Cihaz çeşitliliği, bulut benimseme, uzaktan çalışma ve giderek daha karmaşık hale gelen yazılım tedarik zinciri, günümüzün saldırı yüzeyini önemli ölçüde genişletti. Ancak güvenlik operasyonlarına yapılan yıldan yıla artan yatırımlara rağmen, çoğu kuruluş hâlâ ortamlarında bulunan milyonlarca sorunun yalnızca %10’unu ele alacak kaynaklara sahip.
Güvenlik ve risk liderlerinin pratik olması ve en fazla riski temsil eden risklerin küçük yüzdesine odaklanması gerekir. onların organizasyon. Güvenlik ekipleri, risk odaklı güvenlik açığı önceliklendirmesini güçlendirmek için ihtiyaç duydukları istihbarata zaten erişebiliyor, ancak mevcut içgörülerinin tam potansiyelinden yararlanmak için önce mevcut veri silolarının neden olduğu engelleri yıkmaları gerekiyor.
Otonom ağ ve güvenlik açığı tarayıcılarından manuel elektronik tablolara kadar dijital ekosistemdeki her şey veri oluşturur. Ekipler, önceliklendirme karar verme sürecinde her bir unsurun nasıl bir rol oynadığını anlamalıdır. Her bir kaynağın güçlü yanlarını, zayıf yönlerini ve fırsatlarını keşfetmek için tehdit ve maruz kalma yönetimi yaşam döngüsünü göz önünde bulundurmaları gerekir.
Silo 1: Siber Varlık Yönetimi
Tüm varlıkların ve bunlarla ilişkili risk durumunun konsolide bir envanterini oluşturmaya yönelik birçok yaklaşım vardır: eski elektronik tablolar, “geleneksel” ağ tarayıcıları ve BT varlık yönetimi araçları ve siber varlık saldırısı yüzey yönetimi (CAASM) platformları.
Ancak yaklaşıma bağlı olarak ekipler, tipik bir çoklu bulut, merkezi olmayan ve iyi bölümlere ayrılmış modern bir ağda bulunabilecek her şeyi düşünmek yerine yalnızca “geleneksel” saldırı yüzeyine bakıyor olabilir. Bu kategoride ilerleme kaydedilmesine rağmen, yine de belirli bir noktaya, duruma dayalı içgörüler üzerine kuruludur. Bu nedenle, saldırı davranışına ilişkin içgörü eksikliği, genel etkinliklerini etkiler.
Silo 2: Tehdit Tespiti ve Müdahale
Öte yandan, tehdit algılama ve yanıt araçları, ağ, kullanıcı ve makine davranışını analiz ederek kuruluşların saldırı yüzeyini düşmanın bakış açısından anlamalarına yardımcı olmak için tasarlanmıştır. Güvenlik bilgileri ve olay yönetimi (SIEM) sistemlerinden gelen verilerin kalitesi dikkate değer olsa da, aşırı uyarı yüklemesi ekiplerin en uygun bilgileri taramasını ve çıkarmasını son derece zorlaştırır.
Ek olarak, tehdit algılama ve müdahale platformları genellikle yalnızca “bilinen” varlıkları değişiklikler için izler, oysa en büyük tehdit bilinmeyen varlıklarda yapılan değişikliklerdir. Bu nedenle, bu platformlar müdahale ve düzeltmeyi hızlandırmak için uzun bir yol kat etmiş olsalar da, tipik yazılım güvenlik açıkları ve yanlış yapılandırmaların ötesindeki risklere ilişkin görünürlükten hala yoksundurlar. Gartner, yama yapılamayan saldırı yüzeylerinin, 2022’de kuruluşun toplam maruz kalmasının %10’undan daha azından 2026’da yarısından fazlasına çıkacağını tahmin ediyor.
Silo 3: Üçüncü Taraf İstihbaratı
Ortak Güvenlik Açığı Puanlama Sistemi (CVSS), İstismar Tahmin Puanlama Sistemi (EPSS) ve satıcıya özel puanlama sistemleri gibi güvenlik açıklarının potansiyel etkisini ve istismar edilebilirliğini ölçmenin birkaç yolu vardır. CVSS, güvenlik açıklarına öncelik vermek için en yaygın yöntemdir.
Yalnızca üçüncü taraf kılavuzlarına güvenmenin en büyük riski, kuruluşun benzersiz gereksinimlerini dikkate almamasıdır. Örneğin, güvenlik ekiplerinin bir “ciddi derecede kritik” güvenlik açıkları grubunda (örneğin, CVSS puanı 9.0 veya daha yüksek olanlar) hangi yamalara öncelik vereceğine hâlâ karar vermesi gerekiyor.
Bu durumda, yalnızca bu nicel yöntemleri kullanarak bilinçli bir karar vermek imkansızdır. Varlığın konumu gibi faktörler, ekiplerin güvenlik açığından yararlanılabilirliğini belirlemesine yardımcı olur. onların kendi birbirine bağlanabilirliği ise ekiplere patlama yarıçapı veya potansiyel genel saldırı yolu hakkında bir fikir verebilir.
Silo 4: İşletme İçgörüleri
Yapılandırma yönetimi veritabanlarından (CMDB’ler), kontrollere ve bağımlılık haritalarına ve veri göllerine kadar bu liste, dahili iş izleme sistemleri olmadan tamamlanmış sayılmaz. Bu kaynaklar, cihazlar ve güvenlik açıkları arasındaki bağlantıların yanı sıra genel iş kritikliği ve bağımlılık eşlemesini göstermedeki güçleri nedeniyle tehdit ve maruz kalma önceliklendirmesi için kritik öneme sahiptir.
Ancak, ne kadar zengin olsalar da, özel veritabanları yalnızca uygulamak için değil, aynı zamanda güncel tutmak için de ağır bir manuel kaldırma gerektirir. Bu nedenle, ortamlarımızın değişme hızı nedeniyle hızla güncelliğini yitirir ve güvenlik duruşu değişikliklerini doğru bir şekilde incelemeyi imkansız hale getirir.
Değişim Programatiktir, Araç Merkezli Değildir
Yukarıda listelenen her kaynak kendi amacına hizmet etse ve benzersiz bir değerli içgörü katmanı sağlasa da hiçbiri günümüzün karmaşık tehdit ortamında yön bulmak için tek bir gerçek kaynağı olarak hizmet etmiyor. Bununla birlikte, birlikte çalıştıklarında son derece güçlüler. Doğru bir şekilde birleştirildiğinde ve ilişkilendirildiğinde, ekiplerin daha iyi, daha bilinçli kararlar vermesini sağlayan kapsamlı bir bakış açısı ortaya koyarlar.
Bilgiye dayalı, riske dayalı kararlar almak için gereken değerli içgörülerin çoğu ya kurumsal teknoloji yığınlarının silolarında kaybolur ya da çatışan ekipler ve süreçler arasında sıkışıp kalır. Modern ortamlar aynı derecede ilerici güvenlik gerektirse de, bu bozulan süreci onarabilecek tek bir araç veya ekip yoktur.
Güvenlik liderlerinin siber varlık istihbaratını birincil kullanım durumlarıyla uyumlu hale getirmesi gerekiyor. Bu, üçüncü taraf istihbaratı, iş bağlamı ve varlık kritikliği kullanarak güvenlik açığı önceliklendirme süreçlerini haritalamak veya NIST Siber Güvenlik Çerçevesi veya CIS Kritik Güvenlik Kontrolleri gibi belirli kontrol çerçevelerini hedefleyerek, güvenlik verilerini etkili bir güvenlik geliştirme programı yürütmek için kullanmak yoluyla olabilir. .