Kuruluşların rakiplerinin kim olduğunu ve kurumsal ortamlarına karşı nasıl çalıştıklarını anlamalarının önemi küçümsenemez. Bir kuruluşun, giderek daha değişken hale gelen bir tehdit ortamı karşısında siber güvenlik testlerine ve dayanıklılık iyileştirmelerine yaklaşımı, bu perspektif etrafında desteklenmelidir.
İyi tasarlanmış bir siber güvenlik test programının temel unsurları, kuruluşun güvenlik açıklarını belirlemesine ve düzeltmesine, algılama ve yanıt verme kabiliyetini sürekli olarak zorlamasına, tehdit istihbaratı toplama önceliklerini iyileştirmesine ve yanıt planlarının sürekli stres testi yoluyla genel olay hazırlığını geliştirmesine yardımcı olmak olmalıdır. bu IBM’den Veri İhlalinin Maliyeti 2022 raporu olay müdahale planlarını düzenli olarak test eden kuruluşlar için ortalama ihlal maliyeti tasarruflarının 2,66 milyon $ (yaklaşık 2 milyon £) olduğunu göstermektedir.
Her duruma uyan tek bir çözüm olmasa da, kuruluşların bir siber güvenlik test programı oluşturmak ve sürdürmek için kapsayıcı bir strateji geliştirirken odaklanabilecekleri beş temel husus aşağıda belirtilmiştir.
1. Ekipler Arasında İşbirliği Yapın
İşbirliği, kuruluşun gücünün yattığı yerdir, bu nedenle güvenlik ekipleri farklı gruplarla dahili ilişkiler kurmaya odaklanmalıdır. Güvenlik ekipleri, insan bileşeninin kritik olduğunu hatırlamalı ve güvenlik operasyonları merkezi (SOC), risk / uyumluluk, güvenlik açığı yönetimi (VM), siber tehdit istihbaratı (CTI) ve güvenlik testi işlevlerinden temsilcilerin işbirliğini teşvik edin.
Mümkün olduğunda, bu ekipleri yüz yüze görüşmeler yapmaya teşvik edin. Bu, kişisel düzeyde ekipler arası uyum için bir fırsat yaratacak ve ortak bir hedefe ulaşmada uzun bir yol kat edecek bir yoldaşlık duygusu geliştirecektir.
Net sorumlulukları tanımlayan ve bulguları hızlı bir şekilde paylaşmak için bu ekipler arasında şeffaf iletişimi destekleyen bir yönetişim çerçevesi oluşturmak, daha iyi karar almaya, olaylara daha hızlı müdahale etmeye ve kuruluşun siber yeteneklerinin çok yönlü takdirine olanak sağlayacaktır.
İşbirliği, tehdit algılama ve azaltma stratejilerini geliştirmek için bilgi ve uzmanlık alışverişinin yanı sıra birbirlerinin teknik ve yöntemlerinin daha fazla takdir edilmesini sağlar.
2. Kapsam Tanımı için İstihbarat Temelli ve Risk Temelli Bir Yaklaşım İzleyin
Tehdit istihbaratını sürekli olarak iyileştirme süreci, kuruluşların kapsamlı ve güncel bir temel saldırı senaryoları kitaplığı oluşturmasını ve sürdürmesini sağlamalıdır. İlk olarak, hangi tehdit aktörü gruplarının kuruluşu hedef almak için motive olduğunu belirleyin. Bunun yerleşik temel senaryolarla üst üste bindirilmesi, kapsamlı bir taktik, teknik ve prosedürler (TTP’ler) listesi tanımlamanıza yardımcı olacaktır.
Kuruluşların genellikle çevrelerinde çeşitli varlıkları vardır, bu da risk noktalarının belirlenmesini ve güvenlik açığı tespiti ve iyileştirme için nereye ve ne kadar para harcanması gerektiğini değerlendirmeyi zorlaştırır. Tanımlanmış TTP’lerin tam listesini kapsamdaki tüm varlıklara göre değerlendirmek, zamanlama açısından gerçekçi olmayabilir.
Daha risk temelli bir yaklaşım, kapsamlı bir kontrol listesine bağlı kalmadan TTP dizilerinin makul bir alt kümesini oluşturmak ve altyapı ve yazılım ayrıntılarını yaratıcı bir şekilde karıştırıp eşleştirmektir. Bu, saldırı simülasyon ekibinin başlangıçta odaklanması için hedeflenen alt senaryolar oluşturur.
Bu yaklaşım, CISO’ların var olan pratik hafifletme önlemlerinin gücünü daha ayrıntılı bir şekilde ölçmesine ve mevcut kaynakları en iyi şekilde kullanırken kritik iş hizmetlerinde yüksek öncelikli alanları belirlemesine yardımcı olacaktır.
3. Siber Savunma Kontrollerinin Sürekli Stres Testini Gerçekleştirin
Kuruluşun teknik ve iş yanıtını sürekli olarak uygulamak için tanımlanan senaryolardan ve önceliklendirilmiş TTP listesinden yararlanın. Olay müdahale programı olgunlaştıkça senaryo alt kümesinin karmaşıklığı artmalıdır. Güvenlik ekibinin daha önce başarısız olduğu durumlarda, gerçek bir saldırı durumunda kuruluşun süreci iyileştirebilmesi için bu senaryoların tekrarlanması gerekir.
SOC’nin algılayabileceği ve VM ekibinin düzeltebileceği “düşük ve yavaş” taktikleri seçmek önemlidir, ancak işleri çok kolaylaştırmayın. SOC’nin savunması daha zor olan TTP’leri dikkatli bir şekilde seçmek, bu ekipleri sürekli olarak tekniklerini keskinleştirmeye ve aynı zamanda organizasyonu yanıt stratejilerini güncellemeye zorlamaya teşvik eder.
Karmaşıklık, gizlilik ve hız arasındaki seçim, kuruluşun test için özel senaryoyu şekillendirmeye katkıda bulunan risk profili ve tehdit öncelikleri tarafından belirlenecektir.
4. Paylaşılan Anlayış ve İyileştirme Takibi için Metrikleri Ayarlayın
Kurumsal varlıklara yönelik genel risk azaltımını göstermek için başarı kriterlerinin tanımlanması ve izlenmesi gerekir. Azaltılmış tespit ve/veya yanıt süreleri, başarılı saldırılarda azalma vb. gibi ölçütler, panodaki iyileştirmeleri etkili bir şekilde ifade etmek için yararlıdır.
Belirlenen ve istismar edilen yüksek riskli güvenlik açıklarının sayısına ve ayrıca test edenler için genel başarı oranına odaklanarak, önceki ve sonraki sızma testlerinin, kırmızı ekip tatbikatlarının ve/veya hedefli saldırı simülasyonlarının sonuçlarını karşılaştırmak yararlıdır.
Tehdit ortamındaki değişiklikleri analiz edebilmek ve mevcut ve gelişen tehditleri azaltmak için artan bir yetenek gösterebilmek, CISO’ların gelişmiş risk azaltma göstermesine yardımcı olacaktır.
5. Süreç İyileştirmelerini Yönlendirmek için Geri Bildirim Kanalları Oluşturun
Yürütülen TTP’lere karşı test gözlemlerini ve saldırı zinciri boyunca belirlenen eyleme geçirilebilir azaltmaları parçalayın. Test sonuçları ayrıca, hangi güvenlik açıklarından yararlanma olasılığının daha yüksek olduğunun daha iyi anlaşılmasını sağlayacak ve VM sürecinde risk önceliklendirmesinin iyileştirilmesine yardımcı olabilir.
Bu sonuçların gerçek zamanlı olarak CTI ekibiyle paylaşılması, güvenlik açıklarından yararlanabilecek potansiyel tehditleri izlemelerine olanak tanır, belgelenmiş tehditlerin teorik olarak anlaşılmasını geliştirir ve daha önce bilinmeyen güvenlik açıkları hakkında içgörü sağlar ve ayrıca daha fazla araştırma ve analiz için alanların önceliklendirilmesine yardımcı olur.
Test çıktılarını sahadan gerçek zamanlı olarak toplamak için merkezi bir pano, ilgili SOC ekibi paydaşlarına güvenlik izleme araçlarında ve uyarı sistemlerinde belirlenen boşlukları sağlayabilir, son derece yararlıdır.
IR planlarını uygulamak ve doğrulamak ve müdahale sürelerinin iyileştirilmesi gereken alanları belirlemek için bir eğitim aralığı sağlamak, genel olay hazırlığını iyileştirmek için yararlıdır.
Son Gol
bu WEF Küresel Siber Güvenlik Görünümü 2023 iş dünyasının liderlerinin %43’ünün kuruluşlarının önümüzdeki iki yıl içinde büyük bir saldırı tarafından vurulacağına inandığını belirtiyor. Artan işbirliği ve iyileştirilmiş risk yönetimi süreçleri aracılığıyla siber güvenlik testinde kapsamlı bir değişiklik, siber saldırılara karşı dayanıklılığı artırır.