusunda ustadır; bu da kuruluşların varlık tanımlamayı uygulamaya koyması ve varlıklarının tüm varlıkla ilgili güvenlik duruşunu anlamasının kritik ihtiyacını vurgulamaktadır.
“Açıkta mıyız?” diye sormak yerine kuruluşlar şu soruyu sormalıdır: “Ne kadar maruz kalıyoruz?” Bu soruyu anlamak için işletmelerin programatik ve tekrarlanabilir bir yaklaşım uygulaması, kendilerini bir saldırgan olarak hayal etmesi ve kendi ağlarına düşmanca bir bakış açısıyla bakması gerekir.
Siber güvenliğe maruz kalmanın mevcut durumu
Bir siber saldırı ağın herhangi bir bölümünü ihlal edebilir. Sonuç olarak şirketler ağlarını korumak için birden fazla güvenlik kontrolü, aracı ve süreci uyguluyor. Güvenlik çabaları sıklıkla sızma testi, tehdit istihbaratı yönetimi ve güvenlik açığı taraması gibi ayrı faaliyetlere bölünür. Ancak bu bölümlere ayrılmış yaklaşım, bir kuruluşun karşı karşıya olduğu tüm risk yelpazesine ilişkin sınırlı bir bakış açısı sunar.
Kapsamlı risk önceliklendirmesinin eksikliğiyle birleşen bu durum, kuruluşları güvenlik sorunları nedeniyle bunaltıyor ve ilk olarak hangi sorunların ele alınması gerektiği konusunda yetersiz rehberlik sağlıyor. Kuruluşların risklerini ölçmek için sistematik ve tutarlı bir stratejiye ihtiyaçları vardır. Bu, saldırganın bakış açısını dikkate alan ve saldırı durumunda savunma tedbirlerini ve müdahale planlarını sorgulayan kritik sorulara odaklanmayı içerir.
Bir saldırganın bakış açısını anlamak, güvenlik açıklarını tespit etmek, güvenlik ekiplerine güvenlik önlemlerinin ilk olarak nereye uygulanacağı ve hangi ek güvenlik kontrollerinin gerekli olduğu konusunda bilgi vermek açısından çok önemlidir. Bir saldırganın bakış açısından güvenlik açıklarını tanımak, kuruluşların güvenlik duruşlarını proaktif olarak yükseltmelerine olanak tanır. Bu temel bir prensiptir; görünürlük, korumanın öncülüdür. Bir saldırganın kuruluşa nasıl sızabileceğini görmeden, bir kuruluşun güvenliğini sağlamak varsayımsal bir görev haline gelir.
Güvenliğe kapsamlı bir yaklaşım
Çağdaş bir organizasyonun BT ekosistemi, kimlikler ve iş istasyonlarından bulut hizmetlerine kadar her biri potansiyel olarak güvenlik açıkları ve yanlış yapılandırmalar yoluyla açığa çıkma kaynağı olan geniş bir varlık dizisi içerir. Bunlar bir kuruluşun operasyonlarını ve varlıklarını tehlikeye atmak için kullanılabilir. Bulut ve şirket içi varlıkları net sınırlar olmadan harmanlayan hibrit ortamlarda bu zorluk daha da artıyor, görünürlük ve kontrol önemli ölçüde azalıyor.
Kuruluşlar geliştikçe, yeni, birbirine bağlı varlıkların entegrasyonuyla saldırı yüzeyleri her zaman genişler ve karmaşıklık katmanları eklenir. Bu genişleme, yapay zeka tarafından desteklenenler de dahil olmak üzere ortaya çıkan tehditler tarafından sürekli olarak dönüştürülen dış tehdit ortamının dinamik doğası nedeniyle daha da karmaşık hale geliyor.
Bu karmaşıklığa ek olarak, merkezi BT departmanının yetki alanı dışında çalışan yetkisiz BT sistemleri ve çözümleri olan gölge BT de bulunmaktadır. Bu yalnızca iş ve uyumluluk risklerini arttırmakla kalmaz, aynı zamanda güvenlik yönetimi ortamını da karmaşıklaştırır.
Varlıkların birbirine bağlanabilirliği, artan tehditlerin yanı sıra, güvenlik yöneticileri için bir kuruluşun güvenlik duruşunu etkili bir şekilde yönetme konusunda önemli bir zorluk teşkil etmektedir. Her bir güvenlik açığı, ele alınmazsa, daha fazla varlık veya veriye giden bir kanal görevi görebilir ve saldırganların yararlanabileceği potansiyel yollar oluşturabilir.
Saldırı yolları ve dinamik tehdit ortamı
Ortak güvenlik açıklarını, sızdırılan kimlik bilgilerini veya yanlış yapılandırılmış güvenlik ayarlarını zincirleyen saldırı yolları, mülkü geçmek ve kurumsal varlıklara erişim kazanmak için önemli bir tehdit oluşturur. Bu yollar genellikle karmaşık ağ ekosisteminde gizli kalır. Bu nedenle, güvenlik ekipleri genellikle kuruluşun potansiyel tehditlere maruz kalma durumuna ilişkin kapsamlı bir resme sahip değildir ve bu da onları fidye yazılımı dağıtımıyla sonuçlanabilecek karma saldırılara karşı hazırlıksız hale getirir.
Fidye yazılımı gibi yüksek riskli tehditlere karşı savunma yapmak için kuruluşun güvenlik duruşunu proaktif olarak yükseltmenin zorluğu göz korkutucudur ve sürekli genişleyen bir varlık envanterindeki güvenlik açıklarını onarmak için verilen bitmek bilmeyen bir savaşa benzetilir. Bu karmaşık görev, basit yama yönetimi kapasitesinin ötesine geçerek stratejik bir yaklaşım gerektirir.
Sonuç olarak, çok sayıda bulguya paralel olarak kapsam eksikliği ve önceliklendirme ile risk anlayışının eksikliği, kuruluşlara maruz kalma durumlarıyla ilgili yapacak çok fazla iş bırakıyor ve ilk önce ne yapılması gerektiği konusunda çok az rehberlik sağlıyor. Dolayısıyla kuruluşların neden “nasıl açığa çıkıyoruz?” sorusunu ele alan bir yaklaşıma ihtiyaçları var.
Maruz kalma yönetimi nedir?
Maruz kalma yönetimi, bir kuruluşun operasyonlarının her yönünü korumayı göze alamayacağını kabul eder. Kritik alanların korunmasına öncelik vererek, en çok ihtiyaç duyulan yerlerde güvenlik çalışmalarını kolaylaştırır.
Ele alınması gereken potansiyel olarak binlerce güvenlik açığı varken, güvenlik ekiplerinin görevi göz korkutucudur, özellikle de otomatik sistemler zayıf noktaları düzeltilebileceğinden daha hızlı tespit edebildiğinde.
Dahası, kuruluşlar başlangıçta hızlı kazanımlar elde etmek için güvenlik önlemlerini atlayabilir, ancak daha sonra önemli risklerle karşı karşıya kalabilir. Bu stratejik yaklaşım, kuruluşun en savunmasız ve önemli bölümlerinin savunulmasına odaklanarak kaynakların verimli bir şekilde tahsis edilmesini sağlar.
Kuruluşlar önceliklerini yeniden yönlendirerek üç kritik soruyu ele alabilirler:
- Bir saldırganın bakış açısından kuruluşum nasıl görünüyor?
- Mülkümün hangi kısımları saldırıya karşı en savunmasız?
- Bir saldırgan bu saldırı yollarından taviz vermeyi başarırsa bunun etkisi ne olur?
Güvenlik ekipleri bu üç soruyu yanıtlayarak iş yüklerini daha iyi önceliklendirebilir ve kritik güvenlik risklerine anında müdahale edebilir.
Maruz kalma yönetiminin faydaları
Maruz kalma yönetimi, tehditlere karşı daha iyi koruma sağlamak için güvenlik önlemlerini optimize etmeye odaklanır. Birincil amacı, bir kuruluşun en hassas noktalarını acilen vurgulamak ve güçlendirmektir. Bu süreç önceliklerin belirlenmesi açısından çok önemlidir; Her politikaya uymanın veya her ölçüyü ölçmenin pratik olmadığı durumlarda, odak noktası saldırganlar için potansiyel giriş noktalarının mühürlenmesine kayar.
Süreç genellikle, kuruluşa karşı potansiyel saldırgan eylemlerinin simüle edilmesini de içeren dış güvenlik duruşunun değerlendirilmesiyle başlar. Bu, güvenlik zayıflıklarını belirlemek için saldırgan siber güvenlik taktiklerini kullanan “kırmızı takım” tatbikatlarının kullanılmasını içerebilir.
Bu yaklaşımın en önemli faydalarından biri, kötüye kullanılabilecek saldırı vektörlerinin aydınlatılması ve şirketlerin zayıf noktaları önceden tespit etmelerine olanak sağlamasıdır. Bu, özellikle kaynakların azaldığı durumlarda değerlidir.
Şirketler başlangıçta en kritik güvenlik açıklarına odaklanarak, kapsamlı bir güvenlik stratejisi için güçlü bir temel oluşturmaya başlarken veya kurmaya devam ederken zaman kazanabilir ve kuruluşun savunma duruşunu en başından itibaren geliştirebilir.