Yazan Dr. Süleyman Özarslan, Picus Security Kurucu Ortağı ve Picus Labs Başkan Yardımcısı
Kullanıcının başını veya ayaklarını örten ancak ikisini birden asla örtmeyen kısa bir battaniye gibi, güvenlik ekipleri de zamanlarını, paralarını ve kaynaklarını aynı anda yalnızca çok sayıda soruna adayabilir. Kısa kapsamlı ikilem, BT güvenliğinde daimi bir sorundur. Ekipler bütçelerini ve kaynaklarını açıkta kalan bir noktayı kapsamaya ayırıyor ancak bu kaçınılmaz olarak diğer alanları dışarıda bırakıyor. Mükemmel bir örnek, kuruluşların tehditleri önlemek ve tespit etmek arasında karşılaştığı seçimdir. Ne yazık ki kuruluşların her ikisinde de başarılı olması çok nadirdir.
Picus yakın zamanda platformumuz tarafından 2023’ün ilk yarısında gerçekleştirilen 14 milyon siber saldırı simülasyonunun analizini gerçekleştirdi ve bu kısa kapsamlı sorunun boyutunu ortaya çıkardı. Mavi Raporumuz, kuruluşların kendilerini en son tehditlere karşı savunmaya hazır olmalarını engelleyen dört ‘imkânsız ödünleşimin’ altını çiziyor.
1. Hangi saldırılara öncelik verileceğini seçmek
Sınırsız zaman, kaynak ve bilgi ile güvenlik kolay bir iş olabilir. Ancak gerçekte her güvenlik ekibinin, kendi zaman ve kaynak kısıtlamalarına göre hangi saldırılara öncelik vereceğini ve hangi saldırıların önceliğini kaldıracağını seçmesi gerekir.
Simülasyon verilerimiz, kuruluşların güvenlik kontrollerinin (yeni nesil güvenlik duvarları ve izinsiz giriş önleme çözümleri gibi) ortalama olarak her 10 saldırıdan 6’sını önleyeceğini göstermektedir. Ancak bazı saldırı türleri diğerlerinden çok daha etkili bir şekilde önlenir. Örneğin kuruluşlar, kötü amaçlı yazılım indirmelerinin %73’ünü, veri hırsızlığı saldırılarının ise yalnızca %18’ini önleyebilir.
Kuruluşların belirli tehditleri önleme becerilerinde de büyük farklılıklar vardır. Örneğin kuruluşların üçte birinden fazlası Black Basta ve BianLian fidye yazılımı saldırılarını önleyebilir ancak yalnızca %17’si Mount Locker’ı önleyebilir. Bu, Mount Locker’ın 2021’de, diğer iki kötü amaçlı yazılım türünden çok önce ortaya çıkmasına rağmen gerçekleşti. Bu, güvenlik ekiplerinin zaman içinde farklı fidye yazılımı gruplarına karşı savunmalarına öncelik vermek ve önceliklerini azaltmak zorunda kaldıklarını gösteriyor.
2. Hangi güvenlik açıklarının düzeltileceğini seçme
Mavi Rapor aynı zamanda güvenlik ekiplerinin ortak güvenlik açıklarını ve maruz kalma durumlarını (CVE’ler) yönetme yaklaşımının sınırlamalarını da ortaya koyuyor. Bazı kuruluşlar öncelikle uzun süredir devam eden güvenlik açıklarını gidermeye odaklanırken, diğerleri aktif olarak daha eski güvenlik açıklarına göre daha güncel güvenlik açıklarına öncelik verecektir.
Günümüzde kuruluşların çoğunluğu yıllardır bilinen çeşitli kritik ve yüksek riskli CVE’lere maruz kalmaya devam etmektedir. 2019’da keşfedilen bazı CVE’ler kuruluşların %80’inden fazlası için tehdit oluşturmaya devam ediyor. Sınırlı kaynaklara sahip olan güvenlik açığı yönetimi ekipleri, bazı CVE’leri diğerlerine göre iyileştirmeyi tercih etmelidir; bu da kendilerini tehlikeye atar.
3. Önleme veya tespit kontrollerini optimize etmeyi seçme
Veriler, bir kuruluşun tehditleri önlemede ne kadar iyiyse, tespit etmede de o kadar zayıf olduğunu ve bunun tersini gösteriyor. Örneğin, dünya çapında sağlık hizmetleri, saldırıları önleme konusunda en az etkili sektör olmasına rağmen, saldırıları tespit etme konusunda ortalama bir kuruluştan iki kat daha başarılıdır. Kuzey Amerika kuruluşları, devam eden saldırıları tespit etmek için uyarıları tetikleme konusunda saldırıları önlemede neredeyse iki kat daha başarılı.
Farklı kuruluşların, sektörlerin ve hatta bölgelerin hepsinin güvenlik konusunda önleme veya önce tespit etme yaklaşımı arasında seçim yapmak için bir nedeni vardır. Ancak veriler, çoğu kuruluşun her ikisinde de uzman olmakta zorlandığını siyah beyaz gösteriyor.
4. Bir uyarıyı günlüğe kaydetmeyi veya oluşturmayı seçme
Güvenlik olayı ve olay yönetimi (SIEM) çözümlerinden yararlanan kuruluşlar, saldırı tespitine ne kadar yatırım yapacakları konusunda da karar vermekle karşı karşıyadır. Çoğu durumda kuruluşlar, uyarı yerine günlüğe kaydetmeye öncelik verir, ancak ikisini de pek iyi yapamazlar. Simülasyon verileri, kuruluşların ortalama olarak 10 saldırıdan 4’ünü günlüğe kaydettiğini, ancak yalnızca 10 saldırıdan 2’si için uyarı oluşturduğunu gösteriyor.
Zaman ve kaynaklar arasında bir ödün verme durumuyla karşı karşıya kalan kuruluşlar, uyarı yerine günlüğe kaydetmeye öncelik veriyor; ancak her iki alanın da iyileştirilmesi gerekiyor.
Kısa battaniye sorunu çözüldü
Her tehdidi önlemek ve tespit etmek neredeyse imkansız olduğundan, güvenlik ekipleri her zaman güvenliğin bazı yönlerine diğerlerinden daha fazla öncelik vermek zorunda kalacak. Yönetim kurulundan daha büyük bir battaniye istemek mümkün olmayabilir. Ancak her zaman kullanıcısının ihtiyaçlarına uyacak şekilde ihtiyaç duyulan yerde uygulanmasının sağlanması mümkün olmalıdır.
CISO’ların hedefi, kuruluşlarının özel ihtiyaçları için sürekli olarak en iyi kararları vermektir. Herhangi bir anda savunmalarında nerede boşluklar olduğunu kanıtlamak için gerçek zamanlı verilere ihtiyaçları var. Kabul etmeye hazır oldukları risk düzeyini belirleyebilmeleri için işin hangi bölümlerinin dışarıda kaldığı konusunda dürüst olmaları gerekir.
Bu, reaktif olmak yerine proaktif olmayı ve güvenlik olayları gerçekleşmeden önce potansiyelin keşfedilmesini gerektirir. Aslında CISO’lar, risklerine ilişkin daha bütünsel bir bakış açısı elde etmek için sürekli tehdide maruz kalma yönetimi (CTEM) ilkelerini giderek daha fazla takip ediyor. Güvenlik ekipleri, saldırı simülasyonlarından elde edilen bilgileri saldırı yüzeyi ve güvenlik açığı verileriyle birleştiren daha birleşik bir yaklaşım benimseyerek, en kritik açıkları ele almak için kaynakları verimli ve etkili bir şekilde tahsis edebilir. Sonuç olarak, güvenlik etkisi en fazla olacak alanlarda dikkatlerini önceliklendirme becerilerini eş zamanlı olarak geliştirebilirler.
Reklam