Siber tehditler yoğunlaşıyor ve siber güvenlik iş operasyonları için kritik hale geldi. Güvenlik bütçeleri büyüdükçe CEO’lar ve yönetim kurulları, siber güvenlik girişimlerinin mevzuat uyumluluğunun ötesinde değer sağladığına dair somut kanıtlar talep ediyor.
Tıpkı ilk kez çarpışma testinden geçirildiğini bilmeden bir araba satın alamayacağınız gibi, güvenlik sistemlerinin de değerinin onaylanması için doğrulanması gerekir. Siber uygulayıcıların, güvenlik sistemlerinin verimliliğini doğru bir şekilde değerlendirmek ve kritik risk altındaki alanları geniş ölçekte belirlemek için üretim ortamlarındaki gerçek istismarları güvenli bir şekilde kullanmalarına olanak tanıdığı için, güvenlik doğrulamaya doğru giderek artan bir geçiş söz konusudur.
Güvenlik Doğrulama uygulamalarının ve araçlarının iş değerinin üst yönetime nasıl etkili bir şekilde iletileceğini tartışmak için DTCC’de Saldırı Güvenliği ve Kırmızı Ekip Oluşturma Direktör Yardımcısı Shawn Baird ile bir araya geldik. Shawn’ın zaten kısıtlı olan bütçesi dahilinde güvenlik doğrulama platformlarına nasıl yer açtığını ve teknik güvenlik uygulamalarını, satın alma kararlarını ekibinin lehine yönlendiren somut iş sonuçlarına nasıl dönüştürdüğünü burada ayrıntılı olarak bulabilirsiniz.
Lütfen aşağıdaki tüm yanıtların yalnızca Shawn Baird’in görüşleri olduğunu ve DTCC ve bağlı kuruluşlarının inançlarını veya görüşlerini temsil etmediğini unutmayın.
S: Güvenlik Doğrulaması kuruluşunuza ne gibi değer katıyor?
Güvenlik Doğrulaması, savunmanızı teorik risklere karşı değil, gerçek dünyadaki saldırı tekniklerine karşı teste tabi tutmakla ilgilidir. Bu, pasif güvenlik varsayımlarından neyin işe yaradığının aktif olarak doğrulanmasına geçiştir. Bu bana sistemlerimizin siber suçluların bugün kullandığı taktiklerin aynılarına ne ölçüde dayanabileceğini gösteriyor.
DTCC olarak uzun süredir güvenlik doğrulaması yapıyoruz ancak performans artırıcı olarak hizmet edecek teknoloji arıyorduk. Tüm sistemlerde manuel doğrulamaları gerçekleştirmek için yalnızca pahalı, yüksek vasıflı mühendislere güvenmek yerine, seçkin ekiplerimizi yüksek değerli, hedefe yönelik kırmızı takım oluşturma çalışmalarına odaklayabiliriz. Otomatik platform, testleri gerçekleştirmek için Kerberoasting, ağ taraması, kaba zorlama vb. teknikleri kapsayan yerleşik TTP içeriğine sahiptir ve ekibi bunu oluşturma zorunluluğundan kurtarır. Testler normal iş saatleri dışında da yürütülmektedir; dolayısıyla standart test aralıklarıyla sınırlı değiliz.
Bu yaklaşım, güvenlik personelimizin tekrar eden görevlerde aşırı çalışmaması anlamına geliyordu. Bunun yerine daha karmaşık saldırı senaryolarına ve kritik konulara odaklanabilirler. Pentera bize, en yetenekli mühendislerimizi otomatikleştirilebilecek görevlerde yormadan, sürekli doğrulamayı sürdürmemiz için bir yol sağladı.
Aslında bu, ekibimiz için bir güç çarpanı haline geldi. En iyi yeteneklerimizin kullanımını optimize ederken tehditlerin önünde kalma yeteneğimizi geliştirme konusunda uzun bir yol kat ediyor.
S: Otomatik Güvenlik Doğrulama platformuna yapılan bir yatırımın yatırım getirisini nasıl gerekçelendirdiniz?
Her şeyden önce doğrudan görüyoruz. ekibimizin verimliliğinin artması. Zaman alan manuel değerlendirmelerin ve test görevlerinin otomatikleştirilmesi oyunun kurallarını değiştirdi. Yetenekli mühendislerimiz bu tekrarlayan ve çaba gerektiren görevleri Pentera’ya kaydırarak daha karmaşık işlere odaklanabilirler. Ayrıca ek personel sayısına ihtiyaç duymadan testlerin kapsamını önemli ölçüde genişletebildik.
İkincisi, şunları yapabiliyoruz üçüncü taraf yüklenicilerin maliyetlerini azaltmak. Geleneksel olarak, büyük ölçüde maliyetli ve kapsamı genellikle sınırlı olabilen dış uzman yüklenicilere güveniyorduk. Pentera gibi bir platforma yerleştirilen insan uzmanlığı sayesinde pahalı hizmet taahhütlerine olan bağımlılığımızı azalttık. Bunun yerine, etkili testler yürüten, daha az uzmanlığa sahip analistlerden oluşan dahili personelimiz var.
Son olarak, bunun açık bir faydası var risk azaltma. Güvenlik duruşumuzu sürekli olarak doğrulayarak, ihlal olasılığını ve meydana gelmesi halinde olası maliyeti önemli ölçüde azaltabiliriz. IBM’in 2023 Veri İhlalinin Maliyeti raporu bunu doğruluyor ve proaktif risk yönetimi stratejileri kullanan kuruluşlar için ihlal maliyetlerinde %11’lik bir azalma rapor ediyor. Pentera ile tam da bunu başardık: daha az maruz kalma, daha hızlı tespit ve daha hızlı iyileştirme; bunların tümü genel risk profilimizin azaltılmasına katkıda bulundu.
S: Karşılaştığınız bazı dahili engeller veya engeller nelerdi?
Karşılaştığımız en önemli engellerden biri mimari inceleme kurulunun sürtünmesiydi. Anlaşılır bir şekilde, platform ‘tasarım gereği güvenli’ olmasına rağmen, ağımızda otomatik güvenlik açıklarından yararlanma konusunda endişeleri vardı. Üretim ortamlarında gerçek dünya saldırıları gerçekleştirme fikri, özellikle kritik sistemlerin kararlılığından sorumlu ekipler için sinir bozucu olabilir.
Bu sorunu çözmek için aşamalı bir yaklaşım benimsedik. Platformu azaltılmış bir saldırı yüzeyinde çalıştırarak, güvenliğini ve etkinliğini göstermek için daha az kritik sistemleri hedefleyerek başladık. Daha sonra, kırmızı ekip katılımı sırasında kullanımını genişlettik ve mevcut test süreçlerimizle birlikte yürüttük. Zamanla kapsamı kademeli olarak genişleterek platformun güvenilirliğini ve emniyetini her aşamada kanıtlıyoruz. Bu kademeli dağıtım, büyük aksaklıklar riski olmadan güvenin oluşmasına yardımcı oldu; dolayısıyla artık platforma olan güven oldukça sağlam bir şekilde yerleşmiş durumda.
Soru: Fonları nasıl dağıttınız?
Pentera için fonları, Rapid7 ve güvenlik açığı tarayıcıları gibi diğer çözümlerle gruplandırılan kırmızı ekip araçlarımızla aynı satır öğesi altında tahsis ettik. Saldırgan güvenlik araçlarının yanına yerleştirilerek bütçeleme süreci basit tutuldu.
Ortamımızın fidye yazılımı saldırısına karşı duyarlılığını değerlendirmek için özellikle maliyetimize baktık. Daha önce fidye yazılımı taramalarına yılda 150 bin dolar harcıyorduk, ancak Pentera ile aynı bütçeyle daha sık test yapabiliyorduk. Fonların yeniden tahsis edilmesi mantıklıydı çünkü daha önce bahsettiğimiz temel kriterlerimizi karşıladı: işe alıma gerek kalmadan test kapasitemizi artırarak üretkenliği artırmak ve daha sık ve daha büyük ölçekli testlerle riski azaltmak. Fidye yazılımı saldırısı olasılığını azaltır ve meydana gelmesi durumunda hasarı sınırlandırır.
S: Başka hangi hususlar devreye girdi?
Otomatik Güvenlik Doğrulamasına yatırım yapma kararımızı birkaç faktör daha etkiledi. Çalışanları elde tutmak büyük bir olaydı. Daha önce de söylediğim gibi, tekrarlanan görevlerin otomatikleştirilmesi, siber güvenlik uzmanlarımızın daha zorlu, etkili çalışmalara odaklanmasını sağladı ve bunun da yeteneklerini korumamıza yardımcı olduğuna inanıyorum.
Güvenlik operasyonlarındaki iyileşme de bir diğer noktaydı. Pentera, kontrollerimizin uygun şekilde ayarlandığından ve doğrulandığından emin olmamıza yardımcı olur; ayrıca kırmızı ekipler, mavi ekipler ve SOC arasındaki koordinasyona da yardımcı olur.
Uyumluluk açısından bakıldığında, denetimler için kanıt toplamayı kolaylaştırdı ve süreci normalde olduğundan çok daha hızlı tamamlamamıza olanak sağladı. Son olarak siber sigorta, Pentera’nın primlerimizi düşürmemize olanak sağlayarak daha fazla finansal değer kattığı bir diğer alandır.
S: Güvenli doğrulama için bütçe almaya çalışan diğer güvenlik profesyonellerine tavsiyeleriniz nelerdir?
Otomatik Güvenlik Doğrulamanın performans değeri açıktır. Çoğu kuruluş, olgun kırmızı ekip çalışmasını yürütecek iç kaynaklara sahip değildir. İster küçük bir güvenlik ekibiniz olsun ister bizim DTCC’de yaptığımız gibi olgun bir saldırı güvenliği pratiğiniz olsun, tam bir değerlendirme yapmak için yeterli güvenlik uzmanı kaynağına sahip olmamanız çok muhtemeldir. Hiçbir şey bulamazsanız, ağınızda kötü niyetli bir kişinin varlığına dair hiçbir kanıt bulamazsanız, esneklik gösteremezsiniz; bu da mevzuat uyumluluğunu sağlamayı zorlaştırır.
Pentera ile, kuruluşunuzun tehditlere ne kadar iyi yanıt verdiğini değerlendirmeniz için size doğrudan bir yol sağlayan yerleşik TTP’lere sahipsiniz. Bu doğrulamaya dayanarak altyapınızı güçlendirebilir ve keşfedilen güvenlik açıklarını giderebilirsiniz.
Alternatif olan hiçbir şey yapmamak çok daha risklidir. Bir ihlalin maliyeti, IP’nin çalınmasına, veri kaybına ve potansiyel olarak operasyonların kapanmasına neden olabilir. Öte yandan, aracın maliyeti, gerçek dünyadaki tehditlere maruz kalma oranınızı azalttığınızı ve geceleri daha iyi uyuyabildiğinizi bilerek gönül rahatlığı sağlar.
DTCC Saldırı Güvenliği ve Kırmızı Takım Oluşturma Direktör Yardımcısı Shawn Baird ve Pentera Field CISO’su Jason Mar-Tang ile isteğe bağlı web seminerinin tamamını izleyin.