İngiltere’nin önde gelen emeklilik, tasarruf, sigorta ve emeklilik şirketi olan LV=, uzun ve köklü bir geçmişe sahiptir. 180 yıllık şirket, yıllar içinde portföyünü genişleterek akla gelebilecek her türlü sigorta, yatırım, emeklilik ve emeklilik teklifini sunmuştur. Yeni teknolojiye yatırım yaparak mümkün olanın sınırlarını zorlamaya devam etmiştir.
2021’e gelindiğinde, yeni altyapının ve diğer dijital modernizasyonun çoğu tamamlanmıştı. Aynı zamanda, şirket liderleri güvenliğe yönelik yaklaşımının olabileceği kadar etkili olmadığından şüpheleniyorlardı. Bunu öğrenmek için şirket, Büyük 4 muhasebe firmasından birini işe aldı durumu değerlendirmek NIST siber güvenlik çerçevesiyle karşılaştırılarak.
Geriye kalanlar ise ayılttı.
“Olgunluğun ne kadar düşük olduğu ortaya çıktı,” diyor LV=’nin durumu düzeltmek için işe aldığı baş bilgi güvenliği ve veri sorumlusu Dan Baylis. “İşte o zaman yatırım yapmaları ve geçmişin günahlarını ele almaları gerektiğini fark ettiler.”
Mevcut Güvenlik Yığınını Değerlendirme
Baylis işe alındıktan hemen sonra tüm güvenlik sistemini, süreçleri ve prosedürleri değerlendirdi.
Birçok sorun buldu. En önemlisi, altyapıda modern güvenlik kontrolleri yoktu. Örneğin, sistemde hala imza tabanlı antivirüs kontrolleri vardı ve e-posta ağ geçidi modern tehditlerin farkında değildi.
Baylis ayrıca güvenlik kontrollerinin etkinliğini ölçmenin bir yolu olmadığını da belirledi. Ayrıca, kötü amaçlı yazılımlara karşı koruma gibi her bir güvenlik kontrolü tüm altyapıya tam olarak bağlı değildi. Bunun yerine, yalnızca doğrudan bağlı olduğu şeyleri izleyebiliyordu. Ve merkezi bir görünüm olmadığı için, güvenlik ekibi yalnızca güvenlik açığı ifşaları gibi şeylere tepki verebiliyordu.
Nispeten ilkel güvenlik altyapısı da şirket yöneticilerinin veri odaklı güvenlik kararları almasını engelliyordu.
“Veri odaklı olmak, duygusallığı ortadan kaldırır. Örneğin, birine doğru yama seviyelerine sahip olmadıklarını veya belirli bir alanda güvenlik kontrollerinin eksik olduğunu söylüyorsak, veriler bunu desteklemelidir,” diyor Baylis.
Baylis ayrıca LV= ‘nin korumaya ihtiyacı olduğuna inanıyordu sürekli güvenlik doğrulaması ancak eski güvenlik kontrolleriyle bunu başaramadı.
“Sürekli güvenlik doğrulaması, ihtiyaç duyduğumuz yatırımları ve iyileştirmeleri desteklemek için kanıta sahip olmamızı sağlayacaktı,” diyor. “Bu sayede, ‘Saldırılar böyle oluyor ve biz onlara karşı ne kadar dayanıklıyız,’ diye açıklayabilirdim. Bu sayede, bana güvenmelerini istemek yerine, onlara gösterebilirdim.”
Güvenlik Altyapısının Yenilenmesi
Değerlendirmesini tamamlayan Baylis, şirketin güvenlik altyapısını baştan aşağı yeniden inşa etmeye başladı.
İlk işimiz, güvenlik kör noktalarını izlemek ve sürekli güvenlik testi sağlamak için bir ihlal saldırısı ve tespit sistemi (BAS) uygulamak oldu.
Her zamankinden daha fazla kuruluş, BAS, hizmet olarak kalem testi (PTaaS) ve sürekli otomatik kırmızı takım (CART) gibi saldırı yolu yönetimi ve güvenlik kontrol doğrulaması sağlayan güvenlik araçlarını kullanıyor. son anket (abonelik gereklidir) Omdia, 400 güvenlik karar vericisinin %71’inin bu araçları önemli veya son derece önemli bulduğunu tespit etti.
BAS, güvenlik araçlarının ne kadar iyi çalıştığını belirleyip optimize edilebilmesi için bir metodolojidir, Omdia’nın baş analisti Andrew Braunberg açıklıyor. BAS araçları bunu, genellikle şu gibi yerleşik tehdit modellerini kullanarak saldırıları simüle ederek yapar: MITRE ATT&CK çerçevesiBAS araçları ayrıca otomatik simülasyonlar, tehdit modeli haritalaması ve sürekli testler de gerçekleştirebilir.
Baylis, Cymulate’in BAS çözümünü uygulayarak başladı. Onun için en önemli özellikler, ortaya çıkan tehditleri test etme yeteneği, sürekli güvenlik doğrulaması ve şirketin güvenlik duruşunun konsolide bir görünümüydü.
“Sadece risklere maruz kalma durumumuzu göstermeme yardımcı olmayacak, aynı zamanda siber tehditlere karşı ne kadar dayanıklı olduğumuzu anlatan bir araç istedim” diye açıklıyor.
Baylis, söz konusu aracı kullanarak karar vericilere aktif saldırıları gösterebildiğini ve şirketin bunlara karşı yeni dayanıklılığını, uç nokta kontrollerinin ve ağ geçitlerinin sağlığını gösterebildiğini söylüyor.
Sırada sürekli kontrol izleme için bir araç seçmek vardı. Baylis, Active Directory, kötü amaçlı yazılımlara karşı kontroller ve yama gibi farklı kaynaklardan gelen verileri izleyen ve bütünsel bir görünüm sağlayan Axonius’u seçti. Bu bilgilerle ekip, şirketin güvenlik kontrolü kapsam boşluklarını gösteren panolar oluşturabildi.
Baylis ayrıca bir organizasyonun siber güvenlik altyapısının sağlığını ve etkinliğini hesaplayan bir araç olan SecurityScorecard’ı seçti. Bu ekleme, organizasyonun güvenlik duruşunu kıyaslamak akranlarına karşı.
Bu, LV=’nin SecurityScorecard’dan güvenlik derecelendirmesinde “C” almasıyla bir başka dönüm noktasına yol açtı. Sonuç olarak, ekip süresi dolan sertifikalar ve zayıf şifreler gibi sorunlarla ilgili yüzlerce değişiklik yaptı. Şirket artık “A” derecesine sahip.
Yeni güvenlik altyapısını, yeni nesil kötü amaçlı yazılımlara karşı koruma kontrolleri, yeni bir e-posta ağ geçidi, yeni bir Web ağ geçidi ve bir parola yöneticisi tamamlıyor.
Güvenliğin İnsani Yönünü Desteklemek
LV=’nin güvenlik araçları modernize edildiğine göre, Baylis dikkatini şu konuya çeviriyor: insan riski güvenlik denkleminin bir tarafı. Özel bir kimlik avı testi ve eğitimi çalışanlar için. Ayrıca şirketin e-posta altyapısını güçlendirmeyi düşünüyor.
“Siber dayanıklılığa odaklanmaya devam ederken, aynı zamanda iyi bir güvenlik farkındalığını da teşvik etmek istiyoruz,” dedi. “Her ikisi de etkili güvenlik için kritik öneme sahiptir.”