CTEM 101 – Sürekli Tehdit Maruziyeti Yönetimi ile Güvenlik Açığı Yönetiminin Ötesine Geçin

12 Mart 2024Hacker HaberleriCTEM / Güvenlik Açığı Yönetimi

Sürekli genişleyen bir jargon dünyasında, sözlüğünüze başka bir FLA (Dört Harfli Kısaltma) eklemek, yapmak isteyeceğiniz son şey gibi görünebilir. Ancak, güvenlik duruşunuzda önemli ve tutarlı iyileştirmeler yaparken ortamınızdaki riski sürekli olarak azaltmanın yollarını arıyorsanız, bizim görüşümüze göre muhtemelen bir güvenlik sistemi oluşturmayı düşünebilirsiniz. Sürekli Tehdit Maruziyeti Yönetimi (CTEM) programı.

CTEM, saldırı simülasyonunu, risk önceliklendirmesini ve iyileştirme rehberliğini tek bir koordineli süreçte birleştiren bir siber risk yönetimi yaklaşımıdır. Sürekli Tehdit Maruziyeti Yönetimi terimi ilk olarak Gartner ® raporunda ortaya çıktı: Sürekli Tehdit Maruziyeti Yönetimi Programının Uygulanması (CTEM) (Gartner, 21 Temmuz 2022). O zamandan beri dünya çapındaki kuruluşların bu entegre, sürekli yaklaşımın faydalarını gördüklerini gördük.

Web Semineri: CTEM Çerçevesi Neden ve Nasıl Benimsenir?

XM Cyber, 27 Mart’ta Gartner Başkan Yardımcısı Analisti Pete Shoard’ın CTEM çerçevesinin benimsenmesiyle ilgili bir web seminerine ev sahipliği yapıyor; katılamasanız bile isteğe bağlı bir bağlantı paylaşacağız, kaçırmayın!

En Riskli Alanlara Odaklanın

Peki CTEM neden popüler ve daha da önemlisi, zaten aşırı kalabalık olan Güvenlik Açığı Yönetimi dünyasında nasıl gelişebilir?

CTEM’in merkezinde, kritik varlıklara yönelik gerçek, eyleme dönüştürülebilir risklerin keşfedilmesi yer alır. Herkes bir kuruluşun ortamındaki güvenlik iyileştirmelerini tespit edebilir. Sorun, açıkları bulmak değil, bunların altında ezilmek ve hangisinin kritik varlıklar için en fazla riski oluşturduğunu bilmektir.

Bize göre bir CTEM programı size şu konularda yardımcı olur:

1. En çok açığa çıkan varlıklarınızı ve bir saldırganın bunlardan nasıl yararlanabileceğini belirleyin
2. Potansiyel ihlallerin etkisini ve olasılığını anlayın
3. En acil riskleri ve güvenlik açıklarını önceliklendirin
4. Bunları nasıl düzeltebileceğinize dair uygulanabilir öneriler alın
5. Güvenlik duruşunuzu sürekli izleyin ve ilerlemenizi takip edin

Bir CTEM programıyla, “saldırganın görüşünü” alabilir, ortamınızdaki kusurları bir saldırgan tarafından kullanılma olasılıklarıyla çapraz referanslandırabilirsiniz.. Sonuç olarak, daha sonra güvenli bir şekilde ele alınabilecek riskler de dahil olmak üzere, adrese yönelik risklerin önceliklendirilmiş bir listesi ortaya çıkar.

CTEM Programının Beş Aşaması

CTEM, belirli bir ürün veya hizmetten ziyade, siber güvenlik açıklarını beş aşamada azaltan bir programdır:

1. Kapsam belirleme – Gartner’a göre, “CTEM girişiminin kapsamını tanımlamak ve daha sonra iyileştirmek için güvenlik ekiplerinin öncelikle iş arkadaşları için neyin önemli olduğunu ve hangi etkilerin (bir üretim sisteminin gerekli kesintisi gibi) muhtemel olduğunu anlaması gerekir. işbirlikçi iyileştirme çabalarını gerektirecek kadar ciddi.”
2. Keşif – Gartner şöyle diyor: “Kapsam belirleme tamamlandıktan sonra, varlıkların ve bunların risk profillerinin keşfedilmesine yönelik bir sürecin başlatılması önemlidir. Kapsam belirleme süreci tarafından belirlenen iş alanlarındaki keşiflere öncelik verilmelidir; Her zaman itici güç. Maruz kalma keşfi, güvenlik açıklarının ötesine geçer: varlıkların ve güvenlik kontrollerinin yanlış yapılandırılmasını içerebilir, ancak aynı zamanda sahte varlıklar veya kimlik avı testine verilen kötü yanıtlar gibi diğer zayıflıkları da içerebilir.”
3. Önceliklendirme – Gartner, bu aşamada şöyle diyor: “Tehdit yönetiminin amacı, tanımlanan her sorunu veya örneğin en sıfır gün tehditlerini iyileştirmeye çalışmak değil, daha ziyade kuruluşa karşı kullanılması en muhtemel tehditleri belirlemek ve ele almaktır. ” Gartner ayrıca şunları belirtiyor: “Kuruluşlar, önceden tanımlanmış temel şiddet puanları aracılığıyla riskleri önceliklendirmenin geleneksel yollarını kullanamazlar; çünkü kuruluş üzerindeki potansiyel etkiyi yansıtmak için istismar yaygınlığını, mevcut kontrolleri, hafifletme seçeneklerini ve iş kritikliğini hesaba katmaları gerekir.
4. Doğrulama – Gartner’a göre bu aşama, “bir kuruluşun potansiyel saldırganların tanımlanmış bir riskten gerçekten nasıl yararlanabileceğini ve izleme ve kontrol sistemlerinin nasıl tepki verebileceğini doğrulayabileceği sürecin bir parçasıdır.” Gartner ayrıca Doğrulama adımının hedeflerinin, saldırganların önceden keşfedilen ve önceliklendirilen risklerden gerçekten yararlanabileceğini doğrulayarak “olası” saldırı başarısını “değerlendirmeyi” içerdiğini belirtiyor.
5. Seferberlik – Gartner şöyle diyor: “Başarıyı garantilemek için güvenlik liderleri, iyileştirmenin tamamen otomatikleştirilemeyeceğini tüm paydaşlara anlamalı ve bu konuda iletişim kurmalıdır.” Rapor ayrıca şunu belirtiyor: “‘seferberlik’ çabasının amacı, ekiplerin onay, uygulama süreçleri ve hafifletme dağıtımlarındaki anlaşmazlıkları azaltarak CTEM bulgularını operasyonel hale getirmesini sağlamaktır. Kuruluşların iletişim standartlarını (bilgi gereksinimleri) ve belgelenmiş çaprazları tanımlamasını gerektirir. -ekip onayı iş akışları.”

CTEM ve Alternatif Yaklaşımlar

Güvenlik duruşunu anlamak ve geliştirmek için bazıları onlarca yıldır kullanılan çeşitli alternatif yaklaşımlar vardır.

• Güvenlik Açığı Yönetimi/RBVM Güvenlik açıklarını tespit etmek için tarama yaparak ve ardından statik bir analize dayalı olarak bunları önceliklendirerek ve düzelterek riskin azaltılmasına odaklanır. Analiz edilmesi gereken varlıkların sayısı ve giderek artan sayıda tespit edilen güvenlik açığı göz önüne alındığında otomasyon hayati önem taşıyor. Ancak RBVM, CVE’leri tanımlamakla sınırlıdır ve kimlik sorunlarını ve yanlış yapılandırmaları ele almaz. Ayrıca, iyileştirmeyi doğru bir şekilde önceliklendirmek için gereken bilgilere sahip değildir ve bu da genellikle yaygın birikmelere yol açar.
• Kırmızı Takım egzersizleri Siber güvenlik savunmalarının manuel, pahalı ve belirli bir zamanda yapılan testleridir. Zamanın belirli bir noktasında başarılı bir saldırı yolunun mevcut olup olmadığını belirlemeye çalışırlar ancak risklerin tamamını tanımlayamazlar.
• Benzer şekilde, Penetrasyon testi Risk değerlendirmesi için bir test metodolojisi kullanır ve belirli bir zamanda sonuç sağlar. Ağ ve sistemlerle aktif etkileşimi içerdiğinden, kesinti riski nedeniyle genellikle kritik varlıklar açısından sınırlıdır.
• Bulut Güvenliği Duruş Yönetimi (CSPM) yalnızca bulut ortamlarındaki yanlış yapılandırma sorunlarına ve uyumluluk risklerine odaklanır. Önemli olmasına rağmen uzak çalışanları, şirket içi varlıkları veya birden fazla bulut satıcısı arasındaki etkileşimleri dikkate almaz. Bu çözümler, farklı ortamlar arasında geçen saldırı risklerinin tam yolundan habersizdir; bu, gerçek dünyada yaygın bir risktir.

CTEM programına dayalı bir yaklaşımın aşağıdaki avantajları sunduğu kanaatindeyiz:

• Tüm varlıkları (bulut, şirket içi ve uzak) kapsar ve hangilerinin en kritik olduğunu bilir.
• Geleneksel CVE’ler, kimlikler ve yanlış yapılandırmalar gibi her türlü riskin sürekli olarak keşfedilmesi.
• Saldırganın bakış açısına gerçek dünya içgörüleri sunma
• Bu yolları en az düzeltmeyle ortadan kaldırmak için iyileştirme çabalarına öncelik vermek
• Güvenilir, tekrarlanan iyileştirmeler için iyileştirme tavsiyesi sağlamak

CTEM’in Değeri

CTEM yaklaşımının, bazıları onlarca yıldır kullanımda olan alternatiflere göre önemli avantajlara sahip olduğunu düşünüyoruz. Temelde, kuruluşlar riskleri tanımlamak, onları hiç bitmeyen “yapılacaklar” listelerine eklemek, bu listeleri doldurmak için sayısız zaman harcamak ve yine de net bir fayda elde etmek için yıllarını harcadılar. CTEM ile keşif ve önceliklendirmeye yönelik daha düşünceli bir yaklaşım aşağıdaki yollarla değer katar:

• Genel riski hızlı bir şekilde azaltmak
• Her iyileştirmenin değerini artırmak ve potansiyel olarak kaynakları serbest bırakmak
• Güvenlik ve BT ekipleri arasındaki uyumun iyileştirilmesi
• Tüm süreç için ortak bir görüş sağlamak, sürekli iyileştirmeyi teşvik eden olumlu bir geri bildirim döngüsünü teşvik etmek

CTEM’e Başlarken

CTEM belirli bir hizmet veya yazılım çözümünden ziyade bir süreç olduğundan, başlamak bütünsel bir çabadır. Organizasyonel katılım kritik bir ilk adımdır. Diğer hususlar şunları içerir:

• Süreçleri ve veri toplamayı doğru yazılım bileşenleriyle desteklemek
• Kritik varlıkların tanımlanması ve iyileştirme iş akışlarının güncellenmesi
• Doğru sistem entegrasyonlarını gerçekleştirmek
• Uygun yönetici raporlamasının ve güvenlik duruşunun iyileştirilmesine yönelik bir yaklaşımın belirlenmesi

Bizim görüşümüze göre, bir CTEM programıyla kuruluşlar Güvenlik ve BT için ortak bir risk dili geliştirebilir; ve her bir maruziyet için risk seviyesinin netleşmesini sağlayın. Bu, mevcut binlerce risk arasında gerçekten risk oluşturan bir avuç riskin anlamlı ve ölçülebilir bir şekilde ele alınmasını sağlar.

CTEM programınıza nasıl başlayacağınız hakkında daha fazla bilgi için XM Cyber’in teknik incelemesine göz atın, XM Cyber, Gartner®’ın Sürekli Tehdit Maruziyeti Yönetimi (CTEM) Çerçevesini Operasyonelleştirmeye İlişkin.