Siber güvenlik teknolojisi alanı, kibarca söyleyelim mi, kalabalık. Geçenlerde sektördeki en büyük konferanslardan biri olan RSA’ya katılmaktan döndüm. Orada ne kadar çok yeni teknoloji ve çözüm gördüğümü açıklamaya çalışmak, uzayın ne kadar büyük olduğunu açıklamaya çalışmak gibi hissettiriyor: Beynimiz aslında bu tür bir ölçeği işleyemez.
Bu etkinlikte bilgi güvenliği sorumlusu (CISO) olmayı, hangi ürünlerin veya teknolojilerin kendi kuruluşlarının güvenlik zayıflıklarını çözeceğine karar vermeye çalışmayı hayal ettim. Daha önceki kibar olma taahhüdümü sürdürmeye çalışırken, eziciydi. Orada mutlak bir güvenlik teknolojisinin değerlendirilmeye değer olup olmadığını hızlı bir şekilde anlamanın daha iyi bir yolu olabilir.
Kendimizi içinde bulduğumuz, yeni teknolojileri güvenlik yığınlarımıza tokatlayan bu ekosistem çalışmıyor. Her yerdeki güvenlik personeli, her yeni teknolojiyi yönetmeye çalışırken çok zayıflıyor ve tehdit aktörleri, koruma teknolojilerimizi sürekli olarak ihlal ediyor.
Peki bu döngüyü nasıl kıracağız? Güvenlik teknolojileri ararken, teknolojinin ne kadar değer sağladığını değerlendirmeye başlıyoruz – sadece vaat ettiklerini yapıp yapamayacağını değil, aynı zamanda tüm güvenlik yığını ve yönetim ekipleri için net bir pozitif sağlayıp sağlamadığını da.
Yeni bir siber güvenlik çağına giriyoruz ve her yatırım ihtiyatlı olmalı. Bu kararları vermek için şirketler, bir güvenlik çözümünün gerçek değerini veya maliyetini anlamak için bu teknolojiler hakkında bazı temel sorular sormaya başlamalıdır. Proaktivite, zeka, özerklik, ölçeklenebilirlik ve bir bütün olarak yığının yararına ilişkin bu sorular, her güvenlik teknolojisinde en yüksek değeri bulmanıza yardımcı olabilir.
Daha da önemlisi, bu sorular aynı zamanda mevcut teknolojilerinizi değerlendirmenize de yardımcı olabilir, çünkü artık gerçek hayatta bunların ağınıza ve ekiplerinize nasıl hizmet ettiğini (veya etmediğini) biliyorsunuz. Cevaplar sizi şaşırtabilir.
Soru 1: Teknoloji proaktif mi yoksa reaktif mi?
Hemen hemen her siber güvenlik teknolojisi “proaktif” kelimesini hemen kullanacak olsa da, öncelikle bu terimin gerçekte ne anlama geldiğini tanımlamalıyız. Gerçekten proaktif bir teknoloji, “patlamanın solunda” veya daha basit bir ifadeyle başarılı bir ihlalden önce oturan teknolojidir. Son zamanlarda, neredeyse tüm siber güvenlik teknolojileri, zaten gerçekleşmiş olan ihlallere yanıt vererek ve bunların etkilerini hafifleterek “patlama hakkı”na sahip.
MITRE/NIST/sıfır güven gibi modern güvenlik çerçevelerinde ve yığınlarında, genellikle patlamadan geriye kalan tek teknoloji güvenlik duvarı/yeni nesil güvenlik duvarıdır (NGFW). Bu onlarca yıllık teknolojilere giderek daha fazla görev verildi ve yine de standart olmaya devam ediyorlar. Daha proaktif teknolojilere yatırım yaparak güvenlik yığınının geri kalanına yardım etmeliyiz.
Soru 2: Teknoloji siber istihbarattan ne kadar yararlanabilir?
Zamanımızın kelimesinin “zeka” olduğu giderek daha açık hale geldi – yapay, insani veya benim dünyamda daha çok siber. İstihbaratın ve verilerin değeri hiç bu kadar yüksek olmamıştı ve bunun özellikle siber suçlulara karşı verilen savaşta geçerli olduğu kanıtlandı.
Gelecek zeka odaklıdır ve bir siber güvenlik teknolojisi ne kadar çok zeka üzerinde hareket edebilirse o kadar iyidir. Herhangi bir siber güvenlik teknolojisi, mümkün olduğu kadar çok siber/tehdit istihbaratı tarafından bilgilendirilmelidir. Uygulama hakkında bilinçli kararlar verecek veriler olmadan, tehdit aktörleri otomatik olarak üstünlüğe sahip olur.
Soru 3: Teknoloji (gerçekten) özerk mi?
“Özerk” olduğunu iddia etmeyen bir siber güvenlik teknolojisi düşünemiyorum. Bu, sektörümüzde o kadar yaygın hale geldi ki kelimenin kendisi neredeyse anlamını yitirdi. Bununla birlikte, yakın zamanda ortadan kalkacak gibi görünmeyen bir siber güvenlik personeli sıkıntısıyla, bir teknoloji hakkında düşünürken “özerk” derken neyi kastettiğimizi değerlendirmemiz kritik önem taşıyor.
Bu teknoloji bir çalışanın gününde (ortalama olarak) kaç saat gerektirir? Bu teknoloji, uyarıları veya günlükleri yönetmek için başka bir tam zamanlı çalışan gerektiriyor mu? Bu teknoloji otomatik olarak güncellenir mi? (Ve onlar için arıza süreleri nasıldır?) Bu soruların cevapları şu şekilde olmalıdır: sıfır, hayır ve evet. Başka hiçbir şey otonom bir teknoloji değildir.
Soru 4: Teknoloji nasıl ölçeklenir?
Tehdit aktörleri, saldırılarında çevik, yaratıcı ve ısrarcı olduklarını gösterdiler. Uyguladığımız teknolojiler büyüyebilmeli ve bu gerçeklere uyum sağlayabilmelidir. Daha yüksek hacimlere, daha derin karartmalara ve henüz bilinmeyen saldırı vektörlerine uyum sağlayabilirler mi? Ağınızla birlikte büyüyebilecek teknolojilerinizi bilmek Ve sürekli değişen bir tehdit ortamına uyum sağlamak, herhangi bir güvenlik teknolojisi yatırımında hayati önem taşır.
Soru 5: Teknoloji mevcut teknolojilerle rahatlıkla çalışabilir mi?
Siber güvenlik profesyonellerinin en büyük itici güçlerinden biri, “tetik yorgunluğu” olarak bilinen durumdur. Bunun nedeni, tehditleri veya ihlalleri bulma konusunda son derece hassas olan ancak birbirleriyle kolayca iletişim kuramayan ve aynı kötü amaçlı trafik için birden fazla uyarı veren çok sayıda teknolojidir. Siber güvenlik ekipleri daha sonra birden çok hatalı/yinelenen uyarıyı gözden geçirmek zorunda kalıyor ve gece gündüz alınan büyük hacimli trafik ağları nedeniyle hatalara daha yatkın hale geliyor. Ne yazık ki bu, bilgi paylaşmayan birden çok teknolojinin bir ağın siber güvenlik duruşunu nasıl etkileyebileceğinin yalnızca bir örneğidir.
Düşündüğünüz herhangi bir yeni siber güvenlik teknolojisi, yalnızca güvenlik yığınına tarafsız bir katkı değil, diğer teknolojiler veya onları yöneten kişiler için bir fayda sağlamalıdır. Bu alanda sorulacak bazı sorular şunlar olabilir: Uygulanan diğer teknolojilere zekayı kolaylıkla besleyebilir mi? Başka bir teknolojinin sıkıntılı noktasını hafifletiyor mu? Uygulanan diğer teknolojilerden bilgi alabilir mi?
Nadiren bir teknoloji, bu soruların birden fazlasına yeterince cevap verebilir. Örneğin, bir teknoloji çok fazla zeka kullanabilir ancak proaktif değildir ve çalışanlar tarafından sürekli izlenmesi gerekir. Bunlar, güvenlik ekiplerinin yeni veya mevcut bir güvenlik teknolojisi hakkında her karar verdiklerinde karşılaştıkları zorluklardır, ancak her bir teknolojinin ne kadar değer kattığını ya da katmadığını anlamak en iyi başlangıçtır.