Help Net Security röportajında, Bedrock Security Başkanı ve CEO’su Bruno Kurtic, siber güvenliği artırmada veri görünürlüğünün rolünü tartışıyor.
Etkili veri görünürlüğünün, kuruluşların veri akışını ve olası tehditleri anlamalarına ve yönetmelerine yardımcı olan verileri keşfetmeyi, sınıflandırmayı ve bağlamlandırmayı içerdiğini açıklıyor. Kurtic ayrıca yaygın uygulama tuzaklarına ve gerçek zamanlı çözümlerin mevcut siber güvenlik çerçeveleriyle nasıl bütünleştiğine değiniyor.
Veri görünürlüğü bir kuruluşun genel siber güvenlik duruşuna nasıl katkıda bulunur?
Veri görünürlüğü, veri güvenliğinin, yönetişiminin ve yönetiminin temelidir. İş bağlamı, erişim hakları ve konumu dahil olmak üzere verileri keşfetmeyi, sınıflandırmayı ve bağlamlandırmayı içerir. Bu kapsamlı yaklaşım, kuruluşların verilerin konumunu, kullanıcılarını ve önemini açıkça anlamalarını sağlar.
Bir kuruluşun sistemi ve ağları genelindeki veri hareketini anlama ve izleme yeteneği, genel güvenlik duruşu için kritik öneme sahiptir. Örneğin, veri akışını anlayarak kuruluşlar anormallikleri belirleyebilir ve potansiyel tehditleri daha kolay tespit edebilir. Veri hareketine ilişkin görünürlük, olay müdahale ekiplerinin saldırıları sınırlamasına ve bir veri ihlalinin etkisini en aza indirmesine yardımcı olur.
Veri görünürlüğü ayrıca kuruluşların hangi verilerin hassas olduğu, bu verilerin nerede bulunduğu ve bunları uygun şekilde koruduğu konusunda içgörü edinmelerine yardımcı olur, bu da güvenlik ekiplerinin güvenlik kontrollerine öncelik vermesini ve kaynakları uygun şekilde tahsis etmesini sağlar. Ayrıca, veri görünürlüğü kuruluşların düzenlemelere daha kolay uymasını ve gerektiğinde bu uyumu göstermesini sağlar.
Kuruluşlar veri görünürlüğü ve siber güvenlik önlemlerini uygularken hangi yaygın hatalardan kaçınmalı?
Çoğu kuruluşun hızla büyüyecek, paylaşılacak ve değişecek verilere sahip olduğu göz önüne alındığında, hassas verilerin potansiyel ifşalarını tespit etmek için gereken ortalama süreyi, yani tespite kadar geçen ortalama süreyi (MTTD) mümkün olduğunca en aza indirmek kritik öneme sahiptir. Daha düşük bir MTTD, veri güvenliği duruş yönetiminin bir olay olasılığını ne kadar etkili bir şekilde azalttığını ölçen bir KPI’dır. MTTD’yi en aza indirmek, veriler ve kullanımı sürekli değişse bile kuruluşların hassas veriler üzerindeki güvenlik duruşlarının etkilendiğini tespit etme yeteneğine sahip olmasını sağlar. Kuruluşların kaçınması gereken üç yaygın hata vardır:
OPEX maliyetleri. Kuruluşlar genellikle bir veri güvenliği çözümü, örneğin bir veri güvenliği duruş yönetimi (DSPM) çözümü kullanırken ortaya çıkan operasyonel genel giderleri ve maliyetleri göz önünde bulundurmazlar. Genellikle bir DSPM kullanmak, bir kuruluşu maliyetler ve MTTD arasında bir denge kurmaya zorlar. OPEX maliyetleri, hesaplama maliyetleri; çalıştırmak için gereken kaynaklar, altyapıyı dağıtmak, yönetmek ve izlemek veya aracı eğitmek için operasyonel genel giderler; ve aracın doğruluğunu ayarlamak için ortaya çıkan maliyetler, genellikle kurallar biçiminde olabilir.
Verim. Düşük bir MTTD, potansiyel maruziyetin hızlı bir şekilde belirlenmesini gerektirdiğinden, kuruluşlar herhangi bir veri görünürlüğü çözümünün performansını ve doğruluğunu değerlendirmelidir. Bir tarama uzun sürerse, MTTD daha uzun olacaktır. Bir tarama maliyetliyse, muhtemelen daha az kez gerçekleştirilecektir ve bu da MTTD’yi daha uzun hale getirecektir.
Ölçek. Performansla yakından ilişkili olan şey ölçeklenebilirliktir. Yüksek doğruluk oranıyla iyi performans gösteren bir çözüm bile, veriler büyüdükçe ve değiştikçe hızlı bir şekilde analiz edemiyorsa işe yaramaz. Bir veri güvenliği çözümü seçmeden önce, kuruluşlar ürünün değerlendirebileceği veri miktarının ölçeğini, veri türünü ve veri konumlarını değerlendirmelidir.
Gerçek zamanlı veri görünürlüğü çözümleri mevcut siber güvenlik çerçeveleriyle nasıl entegre olur?
İyi tasarlanmış veri görünürlüğü çözümleri, riskin gerçek zamanlı bir değerlendirmesini, bu riske yönelik eylemi önceliklendirmek için bir çerçeve sağlayabilir ve ardından bir politikanın dinamik olarak uygulanmasını sağlayabilir veya düzeltme önerileri sunabilir. Örneğin, gerçek zamanlı bir veri görünürlüğü çözümü MITRE Saldırı çerçevesiyle entegre edilirse, verilerle ilgili taktikleri, teknikleri ve prosedürleri (TTP’ler) haritalamak daha kolay hale gelir ve güvenlik ekiplerinin tehdidin doğasını ve olası ilerlemesini anlamalarına yardımcı olur.
Benzer şekilde, NIST CSF Protect bileşeni, alışılmadık erişim kalıplarını veya yetkisiz veri aktarımlarını tespit etmek gibi veri güvenliğine odaklanır.
Son olarak, sıfır güven çerçeveleri genellikle temel bir unsur olarak veri güvenliğini içerir ve yetkisiz veya alışılmadık erişimin gerçek zamanlı olarak tespit edilmesini sağlayarak en az ayrıcalıklı erişim kontrolünün uygulanmasına yardımcı olur.
Bu çerçevelerin her biri için, verilerin bilgisi (konum, tür) ve verilere erişim kritik öneme sahiptir ve güvenlik yaşam döngüsünün diğer yönleriyle bağlantılıdır.
Şirketler siber güvenlik hedefleriyle uyumlu veri görünürlüğü çabalarını nasıl önceliklendirmeli?
Herhangi bir veri görünürlüğü çabasının ilk adımı her zaman yapılandırılmış ve yapılandırılmamış verileri ölçek ve hızda tanımlamak ve sınıflandırmak olacaktır. Kişisel olarak tanımlanabilir bilgiler (PII), fikri mülkiyet ve finansal veriler gibi veri hassasiyetini anlamak hayati önem taşır. Kuruluşların ayrıca sektöre özgü düzenlemelere tabi olan verileri önceliklendirmesi gerekecektir çünkü uyumsuzluk işletme için önemli sonuçlara yol açabilir.
Hassas verileri belirlemek ve korumak her zaman önemli olsa da, kuruluşlar ayrıca hangi verilerin ve varlıkların iş operasyonları için kritik olduğunu anlamalı ve bu varlıkların tehditlere karşı ne kadar savunmasız olduğunu değerlendirmelidir. Kuruluşların, özellikle belirli veri türlerini hedef alabilecek potansiyel tehditler veya güvenlik açıkları varsa tehdit ortamını anlamaları ve ardından tehlikeye girme riski artan verilere öncelik vermeleri gerekir. Veri görünürlüğü çabaları ayrıca dahili stratejik siber güvenlik hedefleriyle uyumlu olmalıdır; bu da genellikle ortak siber güvenlik çerçeveleriyle uyumlu olmak anlamına gelir.
Kuruluşlar veri görünürlüğü yatırımlarının yatırım getirisini nasıl ölçer?
Veri görünürlüğü yatırımlarının yatırım getirisini ölçmek için en iyi uygulamalar genellikle şunları içerir:
- Değerleme zamanı. Bir araç ne kadar hızlı devreye alınabilir ve etkili bir şekilde kullanılabilir?
- Kesinlik. Seçilen araç kaç tane yanlış pozitif veya yanlış negatif üretecek? Yanlış pozitifleri araştırmak için ne kadar zaman harcanacak — ve yanlış negatiflerin sonuçları nelerdir? Verilerdeki sürekli değişimin ortasında doğruluğu sağlamak için kuralları ayarlamak için ne kadar zaman harcanıyor?
- MTTD/MTTR. Ortalama tespit/tepki süresi. Sonuç olarak, MTTD’deki bir azalma, araçların sorunları daha hızlı tespit ettiğinin ve daha hızlı tepki verdiğinin, dolayısıyla riski ve olası hasarı azalttığının mükemmel bir göstergesidir.
- OPEX/CAPEX oranı. CAPEX’in (genellikle yazılım veya hizmet abonelik maliyetleriyle sınırlı olan sermaye harcaması) dışında, veri görünürlüğü çözümü için hesaplama, personel, veri depolama, profesyonel hizmet desteği vb. dahil olmak üzere işletme maliyetleri (OPEX) nelerdir?