Yakın zamanda yayınlanan Güvenlik Gezgini rapor verileri, işletmelerin bildirilen bir güvenlik açığını düzeltmesinin hâlâ 215 gün sürdüğünü gösteriyor. Kritik güvenlik açıkları için bile yama yapılması genellikle 6 aydan fazla sürer.
İyi güvenlik açığı yönetimi, tüm potansiyel ihlalleri yamalama konusunda yeterince hızlı olmakla ilgili değildir. En önemli kusurları düzeltmek ve şirketin saldırı yüzeyini en aza indirmek için güvenlik açığı önceliklendirmesini kullanarak gerçek riske odaklanmakla ilgilidir. Şirket verileri ve tehdit istihbaratının ilişkilendirilmesi ve otomatikleştirilmesi gerekir. Bu, dahili ekiplerin iyileştirme çabalarına odaklanmalarını sağlamak için çok önemlidir. Uygun teknolojiler, küresel bir Güvenlik Açığı İstihbarat Platformu şeklini alabilir. Böyle bir platform, bir risk puanı kullanarak güvenlik açıklarını önceliklendirmeye yardımcı olabilir ve şirketlerin gerçek kurumsal risklerine odaklanmasına olanak tanır.
Başlarken
Etkili bir güvenlik açığı yönetimi programı oluşturmadan önce akılda tutulması gereken üç gerçek:
1. Keşfedilen güvenlik açıklarının sayısı her yıl artmaktadır. Her gün ortalama 50 yeni güvenlik açığı keşfediliyor, bu yüzden hepsini yamalamanın imkansız olduğunu kolayca anlıyoruz.
2. Yalnızca bazı güvenlik açıkları aktif olarak kullanılır ve tüm kuruluşlar için çok yüksek bir risk oluşturur. Tüm güvenlik açıklarının yaklaşık %6’sı şimdiye kadar vahşi ortamda kullanıldı[43]: Yükü azaltmamız ve gerçek riske odaklanmamız gerekiyor.
3. Aynı güvenlik açığı, iki farklı şirketin işi ve altyapısı üzerinde tamamen farklı bir etkiye sahip olabilir, bu nedenle hem iş açığının hem de güvenlik açığının ciddiyetinin dikkate alınması gerekir. Bu gerçeklere dayanarak, her güvenlik açığını yamalamanın bir anlamı olmadığını anlıyoruz. Bunun yerine, tehdit ortamına ve kurumsal bağlama dayalı olarak gerçek bir risk teşkil edenlere odaklanmalıyız.
Risk tabanlı güvenlik açığı yönetimi kavramı
Amaç, en kritik varlıklara ve tehdit aktörleri tarafından hedef alınma riski daha yüksek olan varlıklara odaklanmaktır. Risk tabanlı bir güvenlik açığı yönetimi programına yaklaşmak için iki ortamı dikkate almamız gerekir.
iç ortam
Müşterilerin manzarası, iç ortamı temsil eder. Şirketlerin ağları ve saldırı yüzeyleri büyüyor ve çeşitleniyor. Saldırı yüzeyi, bilgisayar korsanlarının erişebileceği bilgi sisteminin tüm bileşenlerini temsil eder. Bilgi sisteminizin ve saldırı yüzeyinizin net ve güncel bir görünümüne sahip olmak ilk adımdır. İş bağlamını da dikkate almak önemlidir. Aslında, şirketler sahip oldukları belirli veri ve belgeler (fikri mülkiyet, gizli savunma…) nedeniyle iş sektörlerine bağlı olarak daha büyük bir hedef olabilirler. Dikkate alınması gereken son temel unsur, bireysel olarak şirketin benzersiz bağlamıdır. Amaç, varlıkları kritikliklerine göre sınıflandırmak ve en önemlilerini vurgulamaktır. Örneğin: mevcut olmadığında iş sürekliliğinde önemli bir aksamaya neden olacak varlıklar veya erişilebilir olması durumunda kuruluşu birden fazla davaya maruz bırakacak yüksek derecede gizli varlıklar.
dış ortam
Tehdit ortamı dış ortamı temsil eder. Bu verilere dahili ağdan erişilemez. Kuruluşların bu bilgileri bulmak ve yönetmek için insan ve finansal kaynaklara sahip olması gerekir. Alternatif olarak, bu faaliyet, kuruluş adına tehdit ortamını izleyecek olan profesyonellere dışsallaştırılabilir.
Aktif olarak yararlanılan güvenlik açıklarını bilmek, bir şirket için daha yüksek bir risk oluşturduğu için bir zorunluluktur. Aktif olarak yararlanılan bu güvenlik açıkları, güvenlik açığı verileriyle birleştirilmiş tehdit istihbaratı yetenekleri sayesinde takip edilebilir. En verimli sonuçları elde etmek için, tehdit istihbaratı kaynaklarını çoğaltmak ve bunları ilişkilendirmek daha da iyidir. Potansiyel tehditleri tahmin etmeye yardımcı olduğu için saldırgan etkinliğini anlamak da değerlidir. Örneğin: yeni bir sıfır gün veya yeni bir fidye yazılımı saldırısıyla ilgili istihbarat, bir güvenlik olayını önlemek için zamanında harekete geçirilebilir.
Her iki ortamı birleştirmek ve anlamak, kuruluşların gerçek risklerini tanımlamalarına ve önleyici ve iyileştirme eylemlerinin devreye alınması gereken yerleri daha verimli bir şekilde belirlemelerine yardımcı olacaktır. Yüzlerce yama uygulamaya gerek yoktur, bunun yerine bir organizasyonun saldırı yüzeyini büyük ölçüde azaltacak olan seçilmiş yamalardan on tanesini uygulamaya gerek yoktur.
Risk tabanlı bir güvenlik açığı yönetimi programı uygulamak için beş temel adım
- Kimlik: Saldırı yüzeyinizi keşfetmek için tüm varlıklarınızı tanımlayın: keşif taraması, ilk genel bakışa sahip olmanıza yardımcı olabilir. Ardından, dahili ve harici ortamlarınızda düzenli taramalar başlatın ve sonuçları Vulnerability Intelligence Platform ile paylaşın.
- bağlamsallaştırma: Vulnerability Intelligence Platform’da iş bağlamınızı ve varlıklarınızın kritikliğini yapılandırın. Tarama sonuçları daha sonra varlık başına belirli bir risk puanlaması ile bağlamsallaştırılacaktır.
- Zenginleştirme: Tarama sonuçlarının, Güvenlik Açığı İstihbarat Platformu tarafından sağlanan tehdit ortamı dikkate alınarak önceliklendirmeye yardımcı olacak tehdit istihbaratı ve saldırgan etkinliği gibi ek kaynaklar kullanılarak zenginleştirilmesi gerekir.
- Düzeltme: Örneğin, “kolayca kullanılabilir”, “vahşi ortamda yararlanılır” veya “yaygın olarak yararlanılır” gibi tehdit istihbaratı kriterleriyle eşleştirilebilen güvenlik açığı başına verilen risk puanlaması sayesinde, iyileştirmeye etkili bir şekilde öncelik vermek çok daha kolaydır.
- Değerlendirme: KPI’ları ve özelleştirilmiş panoları ve raporları kullanarak güvenlik açığı yönetimi programınızın ilerlemesini izleyin ve ölçün. Bu sürekli bir iyileştirme sürecidir!
Bu, mağarada bulunan siperlerden bir hikaye. 2023 Security Navigator raporu. Güvenlik açıkları hakkında daha fazla bilgi ve kötü amaçlı yazılım analizi ve siber şantaj dahil olmak üzere diğer ilginç şeylerin yanı sıra güvenlik ortamına ilişkin tonlarca gerçek ve rakam raporun tamamında bulunabilir. 120+ sayfa raporunu Orange Cyberdefense web sitesinden ücretsiz olarak indirebilirsiniz. Öyleyse bir göz atın, buna değer!
Not: Bu bilgilendirici hikaye, Orange Cyberdefense ürün müdürü Melanie Pilpre tarafından ustalıkla hazırlandı.