Bu Help Net Security röportajında Nucleus Security CEO’su Steve Carter, güvenlik açıklarının önceliklendirilmesi ve yama gecikmelerinin ele alınması da dahil olmak üzere güvenlik açığı yönetiminde devam eden zorlukları tartışıyor.
Carter ayrıca uyumluluk gereksinimlerini ve otomasyonun güvenlik açığı yönetimi süreçlerini nasıl kolaylaştırabileceğini de ele alıyor.
Sizce teknolojik gelişmelere rağmen neden güvenlik açıklarını önceliklendirme ve yama gecikmeleri gibi zorluklar devam ediyor?
Kurumsal altyapının artan karmaşıklığı, genişleyen saldırı yüzeyi ve gelişmiş güvenlik açığı ve açık tespit yetenekleri, önceliklendirilmesi gereken bulguların hacminde ciddi bir artışa yol açtı. Örneğin, yıllık yüzde 16’lık bir büyüme oranıyla çeyrek milyon yayınlanmış CVE’ye yaklaşıyoruz. Çoğu kuruluş, sürekli bir güvenlik açığı akışına yanıt verecek yeterli personele sahip değildir ve uygun teknolojilere de sahip değildir. Birçok bakımdan bu bir sayı oyunu ve güvenlik ekipleri buna ayak uyduramıyor.
Risk bazlı güvenlik açığı yönetimi giderek daha fazla vurgulanmaktadır. Güvenlik açıklarını etkili bir şekilde önceliklendirmek için hangi stratejileri önerirsiniz?
Her türlü güvenlik açığını, açıkları ve güvenlik bulgularını hesaba katan, kurum çapında bir önceliklendirme süreci çok önemlidir. Güvenlik açığı tarayıcıları ve duruş yönetimi araçları, önem dereceleri ve risk puanlarıyla tutarsızdır, dolayısıyla önceliklendirme konusunda tutarlı bir yaklaşım için kullanılamazlar. Bir güvenlik açığının veya güvenlik bulgusunun her kuruluşta Kritik veya Yüksek risk olarak sınıflandırılması için tam olarak neyin doğru olması gerektiği konusunda netlik olmalıdır.
Güvenlik açığı istihbaratı, güvenlik ekiplerine hangi güvenlik açıklarının dikkatlerini çektiğini belirlemek için gerekli ayrıntıları sağlayabilir. Örneğin, güvenlik açığından aktif olarak yararlanılıp yararlanılmadığını, hangi tehdit aktörlerinin bunu kullandığının görüldüğünü ve kullanılabilir bir yama olup olmadığını bilmek, güvenlik açığı yönetimi analistlerinin tehdit düzeyini belirlemesine yardımcı olabilir. Bu istihbarat, bir kuruluşun belirlenmiş risk eşiğiyle karşılaştırıldığında karar alma için güçlü bir temel sağlar.
Uyumluluk gereksinimleri, güvenlik açığı yönetimi stratejilerini nasıl etkiler ve kuruluşların sıklıkla gözden kaçırdığı bazı uyumluluk zorlukları nelerdir?
Uyumluluk genellikle sağlık hizmetleri, finansal hizmetler ve devlet gibi sıkı düzenlemeye tabi sektörlerdeki güvenlik açığı yönetimi stratejilerini, güvenlik açığı azaltma zaman çizelgelerini zorunlu kılarak ve özel raporlama gereklilikleri uygulayarak etkiler. Güvenlik açığı tespiti ve risk yönetimi yetenekleri artık kimlik, veri yönetimi ve SaaS sistemleri değerlendirmelerini de içerecek şekilde genişletildi; bu da izlenmesi ve raporlanması gereken ve genellikle güvenlik ve uyumluluk ekipleri tarafından gözden kaçırılan bulguların hacmini ve türlerini önemli ölçüde artırdı.
Düzenlemenin talihsiz ama yaygın sonuçlarından biri, genellikle güvenlik çabalarının tek odak noktası haline gelmesidir. Uyumluluk arayışlarında kuruluşlar, genel güvenlik programına zarar verebilecek en uygun maliyetli yolu tercih edebilir. Nihai hedefleri gözden kaçırmamak çok önemlidir: riski en aza indirmek ve kuruluşun en kritik varlıklarını korumak.
Otomasyon genellikle güvenlik açığı yönetimi zorluklarına bir çözüm olarak görülüyor. Sizce otomasyon en çok nerede etkili oluyor ve sınırlamaları neler?
Güvenlik açığı ve risk yönetimi programlarını ölçeklendirmenin tek yolu otomasyonun arttırılmasıdır. Otomasyonun yaratabileceği en büyük etkilerden biri, güvenlik açıklarının ve güvenlik bulgularının birleştirilmesi, zenginleştirilmesi ve düzenlenmesidir. Bunlar önceliklendirme sürecinin en çok zaman harcayan adımlarıdır ve manuel olarak yapıldığında insan hatasına son derece açıktır. Bu adımların otomasyonu, güvenlik açığı kategorize etme ve önceliklendirme konusunda tutarlı bir yaklaşım sağlar.
Otomasyon ayrıca bildirim oluşturma ve olay müdahalesini içerecek şekilde iyileştirme iş akışlarının yönlendirilmesinde de son derece etkilidir. Geçmişte, her kuruluşun güvenlik açığını kimin düzelteceğini, düzeltmenin ne zaman tamamlanması gerektiğini, hangi bilgilerin gerekli olduğunu vb. belirlemek için özel bir iş akışı olduğundan, görevlendirme iyileştirme ve azaltma etkinlikleri manuel olarak gerçekleştirildi. Artık bu süreçleri otomatikleştirmek ve iyileştirmeyi izlemek için teknolojiler mevcut. süreci hızlandırır ve insan hatasını ortadan kaldırır.
Güvenlik açığı yönetimi bağlamında otomasyonun en büyük sınırlaması, güvenlik açığı tespitine yanıt olarak yama uygulama ve yapılandırma değişikliklerinin tam otomasyonudur. Özellikle operasyonel ortamlarda belirli kritik uygulamaların ve hizmetlerin güncellenmesinin kesintiyi önlemek için sıkı bir şekilde yönetilmesi gerekir.
Kuruluşların yakın gelecekte hazırlanmaları gerektiğine inandığınız, güvenlik açığı yönetiminde ortaya çıkan bazı eğilimler nelerdir?
Kamuya açıklanan güvenlik açıklarındaki artışın görünürde sonu yok. Yapay zekanın hem açık kaynaklı yazılımlardaki hem de ticari ürünlerdeki güvenlik açıklarını keşfetme yeteneğinin yalnızca sorunu daha da kötüleştirmesini bekliyoruz. Ayrıca, saldırganların yapay zeka kullanması nedeniyle istismara kadar geçen sürenin (açıklama sonrası) hızlandırılmasını bekliyoruz. Kuruluşların, gelişen bu tehdit ortamına uyum sağlamak için kurum genelinde güvenlik açığı önceliklendirmesini ve yanıt sürelerini hızlandırmalarını sağlayacak bir strateji ve plan geliştirmeleri gerekiyor.