Net güvenlik görüşmesinde, ThingsRecon’daki STK Tim Grieveson, güvenlik ekiplerinin görünürlüğü, varlık keşfinde en yaygın kör noktalar ve bağlamın neden risk önceliklendirmesini sağlaması için atılması gereken ilk adımları yıkıyor.
Bir güvenlik ekibinin varlık envanterlerinin eksik veya modası geçmiş olduğunu fark ettikleri takdirde atması gereken ilk adımlar nelerdir?
İlk adım, sorunu açıkça iletmek ve paydaşları yanlış bir envanterle ilişkili potansiyel risklere karşı uyarmaktır. Varlık envanterinin sadece “bir kerelik bir proje” olduğu zihniyeti modası geçmiş ve iş bağlamını içeren devam eden bir yaşam haritasını sürdürmeye doğru kayması gerekiyor.
Son nokta ajanları, bulut sağlayıcılar, DNS kayıtları, tedarik sistemleri üzerinde zaten sahip olduğunuz görünürlükle başlayın ve ilişkilendirmeye başlayın. Oradan, yalnızca iç belgelere dayanmayan pasif ve aktif keşif yöntemlerini tanıtın. Süreç otomatikleştirilmediyse, bunun güncel olmadığını varsaymak adildir.
Pratik bir bakış açısından, aşağıdaki adımlar varlık keşif çabalarınızın güçlendirilmesine yardımcı olabilir:
Otomatik bir keşif işlemi başlatın: Birçok kuruluşun zaten ağ tarayıcıları, EDR temsilcileri veya CMDB’ler gibi araçları vardır. Bununla birlikte, amaca yönelik, sürekli keşif araçlarının uygulanması, gelişmiş görünürlük ve bağlam yoluyla ek güvenlik sağlayacaktır.
Envanterin kapsamını ve hedeflerini tanımlayın: Donanım ve yazılımlardan bulut varlıklarına kadar, ortamınızın eksik temel unsurlarını önlemek için envantere dahil edilmesi gereken varlıkları kategorize edin.
Çapraz fonksiyonel bir ekip oluşturun: Varlık envanteri yalnızca bir güvenlik sorumluluğu değildir, tüm varlıkların tanımlanmasını ve doğru bir şekilde belgelenmesini sağlamak için BT operasyonları, ağ ekipleri, geliştirme ekipleri ve hatta iş birimleri arasında bir işbirliğidir. Bu, açıkça tanımlanmış roller ve sorumluluklar gerektirecektir.
Bir iyileştirme planı geliştirin: Zaman çizelgeleri, sorumlu taraflar ve kullanılan araçlar dahil olmak üzere varlık envanteri güncelleme sürecini korumak için ilgili adımları tanımlayın.
Kuruluşların şirket içi, bulut ve SaaS ortamlarında dijital varlıkları keşfetme konusunda genellikle karşılaştıkları en büyük kör noktalar nelerdir?
En büyük kör nokta belirli bir varlık değildir. Kağıt üzerinde olanların aslında canlı ve üretimde olduğuna güveniyor. Birçok kuruluş genellikle yalnızca belgelenmiş ortamlarında bilinen varlıklara odaklanır, ancak bu yanlış bir güvenlik duygusu yaratabilir.
Kör noktalar her zaman kötü niyetli niyetin değil, merkezi olmayan karar verme, unutulmuş altyapı veya merkezi kontrol altına alınmamış gelişen teknolojinin sonucudur.
Geçici test ortamları gibi dış uygulamalar, eski teknolojiler ve terk edilmiş bulut altyapısı, amaçlanan kullanımlarından çok sonra savunmasız kalabilir. Bu varlıklar, özellikle yanlış yapılandırma veya aşırı geniş izinler nedeniyle kasıtsız olarak maruz kaldıklarında risk oluşturmaktadır.
Üçüncü taraf ve tedarik zinciri entegrasyonları başka bir karmaşıklık katmanı sunar. Bu varlıklar doğrudan sahip olmasa da, yine de ortamınız üzerinde önemli bir etkiye sahip olabilirler. Bir satıcı tehlikeye atılırsa, risk etkili bir şekilde size aktarılır. Otomasyon ve sürekli doğrulama olmadan, kağıt üzerinde olanların gerçekliğe uyduğuna güvenmek zordur.
Geleneksel keşif süreçleri sırasında en yaygın olarak ne tür varlıklar göz ardı edilmektedir?
Geleneksel keşif genellikle ağ çevresinde net, izlenebilir bir ayak izi bırakmayan her şeyi kaçırır. Bu, kampanyalar veya ürün lansmanları sırasında ortaya çıkan alt alanların dahildir; resmi kayıt veya değiştirme kontrolü olmayan kamuya açık API’ler; Markanıza ve kod depolarınıza veya DNS aracılığıyla maruz kalan yanlış yapılandırılmış hizmetlere bağlı üçüncü taraf oturum açma portalları veya varlıklar. Bu varlıklar, kuruluşa bağlı, ancak geleneksel anlamda sahip olmayan kenarda yaşarlar. Bu yüzden kaçırmak kolay ve saldırganların bulması kolay.
Varlık Discovery, güvenlik açığı yönetimi, tehdit algılama ve CMDB’ler gibi bir siber güvenlik yığınının diğer bileşenleriyle nasıl entegre edilmelidir?
Doğru ve devam eden bir keşif süreci olmadan, güvenlik açığı yönetimi, tehdit algılama ve hatta CMDB’ler için kullanılan araçlar eksik veya modası geçmiş bilgilerle çalışıyor.
Bildiğimiz gibi, göremediğinizi yamalayamazsınız ve daha da önemlisi, orada ne olması gerektiğini bilmiyorsanız anormallikleri tespit edemezsiniz. Varlık keşfi, bu taban çizgisinin kurulmasına yardımcı olur. Ayrıca, genellikle üretimde olanlarla senkronize olmayan CMDB’lerin zenginleştirilmesinde ve düzeltilmesinde hayati bir rol oynar.
Anahtar, varlık keşfini bir denetim onay kutusu değil, bir gerçek kaynağı olarak ele almaktır. Öncelikleme, yanıt ve hatta uyumluluk güçlendirir.
Kuruluşların keşfedilen varlıklara risk veya maruz kalma perspektifinden öncelik vermesini nasıl tavsiye edersiniz?
Birçok güvenlik açığı yönetimi programı büyük ölçüde CVE sayımlarına veya şiddet puanlarına dayanmaktadır, ancak bu yaklaşım iş için gerçek dünya riskini yansıtamamaktadır. Sadece bir güvenlik açığını tanımlamak yeterli değildir. Bu güvenlik açığının var olduğu bağlam, önceliklendirmeyi yönlendirmesi gereken şeydir.
Örneğin, etkilenen varlığın internete bakıp kullanmadığını, iş açısından kritik bir işlevi destekleyip desteklemediğini veya bir tedarik zincirinin veya üçüncü taraf entegrasyonunun bir parçası olup olmadığını sormak önemlidir.
Ayrıca, varlığın aktif olarak kullanılıp kullanılmadığını, nasıl korunduğunu ve nihayetinde kimin sahip olduğunu da düşünmeye değer. Bu detaylar, potansiyel bir uzlaşmanın hem olasılığını hem de etkisini belirlemeye yardımcı olur.
Nihayetinde, kuruluşlar sadece imzaya dayalı tarama değil, maruziyete ve kritik operasyonlara yakınlığa dayanarak öncelik vererek çok daha fazla değer elde edecektir. Risk sadece savunmasız olanla ilgili değildir; İş için neyin maruz kaldığı, sömürülebilir ve önemli olduğu ile ilgilidir.