Bu Help Net Security röportajında Uncovery CEO’su Adrien Petit, kuruluşların harici saldırı yüzey yönetimi (EASM) çözümlerini uygulamaktan elde edebilecekleri faydaları, bir EASM çözümünün sahip olması gereken temel yetenekleri ve gizli sistemleri ortaya çıkarmayla nasıl başa çıktığını tartışıyor.
Sağlam bir EASM çözümünün sahip olması gereken temel yetenekler nelerdir?
Amacın internette gösterilen varlıklara hakim olmak olduğu göz önüne alındığında, herhangi bir EASM çözümünün aşağıdaki dört temel özelliği sunabilmesi gerekir:
- Varlıkların keşfi (şirket içinde veya bulutta) ve bunların bir envanter içerisinde bakımı
- Değişiklikleri belirlemek için varlıkların zaman içinde ve düzenli olarak sürekli izlenmesi
- Varlık risk seviyelerinin değerlendirilmesi ve önceliklendirilmesi (yanlış yapılandırmalar, güvenlik açıkları, hileli varlıklar vb.)
- Operasyonel ekipler tarafından iyileştirme/azaltma işlemlerini kolaylaştırmak için kullanılan araçlarla (biletleme, mesajlaşma, SIEM) entegrasyon
EASM çözümlerinin uygulanmasından en çok hangi tür kuruluşlar faydalanabilir?
Bir EASM çözümü, değerini tüm sektörlerdeki şirketlere ve kuruluşlara geniş ve/veya parçalı bir çevreyle gösterir. Bu aynı zamanda dijitale geçişin karmaşık olduğu şirketler (özellikle endüstriyel sektörde olanlar) için de geçerlidir.
Bununla birlikte, EASM çözümleri büyük şirketler arasında gerçek bir ilgi yaratsa bile bunların benimsenmesi henüz yaygın değildir: aslında internette açığa çıkan tüm varlıklara hakim olma ve bunların risk seviyelerini bilme gerekliliği henüz tüm güvenlik profesyonelleri tarafından benimsenmemiştir.
Bu nedenle benimsenme en güçlü güvenlik olgunluğuna sahip sektörlerde görülür: bankacılık/sigorta, yüksek teknoloji, telekom, perakende ve devlet.
KOBİ’lerle ilgili olarak, sınırlı sayıda varlıkları (esasen SaaS çözümlerini kullanan bir web sitesi ve BU), doğal olarak iyi kontrol edilen bir riskleri ve dolayısıyla EASM çözümlerine meşru bir düşük ilgileri var.
EASM araçları, Bulut Güvenliği Duruş Yönetimi (CSPM) ve güvenlik açığı tarayıcıları gibi siber güvenlik çerçeveleri ve çözümleri ile nasıl entegre olur?
EASM çözümlerinin, kritik varlıkların keşfedilmesine/izlenmesine ve risk seviyelerinin değerlendirilmesine yönelik işlevleri yerel olarak entegre etmesi, ISO 27001, NIS 2 veya DORA tarafından istenen gereksinimlere uygunluğu sağlar.
EASM araçları, harici varlıklar hakkındaki verileri CSPM veya CAASM (mevcut araçlarla API entegrasyonlarına dayanan) gibi çözümlere besleyebilir. Bu, ekiplerin kuruluşun saldırı yüzeyine ilişkin güncel bir görünüme sahip olmasını sağlar.
Güvenlik açığı tarayıcıları aynı zamanda doğru ve güncel bir envanterden de yararlanabilir ancak tam tersi yönde, bir EASM çözümü doğrudan bir güvenlik açığı tarayıcısını entegre edebilir. Bu, riskin değerlendirilme şeklini zenginleştirir. Tehdit istihbaratıyla birleştiğinde ekiplere zaman kazandırır ve yalnızca en kritik varlıklara odaklanmalarını sağlar.
Etkili bir EASM programı için hangi temel ölçütler izlenmelidir?
Kapsama ve doğruluğa dayalı iki niceliksel ölçüm kullanılabilir:
- Keşif açısından bakıldığında: başlatma sırasında, çözümün operasyonel ekipler tarafından halihazırda bilinenlerden daha fazla varlığı (örn. alt alan adı, web sitesi vb. sayısı) tanımlamasını sağlamak önemlidir. Ancak bir EASM çözümü operasyonel ekipler için gereksiz bir iş yükü oluşturmamalı, bu nedenle yanlış pozitif olmayan bir envanter sağlamalıdır.
- Sürekli izlemeyle ilgili olarak: yeni keşfedilen, hizmet dışı bırakılan (kalıcı veya geçici) veya yeniden açığa çıkan varlıklar gerçek zamanlı olarak rapor edilmeli ve günler/haftalar sonra belirlenmemelidir.
Niteliksel yönü ile ilgili olarak:
- Bildirilen birçok varlığın işlenmesine öncelik verilmesi amacıyla, maruz kalan varlıkların risk düzeyinin değerlendirilmesi uyarlanabilir/modüler (yeni keşif ve değerlendirme modülleri önerme yeteneği), profesyoneller tarafından benimsenen standartlara dayalı ve mevcut gerçeklikle ilişkili olmalıdır. Siber saldırı vektörleri açısından (uzaktan erişim hizmetleri, VPN cihazları, genel kullanıma açık kritik güvenlik açıkları vb.).
- Çözüm kapalı olmamalı ve operasyonel personel tarafından en sık kullanılan araçlarla entegrasyon olanağı sunmalıdır.
EASM gölge BT ile nasıl başa çıkıyor ve bu gizli sistemleri ortaya çıkarma konusunda diğer güvenlik çözümlerinden farkı nedir?
Bir EASM’nin bir şirketin tüm gölge BT’sini kapsamadığını belirtmek önemlidir: örneğin bir çalışanın şirketin WiFi ağında kullandığı telefonu (veya kişisel bilgisayarı), tıpkı SaaS gibi ele alınmayan bir kullanım durumudur. Bir çalışanın profesyonel e-posta adresiyle kayıtlı olduğu mesajlaşma uygulaması (veya muhasebe, İK vb.).
Bununla birlikte, bir EASM çözümü, Gruba bildirilmemiş bir yan kuruluş (veya bir web ajansı) tarafından kaydedilen alan adlarının tanımlanmasına mükemmel şekilde uygundur. Benzer şekilde, bir geliştirici tarafından çevrimiçi hale getirilen ancak merkezi ekip tarafından bilinmeyen bir web sitesi kolaylıkla tespit edilebilir.
Üzerinde çok çalıştığımız temel farklılaştırıcı, elde edilen eşlemeyi oluşturan tüm öğeleri (TLS sertifikaları, Google Analytics, favicon vb.) karakterize etme ve sınıflandırma yöntemimizdir. Bu unsurlara dayalı olarak pivotlar gerçekleştirmek ve böylece açığa çıkan varlıkların ilk envanterine eklenebilecek gölge BT varlıklarını belirlemek mümkündür.
Birçok EASM platformu kullanıcı dostu arayüzlerin reklamını yapar. Bir kuruluş içinde EASM’nin başarılı bir şekilde uygulanması ve işletilmesi için bu neden bu kadar kritiktir?
Giderek daha fazla sayıda teknik olmayan operasyonel kullanıcı ve yönetici siber güvenlik çözümlerini kullanıyor ve bu EASM için de geçerli. Bu nedenle verileri anlaşılır, eyleme dönüştürülebilir ve kolay raporlama için sentezlenebilir hale getirmek hayati önem taşıyor.
Öte yandan, ekipler farklı ihtiyaçlarını karşılamak için kendilerini çözümleri (düzinelerce) yığarken buluyorlar; bu nedenle, ürüne belirli bir düzeyde bağlılık sağlamak ve hayal kırıklığı yaratan bir etkiden kaçınmak için kullanıcı dostu arayüzler sağlamak çok önemlidir. kullanılmaması ve dolayısıyla terk edilmesi.