Siber hijyen kulağa basit geliyor. Sistemlerinizi ekleyin, eski hesapları kaldırın, yazılımınızı güncelleyin. Ancak büyük organizasyonlar için bu hızlı bir şekilde dağınık hale geliyor. Binlerce sistem numarası. Takımlar dağılmış. Bazı makineler aylar içinde yeniden başlatılmadı.
Otomasyon yardımcı olabilir. Ancak her şey otomatikleştirilmemeli ve her otomasyon işe yaramaz. Cisos için gerçek soru “otomatikleştirebilir miyiz?” “Miz?”
İşte bugün siber hijyende otomatikleştirmeye değer ve çizgiyi nereden çizeceğiniz.
Görebildiğin şeyle başlayın
Bir şey otomatikleştirmeden önce neler olduğunu görebildiğinizden emin olun. Birçok hijyen arızası zayıf görünürlükten kaynaklanmaktadır. Var olduğunu bilmiyorsanız bir sistemi düzeltemezsiniz. Etkin olduğunu bilmediğiniz bir hesapta şifreyi döndüremezsiniz.
Varlık keşfi, otomatikleştirdiğiniz ilk şey olmalıdır. İyi varlık envanterleri artık bulut örnekleri, çalışan dizüstü bilgisayarlar, mobil cihazlar, sanal makineler, Gölge IT ve daha fazlasını içeriyor.
Maruz kalma yönetim araçları, siber hijyen programınızın MFA’nın etkinleştirildiğini doğrulama, modası geçmiş yazılımı işaretleme ve zayıf şifreleri algılama gibi temel yönlerini otomatikleştirebilir.
Birçok CISO, maruz kalma yönetimi araçlarını sürekli güvenlik açığı taramasının başka bir biçimi olarak düşünmektedir, ancak bu perspektif kritik bir noktayı kaçırır. Bitsight’ın müşteri savunuculuğu ve baş mimarı direktörü Chris Poulin’e göre, bu araçlar temelde farklı bir şey sunuyor: “Temel bir dış perspektif sunuyorlar – kuruluşun sahip olduğu hakkında hiçbir bilgisi yok.”
Bu yabancı zihniyet, pozlama yönetimini bu kadar güçlü kılan şeydir. Mevcut varlık envanterleri hakkında varsayımlarla çalışan dahili araçların aksine, pozlama yönetimi boş bir arduvazla başlar. Poulin, “Önceden tasarlanmış kavramlar olmadan, pozlama yönetimi araçları varlıkları keşfetmek için kapsamlı bir yaklaşım benimsiyor” diye açıklıyor. “Kör noktaları veya göz ardı edilen varlıkları ortaya çıkarmak için Arin, olgun, apnik, laknik ve afrinic; etki alanı kayıt şirketleri; DNS kayıtları; BGP duyuruları; BGP duyuruları; ve alternatif adlar gibi sertifika meta verileri;
Poulin bu varlıkları açıklıyor:
- Gölge. Dijital ayak izi bırakan gölge varlıkları (yani bir DNS kaydı, kayıt memuru, kayıt defteri artefaktı vb.).
- Sarkan DNS kayıtları. Saldırganlar, uygun şekilde emekli olmayan eski DNS kayıtlarından yararlanabilir.
- Bulut kullanımı. Maruz kalma yönetimi, varlık konsantrasyonunuzun, tek bir başarısızlık noktası veya diğerlerinden daha zayıf güvenlik kontrolleri olan bir bulut sağlayıcısının aşırı kullanımı yoluyla nerede bir risk oluşturabileceğini belirlemeye yardımcı olur.
- Etki alanı çömelme ve park etme. Kuruluşlar genellikle gelecekteki kullanım için alan adlarını kaydeder veya etki alanını (AKA etki alanı çömelme) önlemek ve bunları bir kayıt şirketine park ettirir. Kayıt memurları, bu park edilmiş alanlarda reklam alanı satar, ancak genellikle reklamverenleri incelemez – saldırganlar için istenmeyen bir sulama deliği.
- M&A Gözetim. Bir şirket başka bir tane satın aldığında veya işletmenin bir kısmını elden çıkardığında, kayıt defteri sahipliğini içermelidir. Maruz kalma yönetimi, genel veritabanlarını temiz ve doğru tutmaya yardımcı olur.
Yama: Evet, ancak karmaşıklığa dikkat edin
Kuruluşlar yama dağıtımını otomatikleştirse de, bu her zaman yamaların doğru uygulandığı anlamına gelmez. İstisnalar birikir, bazı iş birimleri yeniden başlatmaları geciktirir, eski sistemler geçen haftalarda test döngüleri gerektirir.
Yamayı otomatikleştirirseniz, geri dönüş mekanizmaları oluşturun. Bu şu anlama geliyor:
- Başarısız dağıtımlar için uyarıları temizleyin
- Yamalar uygulamaları bozarsa geri dönüş özellikleri
- Riske göre yükselen politika kontrolleri (örneğin, sıfır günler öncelik kazanıyor)
Ayrıca, yamalama kadansını iş programları ile hizalayın. Yoğun saatlerde kesinti süresine neden olan otomatik paylaşım, iş birimlerinden desteği kaybetmenin hızlı bir yoludur.
Otomatik yama işleminin güvenlik açığı yönetimine de bağlı olduğundan emin olun. Bağlamsız yama zaman kaybedebilir. Önce en sömürülebilir sorunlara odaklanın ve mümkünse triyajı otomatikleştirin.
Yüksek düzeyde güvenlik otomasyonu olan kuruluşlar, veri ihlallerinde düşük veya olmayan otomasyona kıyasla maliyetleri önemli ölçüde düşürür.
Şifreler ve kimlik bilgileri: Mantık değil, rotasyonu otomatikleştirin
Kimlik bilgileri çoğu kuruluşta büyük bir zayıf noktadır. Eski hizmet hesapları, paylaşılan yönetici kimlik bilgileri ve sabit kodlu şifreler çok fazla ihlalde ortaya çıkar.
Rotasyonu otomatikleştirmelisiniz:
- Hizmet Hesabı Şifreleri
- Ayrıcalıklı hesap kimlik bilgileri
- API anahtarları ve sırlar
Vairing araçlarını mümkün olduğunca kullanın, ancak erişim kararlarını otomatikleştirmeyin. İnsanların hala yüksek pratik erişim için politikalar belirlemesi gerekmektedir. “Neye Erişim” gibi mantığı otomatikleştirmek, kötü yapılırsa kör noktalar veya aşırı bırakılan hesaplar oluşturabilir.
Ayrıca, temizliği otomatikleştirin. Bazı kuruluşlar göçler veya çalışanların ayrılmasından sonra yetim kimlik bilgilerini bırakır. Ayrılmış bir süre sonra veya hareketsizlikten sonra kimlik bilgilerini süresi doldurmak için kuralları ayarlayın.
Kalıcı kimlik ve erişim yönetimi zorlukları ile boğuşan Cisos için, kimlik bilgisi rotasyonunu otomatikleştirmek ve ayrıcalıklı hesaplar için atlama araçlarının uygulanması pazarlık edilemez hale gelmektedir. 1Password’de küresel danışmanlık Ciso Dave Lewis, “Bir organizasyondaki en riskli saldırı vektörlerinin bazılarını etkisiz hale getirmeye yardımcı oluyor” dedi. Eski hizmet hesapları ve paylaşılan yönetici girişleri, tehlikeye girdikten sonra, saldırganlara kritik sistemlere doğrudan bir yol sunarak onları birincil hedef haline getirir.
Lewis, manuel kimlik bilgisi rotasyonunun, “en iyi ihtimalle biraz sporadik, hataya eğilimli ve denetlenmesi zor” olduğunu belirtti. İşlemin otomatikleştirilmesi, tutarlı bir politika bağlılığı sağlar ve kimlik bilgileri kaçınılmaz olarak sızdırıldığında pozlama penceresini keskin bir şekilde azaltır. Ayrıca ekiplere, operasyonel aksamalar olmadan talep üzerine kimlik bilgilerini döndürerek şüpheli ihlallere yanıt vermelerini sağlar.
Tıpkı önemli, atlama araçları kritik bir ikinci koruma katmanı sağlar. Lewis, “Kontrolü merkezileştirerek, katı erişim sınırlarını uygulayarak ve kimlik bilgisi kullanımının ayrıntılı denetim günlüklerini koruyarak şifrenin yeniden kullanılmasını, sabit kodlanmasını ve yetkisiz paylaşımı önler” dedi. Gerçek dünya ihlalleri, komut dosyalarına ve yapılandırma dosyalarına gömülü yönetilmeyen kimlik bilgilerini sıklıkla kullanır-bu çözümlerin neredeyse ortadan kaldırabileceği vulnerablees.
Nihayetinde Lewis, otomasyonu atlama ile birleştirmek sadece savunmaları güçlendirmekle kalmaz, aynı zamanda güvenlik ekiplerine nefes alması için yer verir. “Güvenlik ekiplerinin, proaktif güvenlik çabalarıyla tehdit algılamasını yönetmeye ve riskleri azaltmaya odaklanmaları için serbest bırakmaya yardımcı oluyor” dedi. “CISOS için, kimlik bilgisi otomasyonuna öncelik vermek sadece iyi bir hijyen değil; bu önemli bir savunma stratejisi.”
Hesap Yaşam Döngüsü
Çalışan işe alım ve offtrobing yüksek riskli anlardır. Birisi ayrılır ve hala sistemlere erişimi varsa, bu bir boşluktur. Kimlik sağlayıcıları ve İK sistem entegrasyonları aracılığıyla sağlama ve yoksun bırakmayı otomatikleştirin. Bu, erişimin iş rollerini takip etmesini ve ne zaman olması gerektiğinde sona ermesini sağlar.
Düzenli görevlerin otomatikleştirilmesi, zamanında yapılmasını sağlar ve güvenlik personelini daha fazla ilgili konulara katılmaları için serbest bırakır.
Otomasyon burada yardımcı olur, ancak yine de insanların mantığı ayarlaması gerekir. Erişimin sadece geçmiş şablonları değil, mevcut rollere bağlı olduğundan emin olun.
Politika istisnalarını otomatikleştirmeyin
Her kuruluşun avantaj vakaları vardır. Bazen, bir sistem hemen yamalanamaz. Veya bir kullanıcının geçici yönetici erişimine ihtiyacı vardır. Bu durumlar yargı gerektirir.
İstisna işlemesini otomatikleştirirseniz, kalıcı oyma çıkışları riske atarsınız. Bu gerçekleşmeyi bekleyen bir hijyen başarısızlığı. Bunun yerine, istisnaları işaretlemek için otomasyonu kullanın ve bir insanın düzenli olarak onaylamasını veya yenilemesini isteyin.
Karantina süreci gibi düşünün. Otomasyon tespit ve izole yardımcı olur, ancak insanlar son çağrıyı yapar.
Uyarılar ve raporlar
Siber hijyen verileri gürültülüdür. Otomatik bir sistem size 10.000 uç noktanın bir yama eksik olduğunu söyleyebilir. Şiddet, sömürülebilirlik ve iş etkisi ile sıralanmadığı sürece bu yararlı değildir.
Otomasyonu kullanın:
- Riske dayalı uyarılara öncelik ver
- Biletleri doğru takımlara yönlendirin
- İş Birimi tarafından Raporlar Oluşturun
Ancak, bağlamsız hijyen skorları gösteren gösterge tablolarından kaçının. İyi raporlar bir hikaye anlatıyor: gelişen, neyin risk altında olduğu ve bir sonraki nereye odaklanacağı.
Michael Lyborg’a göre, Swimlane’den Ciso, NIST CSF, ISO/IEC 27001/2 veya NIST 800-53 gibi temel çerçevelerle hizalanan önemli bir ilk adımdır. Lyborg, “Bütünsel, çerçeveye dayalı bir yaklaşım, ekiplerin risklere öncelik vermesine, denetime hazır olmasını, boşluk analizi yürütmesine ve sürekli izleme yoluyla durumsal farkındalığı artırmasına izin veriyor” dedi.
Ancak uyumluluk tek başına yeterli değildir. Uyarı önceliklendirmesi, gürültüde boğulan güvenlik operasyonları ekipleri için kalıcı bir zorluk olmaya devam etmektedir. Lyborg, ciddiyet, frekans ve iş etkisine dayalı olarak tetikleme uyarıları için otomasyonla başlamayı önerir. Lyborg, “Uyarıları bağlamsal verilerle zenginleştirmek ve karar desteği için AI kullanmak, ekiplerin en önemli şeylere sıfır yardımcı olmasına yardımcı oluyor” dedi. “Tekrarlayan, düşük riskli uyarılar için, manuel iş yüklerini azaltmak için otomatik yanıtlar uygulayın.”
Aynı otomasyon zihniyeti siber hijyene kadar uzanmalıdır. Lyborg, “Yama yönetimi, güvenlik açığı taraması, kullanıcı hesabı yönetişimi ve günlük analizine odaklanmaya odaklanın” dedi. Bu temel görevler, otomatik olarak, güvenlik ekiplerinin çabalarını daha yüksek değerli stratejik girişimlere odaklamasına izin verir.
Otomasyon ayrıca raporlama sürecini – genellikle bir zaman lavabosu olarak görülen – değerli bir istihbarat aracı olarak dönüştürür. Lyborg, “Otomatik olarak oluşturulan güvenlik açığı taramaları, yama uyumluluğu, kullanıcı erişim incelemeleri ve olay müdahale belgeleri eyleme geçirilebilir bilgiler sunuyor” dedi. “Görselleştirmeler, özelleştirme ve güvenlik araçlarıyla entegrasyon, anlama ve faydayı geliştirir.”
Nihayetinde, amaç verimliliği artırmak ve daha proaktif bir güvenlik duruşunu sağlamaktır. Lyborg, “Standartlaştırılmış çerçeveleri akıllı otomasyonla birleştirerek kuruluşlar güvenlik duruşlarını ve siber hijyenlerini güçlendirebilir, operasyonel yükü azaltabilir ve tehditleri azaltmak için daha akıllı, veri odaklı kararlar yapabilir” dedi.
Küçük başlayın, her şeyi ölçün
Siber hijyendeki otomasyon insanları çıkarmakla ilgili değildir. Önemli olduğu yere odaklanmalarına yardımcı olmakla ilgilidir. Büyük işletmeler için bu, gözetimini kaybetmeden temelleri ölçeklendirmek anlamına gelir.
En iyi otomasyon üç soru ile başlar:
1. Bu hijyen görevi tutarlı ve tekrarlanabilir mi?
2. İnsan hatasına yatkın mı?
3. Otomasyon başarısızlığı riski manuel olarak yapma riskinden daha mı düşük mü?
Küçük başlayın, her şeyi ölçün ve ayarlamayın ve unutmayın. Hijyen asla bitmez, ancak akıllı otomasyon parçalanmasını engelleyebilir.