YesWeHack, müşterilerin saldırı güvenliği ve güvenlik açığı iyileştirme stratejilerini risk temelli bir yaklaşımla düzenlemelerine olanak tanıyan bir Saldırı Yüzey Yönetimi (ASM) ürününü tanıttı.
Yeni ürün, bir kuruluşun internete açık varlıklarının haritasını sürekli olarak çıkarıyor, bunların bilinen güvenlik açıklarına maruz kalma olasılığını tespit ediyor ve bu güvenlik açıklarını otomatik olarak önceliklendiriyor (şiddet, kullanılabilirlik ve varlık kritikliğine göre).
Bağımsız platformların aksine YesWeHack’in ASM’si, otomatik taramadan (ASM tarafından) kaynaklanan güvenlik açıklarını ve YesWeHack’in Bug Bounty, Pentest Yönetimi ve Güvenlik Açığı Açıklama Politikası (VDP) ürünlerini entegre ederek tüm güvenlik açıkları için tek durak noktası oluşturur.
Güvenlik bütçelerinin kısıtlı olduğu bir ortamda ASM ayrıca maliyetleri, iş yüklerini ve düzeltme süresini azaltmak için iş akışlarını otomatikleştirir ve uyumlu hale getirir.
Gartner’ın Sürekli Tehdit Maruziyeti Yönetimi (CTEM) modelinin beş operasyonel aşaması uygulanır: kapsam, keşfetme, önceliklendirme, doğrulama, harekete geçirme.
Bu, güvenlik testlerine ve en kritik güvenlik açıklarının uygun ölçekte iyileştirilmesine yönelik birleşik, kapsamlı ve risk tabanlı bir yaklaşım sağlar.
Anahtar teslimi konuşlandırılabilir ASM ayrıca YesWeHack’in genel platformuna bir tasarım yenilemesi getiriyor.
Saldırı yüzeylerinin hızlı bir şekilde genişlemesi, giderek daha karmaşık hale gelen teknoloji yığınları ve hızlı geliştirme döngüleri, genellikle bilinmeyen varlıklarda bulunan güvenlik açıklarında amansız bir artışa neden oluyor. Ancak Gartner, CTEM programlarının ihlallerde üçte iki oranında azalma sağlayabileceğini tahmin ediyor.
YesWeHack’in Ürün Başkan Yardımcısı Aïmad Berady şu yorumu yapıyor: “Yeni güvenlik açıklarından yararlanma süresinin hızla azalmasıyla birlikte, kuruluşun bilgi sistemini çevreleyen ‘savaş sisini’ temizlemek ve büyük resmi güncel tutmak hayati önem taşıyor. Sonuçta, eğer dijital bölgenizi bilmiyorsanız, düşmanınızı tanımanın hiçbir faydası yoktur.”
YesWeHack CEO’su Guillaume Vassault-Houlière şu yorumu yapıyor: “Birleşik güvenlik açığı yönetimini harici saldırı yüzeyi yönetimiyle birleştiren 360 derecelik bir kokpit, müşterilerin bir saldırgan gibi düşünmesine ve dolayısıyla onu engellemesine olanak tanıyarak en zayıf, en hacklenebilir vektörleri tespit edip mühürliyor.”