Reveald CEO’su Brett Kelsey tarafından
Bilgisayar korsanları kısa bir süre önce Binance blok zincirindeki kusurlardan yararlanarak 570 milyon dolar çaldı ve ortadan kayboldu. Başka herhangi bir zamanda, yarım milyar dolarlık bir hırsızlık yüzyılın suçu gibi gelirdi. Ancak günümüzün siber güvenlik ortamında bu, hızla unutulması ve kısa sürede aşılması gereken başka bir olay.
Siber güvenlik istatistikleri her ölçümde daha da kötüleşmeye devam ederken – siber saldırıların karmaşıklığı, sıklığı ve yıkımı rekor kırıyor – rahatsız edici bir gerçeği kabul etmenin zamanı geldi: Yaptığımız şey iğneyi hareket ettirmek değil. Aslında, siber güvenlikteki statüko, başarılı saldırılardaki son patlamanın bir kısmını (veya çoğunu) hak ediyor.
Bu statüko, bilinmeyen sıfır gün saldırılarını önleyemeyeceğimizi veya gelişmiş kalıcı tehditleri durduramayacağımızı belirtir, bu nedenle bunun yerine tespit ve müdahaleyi vurgulamalıyız. Saldırıların sadece kaçınılmaz değil aynı zamanda temelde durdurulamaz olduğunu kabul ederek pes etmiş gibiyiz. Büyük miktarlarda kaynak (zaman, para ve insanlar) devam eden veya gerçekleşmiş saldırıları bulmaya ve hatta daha fazlası onları ortadan kaldırmaya ve iyileştirmeye gider, yalnızca bir sonraki saldırı savunmaları ihlal ettikten sonra döngü yeniden başlar. Biz onları durduramayız, diyor bu zihniyet; sadece savunmamızın yeterince uzun süre dayanmasını umabiliriz. Ama değiller.
Freud’un delilik tanımı, aynı şeyi yapıp farklı bir sonuç beklemektir – öyleyse neden yalnızca tespit ve tepki üzerine inşa edilmiş bir güvenlik duruşunun daha kötüye gitmek yerine daha iyi olmasını bekliyoruz? Günümüzün tehditleriyle başa çıktığını defalarca gösteren tekil odaklı bir stratejide ısrar etmek yerine, neden farklı bir şey denemiyoruz, hem de çok daha farklı? Siber güvenlik konusunda sadece yeni fikirlere ihtiyacımız yok, senaryoyu tamamen tersine çevirmemiz gerekiyor.
Maruz Kalma Yönetimi – Siber Savunma İçin Hücumda Oynamak
Siber güvenlik konusunda saldırıları önleme ve proaktif (reaktif değil) olma fikrinden başlangıçta vazgeçmemizin nedeni, saldırıların sürekli değişmesidir. Bilgisayar korsanları, savunmaları aşmak ve tespit edilmekten kaçmak için kendilerini akıllı yeni yollarla gizleyen sonsuz yeni tehditler oluşturmak için zamana ve kaynaklara sahiptir. Göremediğiniz şeyi durduramazsınız, bu nedenle gelen saldırıları engellemeye dayalı bir siber güvenlik modelinin geleneksel olarak bu kadar ezici sonuçlar üretmesi ve pek çok kişiyi bunun beyhude bir çaba olduğuna ikna etmesi şaşırtıcı değil.
Maruz kalma yönetimi farklı bir yol izler. Saldırının türüne odaklanmak yerine, saldırı yoluna odaklanır, saldırıların nereye saldırabileceğini ve hangi taktik ve teknikleri uygulayabileceklerini hayal etmek için bir bilgisayar korsanı gibi düşünür (risk avcılığı olarak icat ettiğimiz bir süreç). Olası risk noktalarını tanımlayıp analiz ettikten sonra her biri, ne kadar savunmasız olduklarına ve bir ihlalin bir bütün olarak işletmeye ne kadar zarar vereceğine bağlı olarak riske göre sıralanır. Son olarak, gerçek bir maruz kalma yönetimi programı, işletme için en yüksek riski oluşturanlardan başlayarak, yanlış yapılandırmalar veya eksik yamalar gibi kritik riskleri sistematik olarak çözer. Bu nedenle, maruz kalma yönetimi bir teknoloji oyunu değil, operasyonel bir oyundur.
Bu yaklaşımla, maruz kalmalar ortadan kalkar. Saldırılar sızmadan önce başarısız olur, böylece aşağı yöndeki tehditleri en aza indirir. En önemlisi, saldırının bilinmez veya kaçamak olması önemli değil. İhlal sonrası saldırıları yakalamaya çalışmak yerine, ifşa yönetimi hassas hedeflere ulaşmak için en bariz veya en riskli yolları kapatarak onları “kilitler”. Maruz kalma yönetimi, kullanıma hazır bir teknoloji yaklaşımıyla yanıtlanmaz ve tek seferlik bir senaryo değildir. Düzgün bir şekilde faaliyete geçirildiğinde, doğru verileri ve teknolojiyi dahil etmek, açıkları sıralamak ve ihlalleri önceden belirlemek için uzman analizi gerektiren sürekli bir yaklaşımdır.
Siber güvenlikteki baskın yaklaşım savunmaları (saldırıları yakalama ve durdurma) vurguluyorsa, teşhir yönetimi bunun yerine suçu vurgulayarak (teşhirleri bulma ve düzeltme) senaryoyu tersine çevirir. Sonuç beklediğimizin tam tersi; güvenlik ekipleri, saldırının devam etmesini veya bitmesini beklemek ve hasarı kontrol altına almayı veya en aza indirmeyi ummak yerine proaktif olarak riskleri ele alarak saldırıları önler. Kaynak sıkıntısı çeken güvenlik ekipleri için bu, oyunun kurallarını değiştirebilir.
Özellikle siber güvenlik tehditlerinde ve kaynak zorluklarında kötüleşen durum göz önüne alındığında, maruz kalma yönetiminin durumu açıktır. Ama insanlar bunu bir süredir biliyor; güvenlik ekipleri her zaman güvenlik açıklarını bulmak ve düzeltmek için bazı girişimlerde bulunmuştur. Ancak birçok kişinin tekrarlanan hayal kırıklıklarından sonra öğrendiği gibi, teşhir yönetimi önemli ve sürekli bir zaman, personel ve diğer kaynaklar taahhüdünü içerir; bu, çoğu güvenlik ekibinin ayırmak zorunda olduğundan daha önemlidir. Bazı teşhirler bulabildiler ama hepsine yakın bir yer yok. Ve birkaç saldırı yolunu kapatabilirlerdi, ama sonra yenileri ortaya çıkardı. Maruz kalma yönetimi, ideal ama imkansız bir kavram gibi geldi – güvenlik ekiplerinin yapmayı çok isteyeceği ama her zaman yetersiz kaldığı bir şey.
Senaryoyu bunun üzerine de çevirmenin zamanı geldi.
Sürekli Tehdit Maruz Kalma Yönetimi
Önde gelen bir analist firması tarafından piyasaya sunulan bir kavram olan Sürekli Tehdit Maruz Kalma Yönetimi (CTEM), maruz kalma yönetimini operasyonel bir emir olarak uygulama girişimidir. Ara sıra yapılan öz değerlendirmeler, tüm maruziyetleri ortaya çıkarmakta veya ortaya çıkanları takip etmekte başarısız olur, bu nedenle bir CTEM programı, değerlendirmeyi devam ettirir ve maruziyet yönetimini aşağıdakilerden oluşan çok katmanlı bir sürece dönüştürür:
- Risk avcılığı olası saldırı yollarını izole etmek ve tahmin etmek.
- Kritiklik değerlendirmeleri maruz kalmaları riske göre sıralamak için.
- Sistematik iyileştirmeler güvenlik açıklarını etkisiz hale getirmek için.
- hedef belirleme siber risk yönetimini stratejik iş sonuçlarıyla uyumlu hale getirmek.
Dört unsurun tümünü birleştirmek ne kadar önemliyse, sürekli büyüyen ve değişen bir saldırı ortamında tüm açıkları ele almak için bunu sürekli olarak yapmak daha da önemlidir. Bu, bir CTEM metodolojisinin en yeni, en kötü ve en yaygın saldırıları başarıyla önleme potansiyelini göstermektedir. Ama aynı zamanda sorunu da gösteriyor: CTEM, eskisinden farklı bir uzmanlık gerektiriyor.
Neyse ki, bazı hizmet sağlayıcılar devreye giriyor. Yenilikçi sağlayıcılar artık iş odaklı sonuçlar elde etmek için risk avı, değerlendirme ve iyileştirme sağlayan bir hizmet olarak CTEM sunuyor. Hizmet sağlayıcıların, genel olarak geliştirilmiş bir güvenlik programının parçası olarak maruz kalma yönetimine odaklanmak için zaman, personel ve teknolojilerle birlikte daha fazla maruz kalma yolunu ortaya çıkarmak ve çözmek için özel deneyime ve uzmanlığa sahip olması gerekir. Dış kaynak kullanımı, maruz kalma yönetimi ve siber güvenliğe karşı savunmaya hücum yaklaşımı gibi oldukça değerli ancak kaynak yoğun bir girişim için mantıklıdır. Ve artık dış kaynak kullanımı uygulanabilir bir seçenek olduğu için, daha fazla şirket atağa geçmek, zayıflıkları aşağı yönlü güçlü yönlere dönüştürmek ve saldırganlara karşı üstünlüğü yeniden kazanmak için CTEM’den yararlanabilir.
CTEM’in eklenmesiyle, herhangi bir güvenlik ekibi zorlu bir güvenlik duruşuna sahip olur. Siber güvenlikte neyin işe yaradığına dair senaryoyu değiştirirken, neyin mümkün olduğunu da yeniden düşünmeli ve çıtayı eskisinden daha yükseğe koymalıyız. Çünkü saldırganların yaptığı bu.
yazar hakkında
Brett Kelsey, Reveald’ın CEO’sudur. 30 yılı aşkın başarılı kariyeri ile bilgi güvenliği alanında saygın bir yöneticidir. Siber güvenlik alanında uluslararası kabul görmüş bir uzman olarak, teknoloji stratejilerini kavramsallaştırma, geliştirme ve uygulama konusundaki olağanüstü yeteneğiyle tanınmaktadır. Reveald’ın CEO’su olarak Brett, şirketlerin siber tehditleri nasıl ele aldığına ilişkin paradigmayı değiştirme misyonunda. Daha önce Brett, Forescout Technologies’de Küresel Profesyonel Hizmetler ve Müşteri Benimseme Hizmetleri Başkan Yardımcısı olarak görev yaptı. Geçmişteki diğer roller arasında, Brett’in geleceğin teknolojilerinin yönünü şekillendirmek için stratejik müşteri bağlılığını yönlendirirken, iş ve uygulama geliştirmesinden yararlanmasını sağlayan CSO, CTO ve Profesyonel hizmetlerden Sorumlu Başkan Yardımcısı bulunmaktadır.
Brett’e çevrimiçi olarak [email protected] adresinden ve şirketimizin web sitesi https://www.reveald.com/ adresinden ulaşılabilir.