Siber güvenlik sektörü sürekli olarak kuruluşlarımızı güvenli hale getirmek için yeni araçlara ihtiyacımız olduğunu söylüyor. BYOD? Mobil cihaz yönetimine (MDM) ve uç nokta algılama ve yanıta (EDR) ihtiyacınız var. Bulut? Açıkta kalan sırları yönetmek ve taramak için bulut yapılandırma yöneticilerine, hibrit gözlemlenebilirlik araçlarına ve özel nokta çözümlerine ve çok daha fazla dağıtılmış web uygulaması güvenlik duvarına ihtiyacınız var. Kubernet’ler mi? Linterler, dinamik uygulama güvenlik testleri (DAST), statik uygulama güvenlik testleri (SAST), tarayıcılar ve daha fazlası gibi eski araçları yansıtan yeni bir araç setine ihtiyacınız var. Artık yapay zeka (AI) var ve baş bilgi güvenliği görevlileri (CISO’lar) ve siber güvenlik ekipleri, ortaya çıkan bu alanı ele almak için AI destekli kodlama için katmanları taramak gibi araçlara ihtiyaç duyuyor. Kısacası araçlar hakimdir.
Ancak yeni sorunları çözmeye yönelik yeni araçların sürekli olarak geliştirilmesine rağmen, ciddi siber güvenlik olaylarının en yaygın temel nedeni başarısız süreçler olmaya devam ediyor. Gutsy’nin Ağustos 2023’te 50’den fazla kurumsal bilgi güvenliği sorumlusunun yanıtlarını toplayan 2023 Güvenlik Durumu Yönetişim anketine göre, tüm güvenlik olaylarının %33’ünün süreç hatalarından kaynaklandığı tespit ediliyor. Pek çok olayın karmaşıklığı ve çok aşamalı olay zincirleri göz önüne alındığında, toplam sayı çok daha yüksek olabilir. Araçların siber güvenlik sorunlarımızı çözmediğinin açık bir işareti, güvenlik araçlarının zayıf operasyonelleştirilmesidir: Tüm güvenlik araçlarının %55’i devreye alınmıyor veya aktif olarak yönetilmiyor. Yalnızca araç eklemek çözüm değildir.
Güvenlik Sonrası Otopsiden Sürekli Süreç Madenciliğine
Süreç başarısızlıklarını düzeltmek için sorunların kökenindeki faktörleri ele almalısınız. Bu faktörleri doğru bir şekilde tanımlamanın tek yolu, sorunlara yol açan başarısız süreçleri gözlemlemek, kaydetmek ve belgelemektir. Bugüne kadar bu çoğunlukla günlüklerin incelenmesi ve olaylardan sonra otopsi yapılması anlamına geliyordu. Ancak yalnızca başarısız olan süreçleri incelemek, suçları sokak lambası altında aramaya benzer; henüz gerçekleşmemiş tüm diğer potansiyel süreç başarısızlıklarını göz ardı eder.
Çok sayıda etkileşimi ve süreci sürekli ve kurumsal ölçekte kaydetmek ve haritalamak için daha kolay ölçeklenebilecek yeni bir yaklaşıma ihtiyaç var. Siber güvenlik için süreç madenciliğine girin. Proses madenciliği on yılı aşkın bir süredir birçok endüstride varlığını sürdürüyor. Kurumsal kaynak yönetimi (ERP) sistemlerinden, bir sürecin haritalandırılmasının dağıtımın ilk aşaması olduğu robotik süreç otomasyonuna (RPA) kadar, işlerini yürütürken insanların teknolojiyle olan etkileşimlerini yakalamak tanıdık bir stratejidir.
Ancak bu yaklaşım birkaç nedenden dolayı siber güvenliğe uygulanmamıştır. Birincisi, süreçleri analiz etmek ve kataloglamak, birçok siber güvenlik ve BT ekibinin denetçilere bırakmayı tercih ettiği sıkıcı bir iştir. Siber güvenlik veya BT veya ağ oluşturma ekiplerinden, altyapı ve yazılımın izlenmesi ve güvenliğinin sağlanmasına ilişkin zaten ağır olan iş yüklerine bunu da eklemelerini istemek sürdürülemez.
İkincisi, siber güvenlik ve denetim ekipleri uzun süredir aracılar tarafından toplanan verilere güvenirken, bu veriler büyük ölçüde süreçlere değil, güvenlik araçlarındaki olaylara ve değişikliklere bağlıdır. Bu, geleneksel süreç analizini; görüşmeler, e-posta zincirlerinin okunması ve günlüklerin incelenmesi yoluyla titizlikle oluşturulan manuel bir görev haline getirir. Farklı araçlar ve sistemler tarafından oluşturulan veriler her zaman temiz değildir veya normalleştirilmesi kolay değildir; bu da süreç analizini daha karmaşık, zaman alıcı ve maliyetli hale getirir.
Neden Daha Fazla CISO Süreç Madenciliğini Benimsiyor?
Çeşitli değişiklikler, şirketleri siber güvenlik ve teknoloji yönetişimi iş akışları için sürekli, otomatikleştirilmiş süreç madenciliğini yeniden gözden geçirmeye zorluyor. Teknik açıdan bakıldığında, hafif, bulut tabanlı teknolojiler ve altyapı ile veri akışlarını normalleştirmenin daha gelişmiş yöntemleri, etkili süreç madenciliği ürünleri oluşturmayı daha az kaynak yoğun ve maliyetli hale getirdi. Aynı zamanda, araçların çözüm olmadığının giderek daha fazla kabul görmesi, birçok CISO’nun en son güvenlik tehditleri için noktasal çözümler yerine insan faktörlerini vurgulamasına yol açtı.
Özellikle, OWASP’ın İlk 10’u Olaylar ve Yaygın Güvenlik Açıkları ve Etkilenmeler (CVE’ler) ciddi oranda etkilenmiş olsa da, son on yılda büyük ölçüde sabit kaldı rekor seviyeleri son beş yılın her biri için. Tecrübeli saldırganlar, geçmişte işe yarayanların gelecekte de işe yarayacağını bilerek aynı saldırı paketlerini geri dönüştürüp yeniden derlerler. Bu, araçların şirketleri daha güvenli hale getirmediğini açıkça gösteriyor. Başka bir şey yapılması gerekiyor.
Diğer bir faktör ise genç çalışanların sahaya girmesi için fırsatlar yaratan siber güvenlik profesyonellerinin giderek azalmasıdır. Başarılı olmak için, bu daha az deneyimli kişilerin daha fazla eğitime ve desteğe ihtiyaçları var; bunlara gerçek zamanlı olarak öğrenmelerine yardımcı olacak sistemler ve yıkıcı hatalar yapmalarını önleyecek korkuluklar da dahil.
Son olarak, süreç hatalarını hedef alan saldırıların etkisi belirgin biçimde daha da kötüleşti. Kumarhane şirketi MGM ve temizlik ürünleri şirketi Clorox yakın zamanda fidye yazılımı olaylarının gelirlerini önemli ölçüde etkileyeceğini bildirdi. MGM vakasında hasar 100 milyon doların üzerindeydi.
En bilgili şirketler bile kamusal ve son derece utanç verici süreç başarısızlıklarına eğilimlidir. Son zamanlarda Okta’nın destek sistemlerinin kötü aktörler tarafından sosyal mühendislik taktikleri kullanılarak tehlikeye atılması, süreç başarısızlığının klasik bir örneğidir. Bu, Cloudflare ve 1Password gibi önde gelen müşterilerin acı verici ölüm sonrası bloglarına ve kalıcı kayıtlarında medyada geniş olumsuz yer almasına neden oldu.
Yeni Tehdit Türleri Yerine İnsanlara Yardım Etmeye Odaklanın
Başarısız süreçleri düzeltmenin en iyi yolu, insan operatörlere başka bir araç vermek değildir. Bunun yerine, onlara işleri (veya işin belirli bölümleri) hakkında tekrarlanabilir ve mantıklı bir düşünme yöntemi, bir süreç ve çerçeve verin. Teknoloji ekiplerinin, istedikleri sonuçları almalarını engelleyen tüm farklılıklar dahil, takip etmeye çalıştıkları süreçlere ilişkin görünürlüğe ihtiyacı var. Görünürlük kazanmak için sistematik, ölçeklenebilir ve isteğe bağlı bir yola ihtiyaçları var. Süreçler de dahil olmak üzere ölçülmeyen şeyin önemi yoktur.
Araçlarımızı seviyoruz ancak riski ve başarılı saldırıların sayısını gerçek anlamda azaltmak için güvenlik başarısızlıklarını bir teknoloji sorunu yerine bir süreç sorunu olarak görmeye başlamalıyız. Bu, güvenliğe farklı bir bakış açısı gerektiren derin bir değişim ancak çoğu siber güvenlik sorununun temel nedenini ele almak gerekiyor. Araçlar iyi gelebilir ve en son analist çeyreği kutusunu kontrol edebilir. Ancak süreci araştırmak, operatörleri eğitmek ve süreç anormalliklerini izlemek gerçek çözümdür.
yazar hakkında
“Süreç Madenciliği: Güvenlik Açısı” e-kitabının yazarı Aqsa Taylor, güvenlik operasyonları için süreç madenciliği konusunda uzmanlaşmış bir siber güvenlik girişimi olan Gutsy’de Ürün Yönetimi Direktörüdür. Bulut güvenliği konusunda uzman olan Aqsa, Palo Alto Networks tarafından 2019 yılında 410 milyon dolara satın alınan öncü konteyner güvenliği sağlayıcısı Twistlock’un ilk Çözüm Mühendisi ve Eskalasyon Mühendisi oldu. Aqsa, Palo Alto Networks’te aracısız hizmetin sunulmasından sorumlu Ürün Hattı Yöneticisi olarak görev yaptı. iş yükü güvenliği ve genel olarak iş yükü güvenliğinin Palo Alto Network’ün Bulut Yerel Uygulama Koruma Platformu olan Prisma Cloud’a entegre edilmesi. Aqsa, kariyeri boyunca Fortune 100 şirketlerinin %45’i de dahil olmak üzere farklı endüstri sektörlerinden birçok kurumsal kuruluşun bulut güvenliği görünümlerini geliştirmesine yardımcı oldu.