Siber güvenlik ağ mimarisi (CSMA), etkili bir güvenlik çerçevesi oluşturmak için kullanılan bir dizi düzenleme ilkesidir. CSMA yaklaşımını kullanmak, kolayca genişletilebilir arayüzler, ortak bir veri şeması ve birlikte çalışabilirlik için iyi tanımlanmış arayüzler ve API’ler ile oluşturulabilir ve ölçeklenebilir bir güvenlik mimarisi tasarlamak anlamına gelir.
İyi tasarlanmış bir CSMA, çeşitli güvenlik kontrollerinin ve çözümlerinin birlikte daha etkili bir şekilde çalışmasına olanak tanır. Bu da güvenlik kuruluşlarının tehdit istihbaratını, olaylara müdahaleyi, güvenlik varlık yönetimini ve modern siber güvenliğin diğer temel işlevlerini daha iyi yönetmesine olanak tanır.
İyi tasarlanmış bir CSMA’nın 8 temel özelliği
Bir siber güvenlik ağ mimarisinin sekiz temel yeteneğini nasıl içerdiğini anlamak için, onu bir kuruluşun siber güvenlik duruşunu dağıtılmış ve birbirine bağlı bir çerçeve aracılığıyla geliştiren kapsamlı bir yaklaşım olarak görmek önemlidir. Bu yaklaşım, gelişen siber tehditler karşısında hayati önem taşıyan daha çevik, esnek ve ölçeklenebilir bir güvenlik altyapısına olanak tanır. Temel yeteneklerin her birini ayrıntılı olarak inceleyelim ve nasıl uygulandıklarını görelim:
Tespit etme
CSMA, devam eden saldırıların bütünsel bir görünümünü oluşturmak için dağıtılmış bir sensör ağı ve ağ bağlantılı ve bilgi paylaşan bir dizi akıllı algılama mekanizması aracılığıyla algılama yeteneklerini birleştirmelidir.
Algılama ağı ağı, uç noktalar ve cihazlar, API’ler, altyapı (bulut, şirket içi, hibrit), uygulamalar ve SaaS, ağlar, veri akışları ve depolama ile kimlik doğrulama ve yetkilendirme sistemleri dahil olmak üzere bir kuruluşun BT ortamının çeşitli bileşenlerini ve katmanlarını kapsar. Bu geniş kapsam, güvenlik ihlali belirtilerini (IoC) doğru bir şekilde tanımlamak veya bir saldırının ne zaman gerçekleşeceğini belirlemek için birleştirilebilecek tüm verileri toplayarak tehditlerin erken tespitini sağlar.
Birden fazla kaynaktan sürekli olarak veri toplamak, daha zengin bir bilgi matrisine ve daha hızlı, daha doğru tehdit tanımlamasına yol açar. Modern tespit sistemleri, ortak kalıplara ve diğer tarihsel kanıtlara dayalı olarak saldırıları tanımlamak ve kategorilere ayırmak için algoritmalar ve yapay zeka içerir.
İstihbarat
Etkili olabilmesi için CSMA’nın risk tabanlı politikalar kullanarak tehditleri toplaması, analiz etmesi ve önceliklendirmesi gerekir. Bu, tehdit istihbaratı beslemelerinden gelen yapılandırılmış verilerle birlikte algılama sistemleri ağından gelen verilerin entegre edilmesiyle gerçekleştirilir.
İşlemler ve taleplere ilişkin davranışsal ve bağlamsal veriler de CSMA istihbaratına bilgi sağlar. İstihbarat verileri daha sonra MITRE ATT&CK, CVD/NVD gibi yapılandırılmış veri kaynaklarından, yapılandırılmamış verilerden (satıcı tavsiyeleri gibi) ve günlük dosyalarından gelen geçmiş kalıplara ve bilgilere göre analiz edilir.
CSMA, en son saldırı imzaları, güvenlik açıkları ve yaygın davranışlar hakkındaki bilgileri anormal davranışların tanımlanmasıyla birleştirerek istihbaratı entegre edebilir. Bu, güvenlik ekiplerine hem tehditlere ilişkin kapsamlı bir bakış açısı sağlar hem de hızlı bir şekilde hafifletilmesi için en ciddi risklerin güçlü bir şekilde önceliklendirilmesini sağlar.
Önleme
CMSA, çeşitli kontroller ve sistem tasarım ilkeleri aracılığıyla saldırıları proaktif olarak engeller.
Anormallik tespiti için gelişmiş makine öğreniminden yararlanan ve dinamik, güvenli bulut erişimi için Güvenli Erişim Hizmeti Uç Noktasını (SASE) kullanan CSMA, atıl durumdaki ve aktarılan veriler için güçlü şifreleme standartları sağlar. Sürekli kimlik doğrulama ve katı yetkilendirme ile birlikte ağ bölümleme ve mikro bölümleme, yanal hareketi kısıtlayabilir.
Bu bileşenler, sürekli uyumluluk izleme ve risk yönetimi araçlarının yanı sıra, gelişen güvenlik ortamına dinamik olarak uyum sağlayarak ve olası güvenlik açıklarına ve yetkisiz erişim girişimlerine karşı sürekli koruma sağlayarak siber tehditleri önleyen çok katmanlı bir savunma stratejisi düzenler.
Cevap
Bir CSMA’da hız, kapsam ve etkinlik için güvenlik yanıtını optimize etmek, süreci yönetmek için kullanılan tüm bileşenlerin sıkı bir şekilde entegre edilmesini gerektirir. Tespit ve istihbarat öğelerinin, yanıtların iyi organize edilmesi ve eksiksiz olması için iletişim, istihbarat işlevleri ve iletişim işlevleriyle merkezi bir kontrol paneli ve sorgulama formatı halinde entegre edilmesi gerekir.
CSMA, güvenlik bilgileri ve olay yönetimi (SIEM) sistemlerinin veya güvenlik düzenleme, otomasyon ve yanıtın (SOAR) yerini almaz. Bunun yerine, bir kuruluşun genel güvenlik duruşunu geliştirmek ve güvenlikle ilgili tüm sistemlerin tek bir ağını oluşturarak genel müdahale etkinliğini ve görünürlüğünü geliştirmek için bu çözümleri daha geniş çerçevesi içinde tamamlar ve entegre eder.
Birleşik yönetim
Yukarıdaki eylemlerde belirtildiği gibi CSMA, yönetim ve veri alışverişi için birleşik bir düzlem oluşturmak üzere mevcut tüm alt sistemleri bir araya getirir. Bu, entegre bir dizi gösterge panosunun, uyarı sistemlerinin ve raporlama sistemlerinin oluşturulmasına ve sürekli güncellenmesine olanak tanır.
Yönetim düzlemi, birleştirilmiş haldeyken paydaşların işleri için neye ihtiyaç duyduklarını görüntülemelerine, aynı zamanda sorunları gidermek, işbirliği yapmak ve güvenlik silolarını ortadan kaldırmak için gerektiğinde diğer rollerden gelen bilgileri de görüntülemelerine olanak sağlamalıdır.
Proses ölçümü ve enstrümantasyonu
Bir CSMA aynı zamanda güvenlik süreçlerini de ölçebilmeli ve görselleştirebilmelidir.
Süreç ölçümleri, bilinen metrikler (düzeltme süresi vb.) veya sürece odaklanan alternatif metrikler (güvenlik taktik kitaplarına bağlılık, uyumluluk dışında harcanan zaman, önceliklendirme süresi) etrafında oluşturulabilir. Ölçüm ve izleme sürekli ve otomatik olmalı, manuel süreçlere bağlı olmamalı ve manuel formatlarda (elektronik tablolar vb.) kaydedilmemelidir.
CSMA’nın süreç izlemesi, bir CSMA’nın ne kadar iyi performans gösterdiğine ve beklenen güvenlik süreci arasındaki farkın ne olduğuna dair tutarlı bir resim oluşturmak için hem mevcut girdileri (SIEM etkinliği, bilet akışları gibi) toplamalı hem de yapılandırılmamış verileri (Slack mesajları ve e-posta) analiz etmelidir. ve gerçek güvenlik süreci akışları.
Sistem entegrasyonu
Bir CSMA’nın mimarı, CSMA içindeki araçların, kontrollerin ve veri akışlarının esnek entegrasyonunu mümkün kılmak için arayüzler ve API’ler tasarlamalıdır. Entegrasyonun özellikleri önceden tanımlanmamıştır; bunun yerine kuruluşun kendi yetkinlikleriyle tutarlı ve sürdürülebilir bir entegrasyon yöntemi oluşturması gerekir. Bir CSMA’nın uzun vadeli olarak tasarlanması gerektiğinden, entegrasyon mimarisi ölçek ve değişimi yönetecek şekilde tasarlanmalıdır.
Ölçeklenebilirlik ve genişletilebilirlik
Bir CSMA, zaman içinde giderek daha büyük ölçeğe izin verecek şekilde tasarlanmalıdır.
Güvenlik araçlarının ve kontrollerinin sayısı her yıl artmaya devam ediyor. Koruma gerektiren teknoloji yöntemlerinin ve uç nokta türlerinin sayısı da sürekli artmaktadır. Günümüzün ortalama kuruluşunun teknoloji alanı ve saldırı yüzeyi, beş yıl öncesine göre çok daha karmaşıktır.
Bir CISO, başlangıçtan itibaren ölçeklendirmeye yönelik tasarım yaparak CSMA’larını geleceğe hazır hale getirebilir ve yıkıcı büyük yeniden düzenleme ihtiyacını azaltabilir. Sistem entegrasyonuyla yakından ilgili olan CSMA’nın kolaylıkla genişletilebilir ve modüler olması gerekir. CISO’lar, CSMA kapsamını yeni güvenlik araçlarını ve kontrollerini veya uyumluluk, denetim, finans ve düzenleme ihtiyaçları da dahil olmak üzere CSAM faaliyetlerine ve verilerine erişim gerektiren kayıt ve analiz sistemlerine hızla genişletebilmelidir.
Zamana meydan okuyan tasarım ilkeleri CSMA’ları daha iyi hale getiriyor
CSMA’nın sekiz temel özelliği birbiriyle ilişkilidir ve sağlam, çevik ve kapsamlı bir siber güvenlik ortamı oluşturmak için birlikte çalışır. Kuruluşlar, bir CSMA oluştururken bu yeteneklere odaklanarak, yalnızca mevcut güvenlik sorunlarını çözmekle kalmayıp aynı zamanda gelecekteki tehditlere ve teknolojik gelişmelere uyum sağlamaya da hazır olan bir ağ oluşturabilirler.