Editörün notu: Aşağıda, Gartner’ın güvenlik operasyonları ve ağ güvenliği konularını kapsayan kıdemli yönetici araştırma analisti Steve Santos’un konuk gönderisi yer almaktadır.
Güvenlik liderleri genellikle tehdit algılama ve yanıt vermenin günlük işlevlerine odaklanır ve mevcut araç ve süreçlerin sağladığı saldırı yüzeylerine ve güvenlik bağlamına ilişkin görünürlük eksikliği nedeniyle sürekli olarak zorlanırlar. Ya çabalarını nereye odaklayacaklarını bilmiyorlar ya da yalnızca web sitelerinin geleneksel çevresi, harici IP adresleri ve uç noktalar gibi iyi bilinen saldırı yüzeylerine odaklanıyorlar.
Bu görünürlük eksikliğini dahili olarak tespit eden kuruluşlar, bir saldırı yüzeyi yönetimi yeteneği oluşturmayı hedefleyerek bunu iyileştirme mücadelesine girişebilirler.
ASM, kuruluşların güvenlik açığı yönetimi ve doğrulamasının yanı sıra diğer BT ve doğrulamayı geliştirmek için kullanabileceği risk yönetiminin temel bir bileşenidir. güvenlik fonksiyonları. ASM, kurumun kullanabileceği varlıkları ve bu varlıklarla ilişkili riskleri belirleyerek büyük görünürlük sorusuna yanıt verir.
Temel hedefleri arasında varlık görünürlüğü ve kullanılabilirliği, güvenlik kontrolü uyumluluk riskleri ve varlık riskinin ölçülmesi yer alır.
Güvenlik liderleri, kuruluşları için önemli olan saldırı yüzeylerinin görünürlüğünü ve risk değerlendirmesini sağlayan kapsamlı bir ASM programını uygulamak için risk temelli bir yaklaşım aramalıdır. Bu yaklaşım sıklıkla şunları içerir:
- Kapsam: ASM uygulamasının kapsamını belirlemek için farklı saldırı yüzeylerini anlamak, yalnızca güvenlik sorunları yerine iş odaklı konulara odaklanmak.
- Takım: Bu saldırı yüzeyi kapsamına doğru araçları, hizmetleri ve uygulama yöntemlerini uygulamak.
- Süreç geliştirme: Uygun ASM süreçlerinin geliştirilmesi ve uygulanması.
Araçların ve süreçlerin uygulanması, çeşitli saldırı yüzeyleri ve teknolojileri nedeniyle karmaşık olabilir. Kuruluşların ASM’yi tehdit algılama ve müdahaleye entegre etmek için kullanabileceği dört süreç vardır:
Tanımlamak
Bir kuruluşun saldırı yüzeylerini yönetme ve bunları ASM araçlarıyla eşleme süreci, iyi tanımlanmış bir kapsam olsa bile, süreci olumsuz etkileyebilecek çok sayıda destekleyici ve çelişen veri noktası olduğundan, başlangıçta zorlu olacaktır.
Önemli olan doğru varlıkları ve veri kaynaklarını tanımlamaktır.
Güvenlik liderlerinin saldırı yüzeylerini daha iyi anlamalarına yardımcı olacak telemetri kaynaklarını değerlendirmeleri önemlidir. Varlık kaynakları iki kategoriye ayrılır: Ne kadar iyi yönetildiklerine bakılmaksızın kontrol ettikleri ve yönettikleri kaynaklar ve ekiplerinin yönetmediği ancak diğer ekiplerden veya kamu kaynaklarından alması gereken veriler.
Güvenlik liderleri, ASM süreçlerine neleri dahil edeceklerini değerlendirmeden önce varlık bağlamına sahip tüm BT ve güvenlik kontrollerini kataloglamalıdır.
Her kuruluşun çeşitli veri noktalarına erişimi olmayacaktır, bu nedenle hangi kaynakların dahil edileceğinin değerlendirilmesi önemlidir.
Harici saldırı yüzeyi gibi bazı saldırı yüzeylerinin yönetilmeyen veri kaynaklarına daha bağımlı olacağını unutmayın. Bu, verileri geçersiz kılmaz ancak bu verileri tüketmenin ve anlamlandırmanın potansiyel karmaşıklığını artırır. Özelleştirilmiş ASM araçları, kuruluşların farklı verileri yönetmesine ve anlamlandırmasına yardımcı olabilir.
Agrega
İlgili bağlamı elde etmek için çeşitli veri kaynaklarını bir araya getirmek, daha çok bir entegrasyon ve veri bilimi egzersizi haline gelir. Neyse ki veri entegrasyonu ve toplama, güvenlik bilgileri ve olay yönetimi, genişletilmiş algılama ve yanıt, BT hizmet yönetimi ve diğer analitik araçlar gibi birçok temel teknolojide ele alınmış ve uygulanmıştır.
ASM benzer teknikleri kullanabilir; dolayısıyla hangi satıcının veya teknolojinin kullanılacağını belirlemek başarının anahtarı olacaktır. API merkezli uygulamaların özel uygulamalardan daha iyi performans göstereceği ve yerel uygulamaların ASM toplamanın farklı yönleriyle mücadele edeceği yer burasıdır.
Toplama aşamasının uygulanması aşağıdaki adımları gerektirir:
- Saldırı yüzeyini yönetecek platformu belirleyin. Bazı kaynaklarda platformun nerede barındırıldığına bağlı olarak entegrasyon sınırlamaları olacağından, platformun bulutta mı yoksa şirket içinde mi barındırıldığının belirlenmesinin entegrasyon sonuçları olacaktır.
- Benzersiz bir varlık kimliği oluşturun. Güvenlik liderleri bir araçtaki mevcut benzersiz tanımlayıcıyı kullanabilir veya kuruluş için anlamlı olan yeni bir tanımlayıcı tanımlayabilir.
- Varlık verileri bağlamını dahil edin. Varlık veri kaynakları benzersiz bir tanımlayıcıya bağlandıktan sonra güvenlik liderleri, farklı veri kaynaklarıyla ilişkili varlık bağlamını toplayabilir ve rasyonelleştirebilir.
- Benzersiz zorluklara yönelik süreçler oluşturun. Geçici veya geçici varlıklar, hizmet dışı bırakılan varlıklar ve yanlış pozitif bağlam gibi benzersiz varlık durumlarını ele alacak süreçler oluşturun.
Riski değerlendirin
ASM uygulamasının bu aşamasında, güvenlik liderleri zaten varlıklarına ilişkin görünürlüğü sağlamış olacak. Bir sonraki kullanım durumu, varlık riskinin toplu varlık bağlamıyla değerlendirilmesidir.
Bu iki değerlendirmeye ayrılabilir: Güvenlik uyumluluğu değerlendirmesi, güvenlik kontrol uygulamalarındaki “uygulanmamış” ve “yanlış yapılandırılmış” durumlarının birleşimi olabilecek eksikliklerin tespitini içerir.
Varlık riskinin ölçülmesi, veri kaynaklarının korelasyonuna dayalı olarak riskin ölçülmesini gerektirir.
İşlevleri iyileştirin
ASM verileri, varlık verilerine dayanan araçlarda varlık doğruluğunu iyileştirebilir veya saldırı yüzeyi verileriyle mevcut süreçleri iyileştirebilir. ASM, risk yönetimi ve olay müdahalesi yoluyla güvenlik operasyonları ve BT operasyonlarındaki fonksiyonları geliştirebilir.
İyi işleyen herhangi bir güvenlik operasyon merkezi, saldırı yüzeylerini net bir şekilde görebilir ve kapsamlı bir şekilde anlayabilir. Güvenlik uzmanları, gelişmiş saldırı yüzeyi yönetimine yönelik araçları ve teknikleri uygulamak için bu adımları akıllarında tutabilirler.