Yüksek profilli siber saldırılarla geçen bir yıl daha, siber güvenlik davullarının çalındığı bir yıl daha. Açıkçası, birkaç notu kaçırıyoruz. Saldırı yüzeyi yönetimi (ASM), kuruluşlar için bir başarı ya da kırılmadır, ancak olağan en iyi uygulamalar listesine geçmeden önce, saldırı yüzeyi yönetimini kabul etmemiz gerekir. yüzeyle sınırlı değildir. Ancak o zaman savunmasız varlıkları siber riske karşı tespit edebilir ve güvence altına alabiliriz.
“Yüzey” terimi burada dikkate alınmaya değer. Gerçek tanımı göz önüne alındığında, kuruluşların işlerinin dış unsurlarına odaklanması doğaldır. Ancak, aslında, saldırı yüzeyi, Her potansiyel olarak bir siber saldırıya maruz kalabilecek ve istismar edilebilecek varlık. Bu, genel bulutlar, masaüstü makineler gibi dışa dönük varlıkların yanı sıra kuruluş içindeki diğer her şeyi içerir.
ASM’nin temellerini tanımlama
ASM, güvenlik açığı yönetimi ve doğrulama yönetimi ile birlikte daha geniş maruz kalma yönetimi (EM) şemsiyesi altına girer. Bir araya gelen bu kadar çok benzer ama farklı terim ve kısaltmayla, neyin ne olduğu konusunda kafa karışıklığının olması şaşırtıcı değil.
ASM ayrıca, genellikle aşırı hevesli satıcı pazarlaması tarafından belirli bir çözüm veya süreç olarak yanlış tanıtılır. ASM, belirli bir araç olmaktan ziyade, birkaç farklı çözümü ve etkinliği kapsaması gereken bir yaklaşımdır.
Bir ASM stratejisinin üç ana bileşeni vardır:
Harici saldırı yüzeyi yönetimi (EASM) – Alan genellikle genel olarak ASM ile karıştırılır. ASM’nin bu yönü, yalnızca genel bulutlar gibi halka açık varlıklara odaklanır.
Dijital risk koruma hizmetleri (DRPS) – Derin web, sosyal ağlar ve açık veri konteynerleri gibi kaynaklardan gelen tehdit istihbaratının görünürlüğüne odaklanmıştır. Bu daha gelişmiş yetenek, yüksek düzeyde bir siber olgunluk gerektirir.
Siber varlık saldırısı yüzey yönetimi (CAASM) – ASM uygulamasının mihenk taşı olarak kabul edilen CAASM, tamamen kuruluşun güvenlik açıklarıyla ilgili verileri bir araya getirmek ve bunları etkili bir şekilde yönetmekle ilgilidir.
ASM bugün neden kritik?
Sağlam bir ASM yaklaşımı, kuruluşun karşı karşıya olduğu tehditlere ilişkin tutarlı bir görüş elde etmek ve iyileştirmeye uygun şekilde öncelik vermek için gereklidir. Bu birleşik görüş olmadan, yanıt veren, anında güvenlikten çıkmak ve daha büyük stratejik resme yönelik taktiklerin ötesinde düşünmek zordur. Bu durumda CISO’ların çalışmalarının değerini teknik olmayan iş liderlerine bağlaması da zordur. Kurul, CVE 12345 hakkında bir şey duymak istemiyor. Potansiyel iş etkisini ve düzeltmenin neden önemli olduğunu bilmek istiyorlar.
Henüz bir ASM yaklaşımını benimsememiş olan firmalar, iş riskinden ziyade hala büyük ölçüde bireysel güvenlik açıklarına odaklanmıştır. Bu, daha geniş iş bağlamı olmadan güvenlik çabalarını etkili bir şekilde anlamayı ve önceliklendirmeyi son derece zorlaştırır.
Bir de ASM faaliyetlerini gerçekleştirmeye çalışan ancak doğru araç ve süreçlere sahip olmayan şirketler var. İç ve dış risk yönetimini izlemek için hala Excel elektronik tablolarını kullanan birçok firmayla karşılaşıyoruz. Bu, dahil olan herkes için gereksiz yere manuel bir iş yükü yaratır, oldukça verimsizdir ve kritik risklerin gözden kaçma olasılığını çok daha artırır.
Son olarak, ASM’ye daha organize bir yaklaşım gerektiğini fark eden ve bunu başarmak için araçlara ve süreçlere yatırım yapmaya başlama konumunda olan işletmeler var.
ASM’ye başlarken karşılaşılan başlıca zorluklar nelerdir?
İlk zorluk, kuruluşun ASM etrafındaki güvenlik ihtiyaçlarını ve bunun EM gibi benzer ancak farklı uygulamalarla nasıl yerine oturduğunu anlamaktır. Sırada, bu farklılıkları yönetim kuruluna iletmek ve gerekli yatırımlar için katılımlarını sağlamak var. ASM’nin iş risklerini belirlemesi ve azaltması ve kuruluşun genel güvenlik durumunu iyileştirmesi gerektiği vurgulanarak, yine amaç basitliktir.
Bir sonraki görev, işi bölen BT silolarının üstesinden gelmektir. Dış ve iç güvenlik ve BT ekipleri, aynı sayfada yer almak şöyle dursun, genellikle aynı kitapta bile değildir. (DevOps, bulut ve web ekipleri gibi diğer BT güvenliğine bitişik departmanlardan bahsetmiyorum bile.)
Her grubun kendine özgü araçları ve süreçleri ile kendi gündemi vardır. Aynı ekip içinde bile, güvenlik açığı tarayıcılarından kod yapılandırmalarına kadar muhtemelen birden fazla bağlantısız çözüm olacaktır.
Etkili, birleşik bir ASM yaklaşımı oluşturmak için bu silo duvarlarını değiştirmemiz ve ilgili tüm iş alanlarında normalleştirilmiş bir görünüm oluşturmamız gerekiyor. CISO’nun her şeyi net bir şekilde görebilmesi için tüm risk verileri aynı noktaya, aynı anda ve aynı formatta görünür olmalıdır.
Kuruluş ne kadar büyük ve eskiyse, yıllar içinde bağımsız olarak büyüyen ve gelişen departmanları uyumlu hale getirmek için o kadar fazla karışıklığı çözmek gerekir. Bu arada BT ve güvenlikte yalnızca bir avuç insanla çalışan daha küçük şirketler, her şeyi birleştirmek için çok daha kolay zaman geçirecekler.
ASM altında güvenliği birleştirmek
Doğru araç seti, çeşitli tehdit ve güvenlik açığı veri akışlarını bir araya getirmede ve siber risk için tek bir cam görünümü oluşturmada uzun bir yol kat edebilir.
İlk adım, herkesi ve her ekibi uyumlu hale getirmektir. (Söylemesi yapmaktan daha kolay.) Güvenlik açıklarını azaltmak için birleşik bir risk vizyonu ve evrensel KPI’lar olmalıdır. Bu, risklerin tüm organizasyonda tek bir referans noktasından önceliklendirilmesine izin verecektir.
Silolar ortadan kalktığında, süreçlerin, araçların ve görevlerin nerede gereksiz yere tekrarlandığını belirlemek de mümkündür. Fazlalıklar ortadan kaldırılabilir ve ekipler arasında üretkenliği artırmak için daha fazla otomasyon benimsenebilir. Dahili ASM stratejisi olgunlaştıkça firma, CAASM’yi uygulamaya başlamak ve daha fazla tehdit istihbaratı almak için kapsamını genişletebilir.
Kuruluş, yüzey düzeyindeki ASM’nin ötesine geçerek yalnızca güvenlik etkinliğine daha birleşik ve verimli bir yaklaşıma sahip olmayacak, aynı zamanda herhangi bir kaynaktan gelen potansiyel tehditleri proaktif olarak tanımlayabilecek ve bunları kapatmak için hızla hareket edebilecektir.