Üçüncü Taraf Risk Yönetimi Programınızı Otomatikleştirmek için 3 Adım


22 Şubat 2023Hacker HaberleriSiber Risk Yönetimi

Üçüncü Taraf Risk Yönetimi Programı

Google’da “üçüncü taraf veri ihlalleri” yazarsanız, üçüncü bir tarafa yapılan bir saldırının neden olduğu veya bir üçüncü taraf konumunda saklanan hassas bilgilerin açığa çıktığı birçok yeni veri ihlali raporu bulacaksınız. Üçüncü taraf veri ihlalleri, sektöre göre ayrım yapmaz, çünkü ister bir iş ortağı, yüklenici veya bayi, isterse BT yazılımı veya platformu veya başka bir hizmet sağlayıcısı olsun, hemen hemen her şirket bir tür satıcı ilişkisiyle çalışır. Osano’nun bir raporuna göre, kuruluşlar şu anda ortalama 730 üçüncü taraf satıcıyla veri paylaşıyor ve dijital dönüşümün hızlanmasıyla bu sayı daha da artacak.

Üçüncü Taraf Risk Yönetiminin Önemi

Bir CyberRisk Alliance raporuna göre, daha fazla kuruluşun daha fazla üçüncü taraf satıcıyla veri paylaştığı düşünüldüğünde, son iki yıldaki güvenlik olaylarının %50’den fazlasının erişim ayrıcalıklarına sahip bir üçüncü taraftan kaynaklanmış olması şaşırtıcı olmamalıdır.

Ne yazık ki çoğu güvenlik ekibi tedarik zinciri görünürlüğünün bir öncelik olduğu konusunda hemfikir olsa da, aynı rapora göre kuruluşların yalnızca %41’i en kritik tedarikçilerine ve yalnızca %23’ü tüm üçüncü taraf ekosistemlerine ilişkin görünürlüğe sahip.

Üçüncü Şahıs Risk Yönetimine (TPRM) yatırım yapılmamasının nedenleri sürekli olarak duyduğumuzla aynıdır – zaman eksikliği, para ve kaynak eksikliği ve satıcıyla çalışmak bir iş ihtiyacıdır. Peki, üçüncü taraf siber risk yönetiminin önündeki engellerin üstesinden gelmeyi nasıl kolaylaştırabiliriz? Otomasyon.

Otomasyonun Faydaları

Otomasyon, kuruluşların daha azıyla daha fazlasını yapmalarını sağlar. Güvenlik açısından, Graphus tarafından vurgulandığı gibi, otomasyonun sağladığı avantajlardan sadece birkaçı:

  • Bir siber güvenlik anketinde BT yöneticilerinin %76’sı, otomasyonun güvenlik personelinin verimliliğini en üst düzeye çıkardığını söyledi.
  • Güvenlik otomasyonu, manuel güvenlik maliyetinden %80’den fazla tasarruf sağlayabilir.
  • Şirketlerin %42’si, siber güvenlik duruşlarını geliştirmedeki başarılarında güvenlik otomasyonunu önemli bir faktör olarak gösterdi.

TPRM ile ilgili olarak, otomasyon programınızı şu şekilde değiştirebilir:

1. Adım – Tedarikçilerinizi Sürekli Tehdit Maruz Kalma Yönetimi (CTEM) ile değerlendirin

Sürekli tehdide maruz kalma değerlendirmeleri, aşağıdakileri içeren kapsamlı değerlendirmeleri içerir:

  • Otomatik varlık keşfi
  • Harici altyapı/Ağ Değerlendirmeleri
  • Web uygulaması güvenlik değerlendirmesi
  • Tehdit istihbaratı bilgilendirilmiş analiz
  • Karanlık web bulguları
  • Daha doğru güvenlik derecelendirmesi

Bu, yalnızca anket göndermeye kıyasla üçüncü tarafların daha kapsamlı bir analizidir. Satıcının hızlı ve doğru bir şekilde yanıt vermesi koşuluyla, manuel bir anket süreci satıcı başına 8-40 saat sürebilir. Ancak bu yaklaşım, bir ankette güvenlik açıklarını görme veya gerekli kontrollerin etkinliğini doğrulama becerisine izin vermez.

Otomatikleştirilmiş bir tehdit maruziyeti değerlendirme yeteneğinin dahil edilmesi ve anketlerle entegre edilmesi, tedarikçi firmaları inceleme süresini kısaltabilir ve bu kombinasyonun, yeni tedarikçi firmaları değerlendirme ve kabul etme süresini %33 oranında azaltabildiğini bulduk.

Adım 2 – Bir Anket Değişimi Kullanın

Birçok anketi yöneten kuruluşlar veya birçok ankete yanıt veren satıcılar, bir anket değişimi kullanmayı düşünmelidir. Basitçe ifade edilirse, onaylandıktan sonra diğer ilgili taraflarla paylaşılabilen, tamamlanmış standart veya özel anketlerin barındırıldığı bir havuzdur.

Yukarıda açıklanan otomasyonu gerçekleştiren bir platform seçerseniz, her iki taraf da sürekli değerlendirmelerle otomatik olarak doğrulanan en son anketlere doğrulanmış ve otomatikleştirilmiş bir yaklaşım alır. Yine bu, mevcut anketlere erişim talebinde bulunarak veya istek üzerine yeniden kullanılabilecek yeni bir anketin yanıtında ekibinizin zamanını ölçeklendirerek ekibinize zaman kazandırabilir.

3. Adım – Tehdit maruz kalma bulgularını sürekli olarak anket değişimiyle birleştirin

Güvenlik derecelendirmeleri tek başına işe yaramaz. Üçüncü tarafları değerlendirmek için anketleri tek başına kullanmak işe yaramaz. Doğrulanmış anketlerle (anketin değerlendirmeyi sorguladığı ve güvenlik derecelendirmesini güncellediği) doğrudan değerlendirmelerden alınan doğru güvenlik derecelendirmelerini içeren tehdit maruziyeti yönetimi, sürekli Üçüncü Taraf Risk Yönetimi için size güçlü bir çözüm sunar. Aktif ve pasif değerlendirmeler kullanan ve yalnızca geçmiş OSINT verilerine dayanmayan platformlar, o sırada bir üçüncü taraf olduğundan, en doğru saldırı yüzeyi görünürlüğünü sağlar.

Bu bilgi, güvenlik ve uyumluluk çerçevesi gereklilikleri için anketteki geçerli kontrolleri otomatik olarak doğrulamak ve müşteri yanıtı ile teknoloji değerlendirme bulgusu arasındaki herhangi bir tutarsızlığı işaretlemek için kullanılabilir. Bu, kuruluşlara üçüncü taraf incelemelerine karşı gerçek bir “güven ama doğrula” yaklaşımı sağlar. Bu hızlı bir şekilde yapılabildiğinden, üçüncü şahıslar belirli teknik kontrollere uyumsuz hale geldiğinde bilgilendirilebilirsiniz.

Üçüncü taraf siber risk yönetimi programlarının verimliliğini en üst düzeye çıkarmak isteyen kuruluşlar, süreçlerine otomasyon eklemeye çalışmalıdır. Daha zorlu makro-ekonomik ortamlarda şirketler, ekip üyelerinin diğer girişimlere odaklanabilmesi karşılığında ilerleme ve sonuçlara ulaşmaya devam ederken ekiplerinin yaptığı zahmeti azaltmak için otomasyona dönebilir.

Not: Eski bir CISO olan CISSP’den Victor Gamra bu makaleyi yazdı ve sağladı. Aynı zamanda endüstri lideri Sürekli Tehdit Maruz Kalma Yönetimi (CTEM) firması olan FortifyData’nın Kurucusu ve CEO’sudur. FortifyData, otomatik saldırı yüzeyi değerlendirmeleri, varlık sınıflandırması, risk tabanlı güvenlik açığı yönetimi, güvenlik derecelendirmeleri ve üçüncü taraf risk yönetimini hepsi bir arada bir siber risk yönetimi platformuna dahil ederek işletmelerin siber riski kurumsal düzeyde yönetmelerini sağlar. Daha fazla bilgi edinmek için lütfen www.fortifydata.com adresini ziyaret edin.


Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link