Saldırı yüzeyi eskisi gibi değil ve korunması bir kabusa dönüşüyor. Sürekli genişleyen ve gelişen bir saldırı yüzeyi, işletmeye yönelik riskin fırladığı ve mevcut güvenlik önlemlerinin onu korumakta zorlandığı anlamına geliyor. Bu makaleye tıkladıysanız, büyük ihtimalle bu riski yönetmek için çözümler arıyorsunuzdur.
2022’de Gartner, bu zorlukları ele almak için yeni bir çerçeve geliştirdi – Sürekli Tehdit Maruziyeti Yönetimi (CTEM). O zamandan beri, bu çerçeveyi uygulamaya koymak, yüksek düzeyde güvenlik hazırlığı ve dayanıklılığını sürdürme yönünde yapması beklenen derin iyileştirmeler nedeniyle birçok kuruluşta bir öncelik haline geldi.
“2026 yılına kadar güvenlik yatırımlarını sürekli bir maruz kalma yönetim programına göre önceliklendiren kuruluşların bir ihlale maruz kalma olasılığı üç kat daha az olacak.” Gartner, “Siber Güvenlik Tehditlerini Nasıl Yönetirsiniz, Bölümleri Değil”, 21 Ağustos 2023
CTEM, saldırı yüzeyinin ve içindeki açıklıkların sürekli ve kapsamlı bir görünümünü sağlayarak, güvenlik kontrollerinin açıklıkların potansiyel istismarını etkili bir şekilde engelleyip engellemediğini test eder ve ardından seçilen güvenlik açıklarını gidermeye yönelik seferberliği kolaylaştırır.
CTEM’i benimsemek, birçok farklı ve hareketli parçanın orkestrasyonunu içerdiğinden hızla bunaltıcı hale gelebilir. İşletme genelinde dijital varlıkları, iş yüklerini, ağları, kimlikleri ve verileri bir araya getirmek. Bu nedenle, bunu basitleştirmek için çerçeveyi temellerine ayırdık ve maruziyet yönetimini yönetilebilir hale getirme sürecinde size rehberlik eden yönetilebilir adımlar sağladık.
Sütun #1: Saldırı Yüzeyinin Görünürlüğünü Genişletin
Varlık yönetimiyle ilgili birincil zorluk, sınırlı kapsamıdır. Genellikle yalnızca şirket içi güvenlik açıklarına odaklanarak saldırı yüzeyinin yalnızca kesitsel bir görünümünü sağlar ve ürettiği güvenlik açığı verilerine yönelik işlem yapma kapsamı yoktur.
CTEM, kuruluşların gerçek güvenlik risk profillerini daha iyi anlamalarına yardımcı olmak için saldırı yüzeyindeki (dahili, harici ve bulut) her türlü açığa ilişkin daha fazla görünürlük sağlar.
Süreç, dijital varlıklar için ortamın aşamalı olarak kapsamlandırılmasıyla başlar. Aşağıdakilerden birini içeren bir başlangıç kapsamı öneriyoruz:
- Daha küçük bir kapsama sahip olma eğiliminde olan ve büyüyen bir araç ekosistemi tarafından desteklenen harici saldırı yüzeyi.
- SaaS çözümlerinin giderek daha fazla kritik iş verilerini barındırması nedeniyle, riskler hakkında daha kolay iletişim kurulmasını sağlayan SaaS araçları.
İkinci aşamada, saldırı yüzeyine daha fazla görünürlük kazandıran dijital risk korumasını da kapsam kapsamına dahil etmeyi düşünün.
Kapsam belirlendikten sonra, kuruluşlar yüksek öncelikli varlıklardaki riskleri keşfederek risk profillerini belirlemelidir. Ayrıca, özellikle güvenlik kontrolleriyle ilgili olarak varlıkların yanlış yapılandırılmasını ve sahte varlıklar veya kimlik avı testlerine zayıf yanıtlar gibi diğer zayıflıkları da içermelidir.
Sütun #2: Güvenlik Açığı Yönetiminizi Bir Üst Seviyeye Taşıyın
Güvenlik Açığı Yönetimi (VM), uzun zamandır birçok kuruluşun siber güvenlik stratejilerinin temel taşı olmuştur ve bilinen CVE’leri belirlemeye ve bunlara karşı yama yapmaya odaklanmıştır. Ancak, BT ortamının artan karmaşıklığı ve tehdit aktörlerinin gelişmiş yetenekleriyle, VM tek başına artık kuruluşun siber güvenlik duruşunu sürdürmek için yeterli değildir.
Bu, her yıl yayınlanan CVE’lerin artan sayısı dikkate alındığında özellikle belirgindir. Sadece geçen yıl, 29.085 CVE vardı ve yalnızca %2-7 bunların vahşi doğada hiç istismar edilmedi. Bu, yama-mükemmel hale gelmeyi gerçekçi olmayan bir hedef haline getirir, özellikle de bu, yanlış yapılandırmalar, Active Directory sorunları, desteklenmeyen üçüncü taraf yazılımları, çalınan ve sızdırılan kimlik bilgileri ve daha fazlası gibi yama yapılamayan güvenlik açıklarını hesaba katmadığı için, 2026 yılına kadar kurumsal risklerin %50’sinden fazlası.
CTEM, CVSS puanları, kronoloji veya satıcı puanlamasının aksine, kritik varlıklar üzerindeki risk etkileri ve istismar edilebilirliklerine göre riskleri önceliklendirmeye odaklanır. Bu, kuruluşun sürekliliği ve hedefleri açısından en hassas dijital varlıkların önce ele alınmasını sağlar.
Bu nedenle önceliklendirme, kolayca istismar edilebilen ve aynı anda hassas dijital varlıklara erişim sağlayan güvenlik açıklarına dayanır. Her ikisinin birleşimi, genellikle keşfedilen tüm ifşaların bir kısmını temsil eden bu ifşaların önceliklendirilmesine neden olur.
Sütun #3 Doğrulama CTEM’i teoriden kanıtlanmış stratejiye dönüştürür
CTEM stratejisinin son ayağı olan doğrulama, güvenlik açıklarının istismarını önleme mekanizmasıdır. Güvenlik kontrollerinin sürekli etkinliğini sağlamak için doğrulamanın saldırgan yöntemlerini taklit ederek saldırgan nitelikte olması gerekir.
Bir saldırgan gibi ortamınızı test etmek için dört strateji vardır; her biri rakiplerin kullandığı teknikleri yansıtır:
- Grafiklerle düşünün – Savunmacılar genellikle varlıklar veya güvenlik açıkları içeren listeler halinde düşünürken, saldırganlar grafikler halinde düşünür ve ağın çeşitli bileşenleri arasındaki ilişkileri ve yolları haritalandırır.
- Testleri otomatikleştirin – Manuel penetrasyon testi, üçüncü taraf pentester’ın güvenlik kontrollerinizi stres testine tabi tutmasını içeren maliyetli bir işlemdir. Kuruluşlar test edebilecekleri kapsam açısından sınırlıdır. Buna karşılık, saldırganlar saldırıları hızlı, verimli ve ölçekli bir şekilde yürütmek için otomasyondan yararlanır.
- Gerçek saldırı yollarını doğrulayın – Saldırganlar izole edilmiş güvenlik açıklarına odaklanmazlar; tüm saldırı yolunu dikkate alırlar. Etkili doğrulama, ilk erişimden istismar edilen etkiye kadar tüm yolu test etmek anlamına gelir.
- Sürekli test edin – Manuel sızma testleri genellikle yılda bir veya iki kez periyodik olarak yapılır; ancak “sprintler” veya kısa, yinelemeli döngüler halinde yapılan testler, savunmacıların BT değişim hızına uyum sağlamasını ve ortaya çıkan riskleri ele alarak tüm saldırı yüzeyini korumasını sağlar.
CTEM: Şimdi Yatırım Yapın – Sonuçları Sürekli Olarak Toplayın
Bir CTEM stratejisindeki tüm farklı insan, süreç ve araç unsurlarıyla bunalmak kolaydır. Ancak, birkaç şeyi aklınızda bulundurun:
- Sıfırdan başlamıyorsunuz. Varlık yönetiminiz ve güvenlik açığı yönetim sistemleriniz zaten yerinde, buradaki odak noktası kapsamlarını genişletmek. Araçlarınızın BT ortamınızın tüm saldırı yüzeyini kapsamlı bir şekilde kapsadığından ve sürekli olarak değişim hızına göre güncellendiğinden emin olun.
- Bunu sürekli bir iyileştirme süreci olarak düşünün. CTEM çerçevesini uygulamak, keşif, azaltma ve doğrulamanın çevik bir döngüsü haline gelir. İş asla gerçekten bitmez. Kuruluşunuz büyüdükçe ve olgunlaştıkça, BT altyapınız da büyür ve olgunlaşır.
- Doğrulamayı CTEM stratejinizin merkezine koyun. Bu, güvenlik operasyonlarınızın teste tabi tutulduğunda ayakta kalacağını bilmenizi sağlar. Herhangi bir zamanda, nerede durduğunuzu bilmelisiniz. Belki de her şey yolundadır, ki bu harika. Alternatif olarak, bir boşluk tanımlanabilir, ancak şimdi bu boşluğu, aşağı yönlü etkinin ne olacağının tamamen farkında olarak, reçeteli bir yaklaşımla doldurabilirsiniz.
Daha fazla bilgi edin Pentera ile doğrulama odaklı bir CTEM stratejisinin nasıl uygulanacağı hakkında.