Siber güvenlik dünyasında, hepimiz bu makalelerle karşılaştık: performansı iyileştirmek, güvenlik duruşunu güçlendirmek veya tahtayı etkilemek ve etkilemek için izlemek için ilk on metriyi söyleyen listeler. Bu listelerin birçoğu birkaç örnek olarak MTTD, MTTR ve ortalama satıcı güvenlik derecesi gibi metrikleri içerir. Bu listelerin amacı, nerede olduğumuzu anlamamıza, nereye gittiğimizi haritalamamıza ve risk ve tehditlere maruz kalmayı azaltmak için akranlarımızla çalışmamıza yardımcı olmaktır.
Siber güvenlik endüstrisi, doğru metrikler için doğru tarifi bulmanın oldukça yeni bir zorluğuyla hala boğuşuyor. Bu konuda bir dizi önde gelen firma ve siber güvenlik liderinin yoğun bir şekilde tartıştığını ve yazdığını görüyoruz. Google güvenlik liderliğinden metrik meraklılarına ve doğal olarak risk derecelendirme liderliğine kadar, hepsi “ölçülmesi gerekenler” e odaklanmıştır.
Hangi metriklerin ölçüleceğini bilmek iyi bir başlangıç olsa da, asıl zorluk sürekli ölçümlerin nasıl kolaylaştırılacağını anlamaktır.
Metrikler yalnız kalamaz.
Metriklerin, kuruluşumuzun güvenlik manzarasının ve aralarında risk toleransı ve politikaları arasında bir dizi parametreye karşı nasıl performans gösterdiğimizi sağlamak için birbirine bağlı olması gerekir. Ancak günümüzün gerçekliğinde, siber güvenlik ölçümleri ile gerçek zamanlı, kapsamlı bir anlayış arasında büyük bir boşluk var-böyle bir anlayış, siber güvenlik liderliğinin gerçekte neler olduğunu, proaktif olarak boşlukları tespit etmesine, organizasyon için en kritik risklere öncelik vermesine ve bir eylem planını gerçekleştirmesine izin verecektir.
Dolayısıyla, bu makalede ilk on metriği paylaşsam bile, ölçülmesi en önemli olanı, sadece ilk adım olur ve kuruluşunuzun özel amacına ve kitlesine bağlı olacaktır. Gerçek güç, metriklerinizi ilişkilendirmekten gelir – bir değişkenin diğerini nasıl etkilediğini anlamak ve kuruluşun güvenlik performansı hakkında dinamik, kapsamlı bir anlatı oluşturmak.
Metrikler için güncel yöntemler neden başarısız oluyor?
Güvenlik organizasyonlarıyla yaptığım çalışmalarda, siber güvenlik etkinliğini ölçmek için üç yaygın (ancak verimsiz) yaklaşımla karşılaştım. Birincisi, elektronik tablolara ezici bir güven var – sonsuz sıralar ve sütunlar denizi, organizasyonun güvenlik duruşunu temsil etmek isteyen metriklere sahip, ancak genellikle sadece karmaşıklığa katkıda bulunuyor.
İkincisi, analitik araçlarını, veri profesyonelleri genellikle nüanslı güvenlik anlayışından yoksun olduğu için, bir kopukluk oluşturan siber güvenlik araçlarıyla entegre etme girişimi vardır, siber güvenlik uzmanları veri analizi tarafını tam olarak kavrayamayabilir. Son olarak, birçok kuruluş Big Four danışmanlık firmalarına, sadece bir başka büyük elektronik tablo almak için yöneliyor.
Bu yaklaşımların her biri aynı temel sorunu ortaya koymaktadır: Güvenlik ekiplerini harekete geçmek için donanımlı değil, karanlıkta bırakarak gerçek uygulanabilirlikten yoksundurlar. Bu yöntemler statik sonuçlar verir; Hantal, manuel ve bağımsızken, güvenlik sürekli gelişmekte ve birbiriyle ilişkilidir.
Güvenlik liderleri, zaman içinde donmuş araçlarla bu kadar akıcı ve karmaşık bir şey yakalayamazlar. Noktaları ve ölçümleri (performans, risk, tehditlerin) bağlamda bağlayan çevik bir şeye ihtiyaçları vardır.
Ayrıca, bunların temel zorluklar olduğunu kendi metrik otomasyon programlarını inşa etmek için yıllarca ve milyonlarca dolar harcayan müşterilerden öğrendim: (1) Hangi verilerin gerçekten önemli olduğunu belirleme (2) Verileri yönetmekten sorumlu veri analistleri olduğunda verileri sürekli olarak toplama ve sürdürme (3). Bu kadar çok müşterinin çok fazla zaman ve para yatırdıktan sonra ev içi metrik programlarından vazgeçmesi şaşırtıcı değil.
Statik sayıların ötesine geçen gerçek zamanlı verilere ihtiyacınız var. Bu verilerin esnek olması, tarihsel eğilimleri göstermesi ve bugün en önemli bakış açılarına uyarlanabilir olması gerekir. Ancak o zaman kuruluşunuz neler olduğunu gerçekten kavrayabilir, boşlukları belirleyebilir ve anlamlı, öncelikli bir eylemde bulunabilir.
Anahtar bir örnek: güvenlik açığı önceliklendirmesi
Metriklerin nasıl gerçek bir fark yaratabileceğine dair sayısız örnek vardır. İşte müşterilerimizin özellikle değerli – güvenlik açıkları bulduğunu gördüğüm. Bir güvenlik açığı yönetimi çözümü, 1.000+ uç noktayı kritik olarak işaretleyebilir. Ama önce hangilerinin ele alacağını nereden biliyorsunuz?
Güvenlik açığı verilerini varlık yönetimi bilgileriyle ilişkilendirerek, bu uç noktaların hangi iş birimlerine ait olduğu konusunda önemli bilgiler kazanabilirsiniz.
Kimlik güvenlik verileri ekleyerek bir adım daha ileri gidebilirsiniz: Hangi kullanıcılar bu uç noktalara bağlıdır? Onlar yöneticiler mi? Hassas finansal veya fikri mülkiyet verilerine erişimi var mı? Bu kullanıcılardan herhangi biri kimlik avı saldırıları tarafından hedeflendi mi?
Zenginleştirilmiş bağlamın bu otomatik lensi (sessiz bir metrik listesi yerine), güvenlik açıklarına işiniz için gerçek risklerine dayanarak öncelik vermenizi sağlar ve eylemlerinizin en kritik hedeflerle ve iş etkisi ile uyumlu olmasını sağlar.
Aynı şey, herhangi bir kapsama alanı olmadan (Crowdstrike ve Kandju’dan verileri ilişkilendirerek) veya keşfedilmemiş projelere (Skyk ve GitHub’dan gelen verileri ilişkilendirerek) veya kullanıcıların düzgün bir şekilde kaplamadığı önceliklendirilirken (Workday ve Azure’den gelen verileri ilişkilendirerek) aynı şey geçerlidir.
Güvenlik metriklerinin tüm potansiyelinin kilidini açmak
Metriklerin gerçek gücü, öncelik vermeye yardımcı olma yeteneklerinde yatmaktadır. Yalnızca izole edilmiş “ölçmek için ilk on metriğin” ötesine geçerek, güvenlik liderleri ve ekipler güvenlik yığınlarının birden fazla katmanını kapsayan birbiriyle ilişkili kalıpları tanımlayabilir. Bu değişim sadece daha derin içgörülerin kilidini açmakla kalmaz, aynı zamanda daha verimli iş akışlarını da yönlendirir ve daha etkili sonuçlara yol açar.
Yazar hakkında
Güvenlik ekiplerinin çeşitli güvenlik politikalarına, risklerine ve tehditlere karşı insanların, süreçlerin ve teknolojilerin performansını ölçmesine izin veren risk yönetimi için bir veri dokusu olan Seemetrics’in CEO’su ve kurucu ortağı Shirley Salzman. Görünüşe göre güçlendirilen güvenlik kuruluşları riski azaltır, işbirliğini iyileştirir, politikaları uygular ve siber güvenliği güvenle yönetir. Shirley, ticari liderlikte on yılı aşkın bir deneyim getiriyor (Percepto, Contguard ve Logic Industries). Yüksek teknoloji kariyerinden önce Shirley, ABD’nin Alman Marshall Fonu ve Disiplinlerarası Merkez, Herzliya, İsrail’de Politika ve Strateji Enstitüsü gibi küresel politika ve strateji firmaları için çalıştı. Shirley, Londra’daki King’s College’dan uluslararası güvenlik ve silenlemeden onur duyan bir MA’ya sahiptir.
Shirley’e çevrimiçi olarak https://www.linkedin.com/in/shirleysalzman/?originalsubdomain=il adresinden ulaşılabilir ve şirket web sitemizde https.co///seemetrics.co/