Kurumsal Strateji Grubu (ESG), önde gelen bir BT analisti, araştırma ve strateji firması ve TechTarget, Inc.’in bir bölümü, bugün güçlü bir güvenlik programının temel bir parçası olan güvenlik hijyeni ve duruş yönetimine ilişkin yeni araştırmayı duyurdu. Çalışma, siber güvenliğin pek çok yönünün bağımsız olarak ve eski araçlarla yönetildiğini ve kuruluşların sürekli gelişen tehdit ortamına karşı sınırlı görünürlük ve zayıf savunmalara sahip olduğunu ortaya koyuyor. Güçlü siber güvenlik, dağıtılan tüm BT varlıkları hakkında bilgi sahibi olmak gibi temel bilgilerle başladığından, bu durum, kuruluşları stratejik, ancak genellikle aceleci olan bulut ve dijital dönüşüm girişimleri arasındaki gelişmiş tehditlere karşı savunmasız hale getirir.

Yeni rapor, Güvenlik Hijyeni ve Duruş Yönetimi, güvenlik açığı yönetimi, varlık yönetimi, saldırı yüzeyi yönetimi ve güvenlik test araçları dahil olmak üzere güvenlik hijyeni ve duruş yönetimi için ürün ve hizmetleri değerlendirmekten, satın almaktan ve kullanmaktan sorumlu 398 BT ve siber güvenlik uzmanının katıldığı bir anketi özetliyor. Veriler, kuruluşların güvenlik duruşu yönetimi süreçlerini daha fazla değerlendirmeyi, satıcı risk yönetimi gereksinimlerini incelemeyi ve güvenlik aracını ve süreçlerini daha sık test etmeyi hedeflemesi gerektiğini ortaya koyuyor.

Bu çalışmadan elde edilen en rahatsız edici bulgular arasında:

  • Kuruluşların %73’ü elektronik tabloların güvenlik hijyeni ve duruş yönetiminin önemli bir unsuru olmaya devam ettiğini kabul ediyor. Günümüzün tehdit ortamı, bu tür ilkel tekniklerle yönetilemeyecek kadar dinamik.
  • Kuruluşların %69’u, bilinmeyen, yönetilmeyen veya kötü yönetilen internete açık bir varlığın (örneğin, web sunucusu, web uygulaması, VPN ağ geçidi veya açık bağlantı noktası) kötüye kullanılması yoluyla başlayan en az bir siber saldırıya maruz kaldıklarını itiraf ediyor. Siber düşmanlar, varlıkları savunmasız bırakan BT organizasyonlarını kolayca geride bırakıyor.
  • Güvenlik uzmanlarının %40’ı, çelişkili verilerin varlıkların doğru bir resmini elde etmeyi zorlaştırdığını ve %39’u binlerce değişen varlığa ayak uydurmanın zor olduğunu söylüyor. Kuruluşlar, ne olduklarına ve nerede bulunduklarına dair doğru bir resim olmadan bu kaynakları yönetemez ve koruyamaz.
  • %57’si, kuruluşlarının bazen hangi varlıkların iş açısından kritik olduğunu bilmekte zorlandığını kabul etti. Bu görünürlük eksikliği, siber güvenlik ve BT ekiplerinin iş operasyonları için en önemli olan sistemleri koruma çabalarına öncelik vermeleri gerektiği anlamına gelir.

Bu sorunlara yanıt olarak, çalışma, önümüzdeki birkaç yılın ESG’nin güvenlik gözlemlenebilirliği, önceliklendirme ve doğrulama (SOPV) olarak adlandırdığı yeni bir platform kategorisi etrafında inovasyon göreceği sonucuna varıyor. SOPV, güvenlik hijyeni ve duruş yönetimi verilerini toplayacak, risk puanlarını hesaplayacak, risk ve varlık kritikliğine dayalı iyileştirme eylemlerine öncelik verecek, MITRE ATT&CK çerçevesiyle yakından uyumlu olacak ve hatta güvenlik kontrollerini ve süreçlerini test edecektir. SOPV araçları olgunlaştıkça, siber riski işletmeye iletmek için fiili CISO panosu haline gelecekler.

“Güvenlik hijyeni ve duruş yönetimi kritik olsa da, bu araştırma kuruluşların teknoloji varlıklarının net bir resmine sahip olmadığını ve bu cihazların, sistemlerin ve uygulamaların durumu hakkında sınırlı bir anlayışa sahip olduklarını ortaya koyuyor” diyor Kıdemli Baş Analist & ESG Üyesi Jon Oltsik. “Bu, kurumları riske atıyor çünkü sağlam siber risk azaltma kararları için gereken doğru bilgilere sahip değiller. Bu durum kritik olmakla birlikte, önümüzdeki 12 ila 18 ay boyunca SOPV teknolojileri çevresinde bazı umut verici gelişmeler ve yenilikler görüyorum. CISO’lar proaktif olarak güvenlik hijyeni ve duruş yönetimini ele almalı ve mümkün olan en kısa sürede SOPV çözümlerini araştırmalıdır.”

Bu yeni araştırma hakkında daha fazla bilgi için lütfen ziyaret edin. ESG’nin web sitesi.

Jon Oltsik’in siber güvenlik pazarı kapsamı hakkında daha fazla bilgi edinmek için, buraya tıklayın veya onu Twitter’da takip edin @joltsik.

ESG hakkında

Kurumsal Strateji Grubu (ESG), küresel teknoloji topluluğuna pazar istihbaratı, eyleme dönüştürülebilir içgörü ve pazara giriş içerik hizmetleri sağlayan entegre bir teknoloji analizi, araştırma ve strateji firmasıdır. Teknoloji satıcılarının gerçeklere dayalı, meslektaş tabanlı araştırmalar yoluyla pazara açılma programlarında stratejik kararlar almalarına yardımcı olma konusunda dünyanın önde gelen analist firmalarından biri olarak giderek daha fazla tanınmaktadır. ESG bir bölümüdür TechTarget, Inc. (Nasdaq: TTGT), kurumsal teknoloji şirketleri için ticari etki sağlamaya odaklanan satın alma amacına dayalı pazarlama ve satış hizmetlerinde dünya lideri.



siber-1

Bir yanıt yazın