Bu Help Net Security röportajında Zafran CEO’su Sanaz Yashar, modern siber güvenlik stratejilerinde tehdide maruz kalma yönetiminin (TEM) rolünü tartışıyor.
Geleneksel güvenlik açığı yönetimi geliştikçe TEM, genişletilmiş saldırı yüzeylerinden ve parçalanmış güvenlik araçlarından kaynaklanan büyük riskleri giderir. Proaktif TEM yaklaşımı riskleri önceliklendirir ve mevcut güvenlik araçlarıyla sorunsuz bir şekilde bütünleşerek kuruluşların tehditleri etkili bir şekilde kullanılmadan önce azaltmasına olanak tanır.
Tehdit Maruziyeti Yönetimi (TEM) modern siber güvenlik stratejilerinde neden kritik hale geldi?
Doğrusunu söylemek gerekirse ben buna “Çatlak Bulucu” derdim. Tehditlere maruz kalma yönetimi, geleneksel güvenlik açığı yönetiminin gelişmiş halidir. Çeşitli trendler bunu modern güvenlik ekipleri için bir öncelik haline getiriyor.
1. Kaynakları kısıtlı ekipleri bunaltacak bulgularda artış
2. Saldırı yüzeyi bulut ve uygulamaları kapsayacak şekilde genişledikçe, bulguların hacmi daha fazla parçalanmayla birleşiyor. Bulut, şirket içi ve AppSec güvenlik açıkları farklı araçlardan kaynaklanır. Diğer araçlardan kaynaklanan yanlış kimlik yapılandırmaları.
3. Bu, ortak bir risk metodolojisi kullanarak bulguları merkezileştirmek, tekilleştirmek ve önceliklendirmek için muazzam manuel çalışmalara yol açar.
4. Son olarak, tüm bunlar saldırganlar her zamankinden daha hızlı hareket ederken gerçekleşiyor; son raporlar, bir güvenlik açığından yararlanmak için ortalama sürenin bir günden az olduğunu gösteriyor!
Tehditlere maruz kalma yönetimi, kuruluşunuza uygun risk bağlamını kullanarak tüm varlıklardaki güvenlik açıkları ve yanlış yapılandırmalar gibi riskleri sürekli olarak tanımlayıp önceliklendirdiği için çok önemlidir.
TEM, mevcut güvenlik araçlarıyla entegre olarak potansiyel tehditlere ilişkin kapsamlı bir görünüm sunarak ekiplerin, risklerden yararlanılmadan önce riskleri azaltmak için proaktif, otomatik eylemler gerçekleştirmesine olanak tanır. Bu arada, güvenlik yığınınızın teknik politikalarını tehdit ortamıyla eşleştirerek TEM, CISO’ların genel güvenlik kontrollerinin etkinliğini ölçmesine ve yatırım getirisini değerlendirmesine olanak tanır.
Maruziyeti proaktif olarak azaltan araçları ve süreçleri dağıtmak yeterli değildir; bunu ölçebilmeniz ve harekete geçebilmeniz gerekir.
Kapsamlı bir TEM stratejisinin temel bileşenleri nelerdir ve kuruluşlar risk azaltma yerine riske maruz kalma konularına odaklanmalarını nasıl önceliklendiriyor?
Modern bir TEM stratejisi üç temel bileşeni kapsar:
Keşif: İlk aşama, güvenlik açıklarının tek ve birleştirilmiş bir görünümünü oluşturmak için mevcut tüm tarayıcılara bağlanmayı içerir. Ek olarak, aracısız, API tabanlı bir yaklaşım kullanarak Uç Nokta Algılama ve Yanıt (EDR) kontrolleri, ağ güvenliği ve kimlik kontrolleriyle entegre olur. Kuruluşlar, teknik güvenlik kontrollerindeki yanlış yapılandırmaları tespit ederek ve bunları entegre değerlendirme kaynaklarından alınan varlık, güvenlik açığı ve risk verileriyle ilişkilendirerek, kendi güvenlik ortamlarına ilişkin bir anlayış kazanır.
Önceliklendirme: Etkin risk yönetimi, her bir güvenlik açığının temel riskinin hesaplanmasıyla başlar. Bu değerlendirmede güvenlik açığı puanları, çalışma zamanı varlığı, internete erişilebilirlik ve güvenlik açığından şu anda vahşi ortamda yararlanılıp yararlanılmadığı gibi faktörler dikkate alınır. İşletmeye yönelik kalan riski belirlemek için mevcut telafi edici kontrolleri hesaba katmak çok önemlidir. Bu, güvenlik kontrollerinin bağlamını varlık ve güvenlik açığı bilgileriyle kaplamak anlamına gelir. Bunu yaparak kuruluşlar, yalnızca ciddiyet puanlarına güvenmek yerine, oluşturdukları gerçek riske göre güvenlik açıklarını önceliklendirebilir.
Seferberlik: Son aşama, teknik güvenlik kontrolleri dahilinde belirli azaltma stratejilerinin uygulanmasını içerir. Bu, gerekli yapılandırma değişikliklerinin yapılmasını, özel algılama kurallarının geliştirilmesini ve güvenlik açıklarını derhal gidermek için sanal yamaların uygulanmasını içerir. Ağ, ana bilgisayar ve bulut kontrollerinin nasıl dağıtıldığını ve yapılandırıldığını değerlendirmek, kötüye kullanıma karşı korunmaya yardımcı olur. Bu risk tabanlı yaklaşımı benimseyen güvenlik operasyonları ekipleri, “tüm kritik noktaları düzeltmeye” çalışmak yerine en önemli riskleri sunanlara odaklanarak milyonlarca güvenlik açığını verimli bir şekilde yönetebilir.
Kuruluşlar, bu en iyi uygulamaları tutarlı bir tehdide maruz kalma yönetimi programında sistematik olarak uygulayarak tehditleri proaktif bir şekilde ele alabilir, genel siber risk maruziyetlerini azaltabilir ve kritik varlıkları korumak için kaynakları daha etkili bir şekilde tahsis edebilir.
TEM’in uygulanmasının önündeki en yaygın engeller nelerdir ve bunlar nasıl aşılabilir?
TEM’in geleneksel güvenlik açığı yönetimine göre genişletilmiş kapsamı, yeni karmaşıklıklar ve bütçesel zorluklar ortaya çıkarmaktadır. Çoğu kuruluş, uçtan uca tehdit farkındalığına yönelik entegre süreçlere sahip değildir; bu durum genellikle uyumluluk odaklı taramayla sınırlı kalır ve bu da güvenlik açıklarına neden olur.
Ayrıca modern saldırılar karmaşıktır ve anlaşılması ve karşı konulması için özel beceri setleri gerektirir.
Bu zorlukların üstesinden gelmek için CISO’ların şunları yapması gerekir:
- Riskleri toplu olarak ele almak için kuruluş genelindeki kilit paydaşlarla anlaşmalar yapın.
- Tehdit farkındalığını ve müdahale yeteneklerini geliştirmek için gerekli kaynakları güvence altına almak amacıyla siber güvenlik risklerini yönetim kuruluna açıkça iletin.
- Belirlenen tehditleri derhal ele almak için ayrıntılı tepki stratejileri hazırlayın; kuruluşun yalnızca izlemeyi değil aynı zamanda harekete geçmeye de hazır olmasını sağlayın.
CTEM stratejilerini dijital dönüşüm, buluta geçiş veya sıfır güven mimarileri gibi daha geniş kurumsal hedeflerle uyumlu hale getirmek için en iyi uygulamalardan bazıları nelerdir?
İşletmenin daha geniş CTEM stratejilerine olan ihtiyacı, dijital dönüşüm ve buluta geçişle el ele gidiyor. Buluta geçiş, risk yönetimini tüm kuruluş genelinde birleştirmek için yeni araçlar ve süreçler gerektiren bulguların hacmini ve parçalılığını artırıyor.
Dijital dönüşüm ayrıca CTEM ile uyumlu güvenlik açıklarının (kimlikler, SaaS uygulamaları, tedarik zinciri riski gibi) ötesinde genişletilmiş bir saldırı yüzeyine yol açar.
Kısacası, saldırı yüzeyimiz genişledikçe, açığa çıkma riskini ortaya çıkarmak, düzeltmek ve azaltmak için ölçeklenebilir süreçler ve teknoloji oluşturma ihtiyacı da artıyor.