Scott Gordon, CISSP tarafından,
Teknoloji gözetimi, BT ve güvenlik çerçeveleri ile uyumluluk spesifikasyonlarında ortak bir zorunluluktur, ancak bu gözetimi başarmak zordur. Hibrit işyerlerinin yükselişi, gölge BT/DevOps ve bulut altyapı dinamikleri siber güvenlik riskleri oluşturmaya devam ediyor. SecOps, Yönetişim Riski ve Uyumluluk (GRC) ve ITOps ekipleri, güvenlik duruşu açıklarını azaltmak ve iş esnekliğini güçlendirmek için çok çeşitli araçlar ve operasyonel veriler kullanır, ancak denetim hazırlığı ve uyumluluk doğrulaması bir sorun olmaya devam etmektedir. Yakın zamanda yapılan bir ankete göre, kuruluşların %66’sı son üç yılda en az bir denetimde başarısız oldu [1]. Başka bir anket, kuruluşların uyumluluk faaliyetlerine her yıl 3,5 milyon dolar harcadığını hesapladı. [2].
Neden? Niye? İlk olarak, sayısız kullanıcı, uç nokta, uygulama ve altyapı genelinde teknoloji ve operasyonel zeka silo haline getirilir ve parçalanır. Farklı departmanlarda, bölümlerde ve yönetim araçlarında bulunan bu verileri toplamanın, ilişkilendirmenin ve analiz etmenin yerleşik bir yolu olmayan olay günlüğünün ötesinde. İkincisi, kontrol ve politika uyumluluğu ayrıntılarını tespit etmek, ihlalleri çözmek ve bağlılık kanıtı sağlamak için gereken görevler yoğun kaynak gerektirir ve hataya açıktır. Tetkik sıklığı ve aralığı, gelişen birden fazla spesifikasyonu karşılamak üzere genişledikçe, kuruluşlar sorunları, gecikmeleri ve harcamaları nasıl azaltabilir? Bu soruyu yanıtlamak, CISO’ları Kapsamdan Kanıta kadar denetim süreçlerini otomatikleştirerek gerçekleştirilen sürekli denetime hazır olma yoluna yerleştirdi.
Açıktır ki, küçük işletmeler buluta öncelik verme eğilimindedir, ancak şirket büyüdükçe, ortam ne kadar dağıtılırsa ve bölümler ve BT alanları o kadar silo haline gelir. Salgın, vlouf geçişini hızlandırdı, dijital dönüşüm girişimlerini hızlandırdı ve hibrit iş yerinin benimsenmesini artırdı. Bu olayların net etkisi, aşağıdakiler gibi iyi bilinen denetim hazırlığı zorluklarını ortaya çıkarmıştır:
- Denetim verileri, silolara ayrılmış ve parçalanmıştır, bu da zamanında, verimli ve doğru analiz yapılmasını engeller
- Tasdike dayalı uyumluluk notu nicel kontrol değerlendirmesinin yerini almaz
- Uzaktan iş gücü politikası sapmasını belirlemek ve çözmek zordur
- Bulut kaynak izleme ve politika uygulama daha parçalıdır
- Bulut kaynaklarının daha az kontrollü kullanımı, yeni teşhirler sunar
- Denetim gecikmesi, yeniden denetimler ve plansız denetim harcamaları artıyor
GRC ve güvenlik ekipleri genellikle, etkin kontrol analizini engelleyen, genellikle yanlış veya yinelenen büyük, farklı teknoloji veri kümelerine sahiptir. Veri tutarsızlıkları ve önceden belirlenmiş kontrol çerçevelerinden sapmalar yaygındır. GRC ekibinin denetim desteği, soruşturmalar ve düzeltici eylemler talepleri, genellikle eksik veya doğrulanmamış sonuçlarla birlikte, departmanlar arası büyük zaman ve kaynak kayıplarına neden olur. Genel olarak, bu denetim zorlukları artan uyumluluk boşlukları, uzayan denetimler, planlanmamış harcamalar ve daha yüksek ceza ve prosedür yeniden düzenleme maliyetleri getirir. Denetim spesifikasyonlarını karşılayamamanın ötesinde, saldırı ve veri sızıntısı riski vardır – siber saldırıların %69’undan fazlası, kötüye kullanılan, kötü yönetilen, internete dönük varlıklarla başladı. [3].
Denetim ve uyumluluğa hazır olmanın temellerinden biri, ortak bir güvenlik çerçevesi ve bunun sonucunda ortak kontrol alanları belirlemek ve karar vermektir: varlık zekası, BT yönetimi ve koruma mekanizmaları. Varlık/Teknoloji İstihbaratı, uç noktaları, uygulamaları ve ağ ve bulut altyapısını birleştirir. BT Yönetimi (Kimlik ve Erişim Yönetimini içerir) sahiplik, erişim, yetkilendirmeler, yapılandırma ve yaşam döngüsü yönetimi kontrollerini kapsar. Koruma mekanizmaları, kötü amaçlı yazılım, şifreleme, güvenlik açığı yönetimi ve güvenlik duvarı teknolojileri gibi çok çeşitli siber savunmaları birleştirir.
Denetim süreci otomasyonunu ilerletmek için, politikalar ve bunların teknik kontrolleri, spesifikasyonlara uyumu izlemek, doğrulamak, raporlamak, çözmek ve iyileştirmek için kullanılabilir. Örneğin, diğer zorunlulukların yanı sıra PCI-DSS’yi de karşılamak için, bir ödeme işleme bölgesinde çalışan uyumlu sanal sistemlere yönelik bir ilke, sistem şifrelemesi ve yönetilen algılama ve yanıt MDR’si) etkin olan, etkin ve yetkilendirilmiş bir standart yapılandırmanın çalıştırılmasını içerecektir. sahibi ve kaynakları sürekli olarak belirli bir aralıkta yönetilir (erişim). Bir uyumluluk iş akışı, bu ilke tabanlı kontrollerle ilgili sapmaları oluşturur, izler ve bunlara yanıt verir.
Teknik kontrol doğrulaması (tasdikin ötesinde), bir süreç otomasyon platformu içinde kullanıldığında, denetim ve uygunluk karmaşıklığını azaltır ve denetim harcamalarını azaltır. ITOps, güvenlik ve GRC ekipleri, kullanıcı, sahiplik, konum ve teknoloji güvenlik / operasyonel durum koşullarına göre her bir ilke kümesini eşleyebilir. Bu aynı zamanda benzersiz iş gerekliliklerini ve sözleşmeden doğan yükümlülükleri belirlemek için iş birimleriyle çalışmayı kolaylaştırır. Temel denetim verileri hala yanlış, eksik veya çelişkili ise bu yaklaşım geçerli değildir.
Veri tutarsızlığı, kanıt üretimini ve tehdit çözümünü etkiler ve sürekli denetim hazırlığının ilerlemesinin antitezidir. Denetim süreci otomasyonu, varlık teknolojisi için birleşik, entegre bir kayıt sistemi kurulmasını gerektirir. Çoğu işletmenin birbiriyle çatışan veya düzenli olarak güncellenmeyen birkaç kaynağı vardır. Bu, günümüz denetim boşluklarında kendini gösteriyor – yanıt verenlerin yarısından fazlasına göre kuruluşlarının %75’ten daha az varlık istihbarat kapsamına sahip olduğunu doğruladı.
GRC, güvenlik ve BT ekipleri, uç noktalar ve uygulamalardan ağ ve bulut altyapısına kadar hangi kaynakların hangi sahipler, yöneticiler ve departmanlarla ilişkili olduğu ve bu kaynakların nerede bulunduğu konusunda eyleme geçirilebilir içgörüye ihtiyaç duyar. Hangi uç noktaların etkin olmayan veya modası geçmiş savunmaları var ve savunmasızlar? Hangi yazılım uygulamalarının yüklü olduğu ve hangi SaaS uygulamalarına erişildiği ve bu tür kullanımların izinsiz ve lisanslı olduğu. Yeni ağ ve bulut iş yükleri örnekleri nerede başlatılıyor, bunları kim yönetiyor ve bunlar doğru şekilde yapılandırılıyor mu veya açıklanıyor mu? Kuruluşların, süreçleri (alınacak eylemler) ve prosedürleri (eylemi oluşturan ayrıntılı adımlar) yönlendiren bir politikayı (uygulanacak yönergeler) uygulamak için kullandıkları bu veri matrisidir – bu unsurlar otomasyonun temelini oluşturur.
Yeni bir Kurumsal Teknoloji Yönetimi (ETM) araçları sınıfı, teknoloji ve BT yönetimi için temel iş süreçlerini otomatikleştirme yeteneği sağlayarak sürekli denetim hazırlığı için bir kolaylaştırıcı olarak ortaya çıkmıştır. Bu platformlar, sürekli denetim hazırlığı sağlamak için gerekli kayıt sistemini ve iş akışı esnekliğini sunar. ETM platformları, politika uyumluluk bilgilerini analiz etmek ve yorumlamak için güvenlik ve GRC personelini daha iyi donatan çok kaynaklı veri normalleştirme ve gelişmiş korelasyon uygular. Ayrıca, çok çeşitli uyumluluk doğrulama ve iyileştirme görevlerini kolaylaştırmak için bu birleştirilmiş ve doğru teknoloji zekasından yararlanarak düşük kodlu iş akışı düzenleme ve yönetimi sağlarlar. Bu yaklaşım, denetim raporlaması hazırlığının her zaman kullanılabilir olmasını, olay yönetiminin daha proaktif olmasını, denetimin tamamlanmasının daha öngörülebilir (ve daha az maliyetli) ve denetim iş akışlarının bir kuruluşun tüm BT varlığı genelinde daha kolay yönetilebilir olmasını sağlar.
Kuruluşların %49’u, periyodik güvenlik ve uyum sorunları nedeniyle iş akışlarında iyileştirmeye yer olduğunu ifade etti. [5] Devam eden operasyonel dinamikler, sürekli artan teknoloji hacmi ve günümüzün daralan bütçeleri göz önüne alındığında, sürekli denetim hazırlığının nerede ve nasıl ilerletileceğini belirlemenin zamanı geldi.
Scott Gordon (CISSP)
Oomnitza’da CMO
1 ESG Araştırması: 2021: Veri Gizliliği ve Uyumluluk Durumu
2 Vanson Bourne/Telos: 2020 Anketi, Bir Uyandırma Çağrısı: Denetim Yorgunluğunun Acı Gerçekliği
3 ESG Araştırması: 2022 Güvenlik Hijyeni ve Duruş Yönetimi
4 Cybersecurity Insider: 2022 Attack Surface Management Olgunluk Raporu
5 You-Gov/Oomnitza: 2022 Denetime Hazırlık Durumu Raporu
reklam