2024’te SecOps’taki en son ve en iyi şeyin ne olduğunu bilmek ister misiniz? Gartner’ın yakın zamanda yayınlanan Hype Cycle for Security Operations raporu, Sürekli Tehdit Maruziyeti Yönetimi, diğer adıyla CTEM alanını düzenlemek ve olgunlaştırmak için önemli adımlar atıyor. Bu alandaki üç kategori bu yılki rapora dahil edildi: Tehdit Maruziyeti Yönetimi, Maruziyet Değerlendirme Platformları (EAP) ve Saldırgan Maruziyet Doğrulaması (AEV).
Bu kategori tanımları, maruziyet yönetimi teknolojilerinin gelişen manzarasına bir miktar yapı sağlamayı amaçlamaktadır. Pentera, listelenmiştir örnek satıcı olarak yeni tanımlanan AEV kategorisinde, güvenlik doğrulamaya odaklanarak CTEM’in benimsenmesini artırmada önemli bir rol oynamaktadır. Aşağıda CTEM ile ilgili ürün kategorileri ve bunların kurumsal güvenlik liderleri için ne anlama geldiğine ilişkin görüşlerimiz yer almaktadır.
Sektör Olgunlaşıyor
Gartner tarafından 2022’de ortaya atılan CTEM, bir organizasyonun saldırı yüzeyindeki riskleri sürekli olarak değerlendirmek, önceliklendirmek, doğrulamak ve düzeltmek için yapısal bir yaklaşım sunarak işletmelerin en kritik risklere yanıt seferber etmesini sağlar. Belirlediği çerçeve, sürekli büyüyen bir saldırı yüzeyini yönetilebilir hale getirmeye yardımcı olur.
Kategorilerin yakın zamanda yeniden düzenlenmesi, işletmelerin CTEM uygulamasını desteklemek için en iyi donanıma sahip güvenlik satıcılarını belirlemelerine yardımcı olmayı amaçlıyor.
Tehdit Maruziyeti Yönetimi, bir CTEM programının yönetimi altında tehdit maruziyetini yönetmek için kullanılan genel teknoloji ve süreç kümesini temsil eder. Aşağıda açıklanan iki yeni CTEM ile ilgili kategoriyi kapsar.
Güvenlik Açığı Değerlendirmesi ve Güvenlik Açığı Önceliklendirme Teknolojisi yetenekleri tek bir yeni kategoride birleştirildi: Maruziyet Değerlendirme Platformları (EAP). EAP’ler güvenlik açığı yönetimini kolaylaştırmayı ve operasyonel verimliliği artırmayı hedefliyor, şüphesiz Gartner’ın bu kategoriye yüksek bir fayda derecesi vermesinin nedeni bu.
Bu arada, Adversarial Exposure Validation (AEV), Breach and Attack Simulation’ı (BAS) Otomatik Pentesting ve Red Teaming ile birleştirerek, sürekli, otomatik maruz kalma kanıtı sağlamaya odaklanan yeni oluşturulmuş bir işleve dönüştürüyor. AEV’nin, siber dayanıklılığı saldırgan bakış açısından doğrulama ve gerçek dünya saldırı teknikleriyle kuruluşun BT savunmalarına meydan okuma becerisi nedeniyle büyük bir pazar büyümesine sahip olması bekleniyor.
EAP’ler neler sunuyor?
Birkaç şey, ancak başlangıç için, güvenlik açıklarını önceliklendirmek için CVSS puanlarına daha az bağımlı olmanızı sağlarlar. Yararlı bir gösterge olsa da, sadece bir göstergedir. CVSS puanı, belirli ortamınız ve tehdit manzaranız bağlamında bir güvenlik açığının ne kadar istismar edilebilir olduğunu söylemez. Bir EAP kurulumunda sağlanan veriler, tehdit istihbaratı ve varlık kritikliği bilgileriyle çok daha fazla bağlamsallaştırılmıştır. Okyanuslarca veri noktası yerine eylemi destekleyen bir şekilde içgörüler sunar.
Bu ek bağlamlaştırma, güvenlik açıklarının bir iş riski oluşturma açısından işaretlenebileceği anlamına da gelir. Hiç kimsenin kullanmadığı ve hiçbir şeye bağlı olmayan kötü yapılandırılmış bir cihazın yamalanması gerekir mi? EAP’ler, yalnızca istismar edilebilir değil, aynı zamanda verileri veya operasyonel sürekliliği açısından iş açısından önemli varlıklara yol açan güvenlik açıklarını ele almaya yönelik çabaları yönlendirmeye yardımcı olur.
AEV’nin Değeri?
EAP’ler, maruz kalma bağlamı sağlamak için taramaları ve veri kaynaklarını kullanırken, istismar edilebilir saldırı yollarının gerçek kanıtı olmadan teorik veri analiziyle sınırlıdır. Ve AEV’nin devreye girdiği yer burasıdır, bir saldırganın bakış açısından maruz kalmaları doğrular. AEV, belirli ortamınızda hangi güvenlik açıklarının gerçekten istismar edilebilir olduğunu ve istismar edilirlerse bir saldırganın ne kadar ileri gidebileceğini görmek için düşmanca saldırılar yürütmeyi içerir.
Kısacası, AEV tehditleri oyun kitabından oyun alanına taşıyor.
Ancak başka faydaları da var; kırmızı bir takımı yönetmeyi çok daha kolay hale getiriyor. Kırmızı takımlar, geliştirilmesi ve elde edilmesi zor olan benzersiz bir yetenek ve araç seti gerektirir. Çok sayıda kırmızı takım görevini yürütmek için otomatik bir AEV ürününe sahip olmak, bu giriş eşiğini düşürmeye yardımcı olur ve size üzerine inşa edebileceğiniz makulden daha iyi bir temel çizgi sağlar.
AEV ayrıca büyük bir saldırı yüzeyinin daha yönetilebilir olmasına yardımcı olur. Güvenlik personelinin yükünü hafifleterek, otomatik test çalışmaları rutin olarak, tutarlı bir şekilde ve birden fazla konumda yürütülebilir ve bu da kırmızı takıma katılmak isteyen herkesin yalnızca yüksek öncelikli alanlara odaklanmasını sağlar.
Zorluların Başladığı Yer
Her şey güllük gülistanlık olmasa da, şirketlerin Tehdit Maruziyeti Yönetimi girişimlerinden tam potansiyel elde etmek için budaması gereken bazı dikenler de var.
EAP söz konusu olduğunda, uyumluluk ve CVSS puanlarının ötesinde düşünmek önemlidir. Değerlendirmeleri kutucuk işaretleme etkinlikleri olarak görmekten bir zihniyet değişikliği gereklidir. Bu sınırlı bağlamda, güvenlik açıkları izole tehditler olarak listelenir ve güvenlik açıkları olduğunu bilmek ile bu güvenlik açıklarını istismar edilebilirliklerine ve potansiyel etkilerine göre önceliklendirmek arasındaki farkı kaçırırsınız.
AEV tarafında, bir zorluk tüm temelleri kapsayacak doğru teknoloji çözümünü bulmaktır. Birçok satıcı saldırı simülasyonları ve/veya otomatik penetrasyon testleri sunsa da, bunlar genellikle ayrı işlevler olarak görülür. Hem güvenlik kontrollerinin gerçek etkinliğini hem de güvenlik kusurlarının gerçek istismar edilebilirliğini doğrulamak isteyen güvenlik ekipleri, birden fazla ürünü ayrı ayrı uygulamayı tercih edebilir.
Gidiş Proaktif Olun
CTEM çerçevesinin iki yıl önce tanıtılmasından bu yana geçirdiği evrim, proaktif risk maruziyetini azaltma zihniyetine yönelik kritik ihtiyacın giderek daha fazla kabul gördüğünü gösteriyor. Hype Cycle’da sunulan yeni kategorizasyon, bu alandaki ürünlerin giderek artan olgunluğunu yansıtıyor ve CTEM’in operasyonel hale getirilmesini destekliyor.
AEV kategorisine gelince, önerimiz BAS ve penetrasyon testi yeteneklerini sorunsuz bir şekilde entegre edecek bir çözüm kullanmanızdır, çünkü bu çoğu araç için ortak bir özellik değildir. Saldırgan tekniklerini doğru bir şekilde kopyalayan ve operasyonel talepleri kolaylaştıran ajansız teknolojileri arayın. Bu benzersiz kombinasyon, güvenlik ekiplerinin güvenlik duruşlarını sürekli olarak ve gerçek dünyayla ilgili olarak doğrulayabilmelerini sağlar.
Pentera’nın, kuruluşların en son tehditlere karşı sürekli olarak doğrulanan sağlam ve dinamik bir güvenlik duruşunu sürdürmesini sağlayan herhangi bir CTEM stratejisinin temel bir unsuru olarak nasıl kullanıldığı hakkında daha fazla bilgi edinin.
Sürekli Tehdit Maruziyeti Yönetimi (CTEM) hakkında daha fazla bilgi edinmek için, XPOSURE Zirvesi 2024’e katılınPentera tarafından sunulan ve Gartner® 2024 Güvenlik Operasyonları Hype Döngüsü rapor.