Google’da “üçüncü taraf veri ihlalleri” yazarsanız, üçüncü bir tarafa yapılan bir saldırının neden olduğu veya bir üçüncü taraf konumunda saklanan hassas bilgilerin açığa çıktığı birçok yeni veri ihlali raporu bulacaksınız. Üçüncü taraf veri ihlalleri, sektöre göre ayrım yapmaz, çünkü ister bir iş ortağı, yüklenici veya bayi, isterse BT yazılımı veya platformu veya başka bir hizmet sağlayıcısı olsun, hemen hemen her şirket bir tür satıcı ilişkisiyle çalışır. Bir araştırmaya göre, kuruluşlar artık ortalama 730 üçüncü taraf satıcıyla veri paylaşıyor. Osano’nun raporuve dijital dönüşümün hızlanmasıyla bu sayı daha da artacak.
Üçüncü Taraf Risk Yönetiminin Önemi
Bir araştırmaya göre, daha fazla kuruluş daha fazla üçüncü taraf satıcıyla veri paylaşırken, son iki yıldaki güvenlik olaylarının %50’den fazlasının erişim ayrıcalıklarına sahip bir üçüncü taraftan kaynaklanmış olması şaşırtıcı olmamalıdır. CyberRisk Alliance raporu.
Ne yazık ki çoğu güvenlik ekibi tedarik zinciri görünürlüğünün bir öncelik olduğu konusunda hemfikir olsa da, aynı rapora göre kuruluşların yalnızca %41’i en kritik tedarikçilerine ve yalnızca %23’ü tüm üçüncü taraf ekosistemlerine ilişkin görünürlüğe sahip.
Üçüncü Şahıs Risk Yönetimine (TPRM) yatırım yapılmamasının nedenleri sürekli olarak duyduğumuzla aynıdır – zaman eksikliği, para ve kaynak eksikliği ve satıcıyla çalışmak bir iş ihtiyacıdır. Peki, üçüncü taraf siber risk yönetiminin önündeki engellerin üstesinden gelmeyi nasıl kolaylaştırabiliriz? Otomasyon.
Otomasyonun Faydaları
Otomasyon, kuruluşların daha azıyla daha fazlasını yapmalarını sağlar. Güvenlik açısından, otomasyonun sağladığı avantajlardan bazıları şunlardır: Graphus tarafından vurgulanan:
- BT yöneticilerinin %76’sı bir siber güvenlik anketinde, otomasyonun güvenlik personelinin verimliliğini en üst düzeye çıkardığını söyledi.
- Güvenlik otomasyonu şunları yapabilir: %80’den fazla tasarruf edin manuel güvenlik maliyetinin üzerinde.
- şirketlerin %42’si siber güvenlik duruşlarını geliştirmedeki başarılarında güvenlik otomasyonunu önemli bir faktör olarak gösterdi.
TPRM ile ilgili olarak, otomasyon programınızı şu şekilde değiştirebilir:
1. Adım – Tedarikçilerinizi Sürekli Tehdit Maruz Kalma Yönetimi (CTEM) ile değerlendirin
Sürekli tehdide maruz kalma değerlendirmeleri, aşağıdakileri içeren kapsamlı değerlendirmeleri içerir:
- Otomatik varlık keşfi
- Harici altyapı/Ağ Değerlendirmeleri
- Web uygulaması güvenlik değerlendirmesi
- Tehdit istihbaratı bilgilendirilmiş analiz
- Karanlık web bulguları
- Daha doğru güvenlik derecelendirmesi
Bu, yalnızca anket göndermeye kıyasla üçüncü tarafların daha kapsamlı bir analizidir. Satıcının hızlı ve doğru bir şekilde yanıt vermesi koşuluyla, manuel bir anket süreci satıcı başına 8-40 saat sürebilir. Ancak bu yaklaşım, bir ankette güvenlik açıklarını görme veya gerekli kontrollerin etkinliğini doğrulama becerisine izin vermez.
Otomatikleştirilmiş bir tehdit maruziyeti değerlendirme yeteneğinin dahil edilmesi ve anketlerle entegre edilmesi, satıcıları inceleme süresini kısaltabilir ve kombinasyonun şunları sağlayabileceğini gördük: Yeni satıcıları değerlendirme ve kabul etme süresini %33 oranında azaltın.
Adım 2 – Bir Anket Değişimi Kullanın
Birçok anketi yöneten kuruluşlar veya birçok ankete yanıt veren satıcılar, bir anket değişimi kullanmayı düşünmelidir. Basitçe ifade edilirse, onaylandıktan sonra diğer ilgili taraflarla paylaşılabilen, tamamlanmış standart veya özel anketlerin barındırıldığı bir havuzdur.
Yukarıda açıklanan otomasyonu gerçekleştiren bir platform seçerseniz, her iki taraf da sürekli değerlendirmelerle otomatik olarak doğrulanan en son anketlere doğrulanmış ve otomatikleştirilmiş bir yaklaşım alır. Yine bu, mevcut anketlere erişim talebinde bulunarak veya istek üzerine yeniden kullanılabilecek yeni bir anketin yanıtında ekibinizin zamanını ölçeklendirerek ekibinize zaman kazandırabilir.
3. Adım – Tehdit maruz kalma bulgularını sürekli olarak anket değişimiyle birleştirin
Güvenlik derecelendirmeleri tek başına işe yaramaz. Üçüncü tarafları değerlendirmek için anketleri tek başına kullanmak işe yaramaz. Doğrulanmış anketlerle (anketin değerlendirmeyi sorguladığı ve güvenlik derecelendirmesini güncellediği) doğrudan değerlendirmelerden alınan doğru güvenlik derecelendirmelerini içeren tehdit maruziyeti yönetimi, sürekli Üçüncü Taraf Risk Yönetimi için size güçlü bir çözüm sunar. Aktif ve pasif değerlendirmeler kullanan ve yalnızca geçmiş OSINT verilerine dayanmayan platformlar, o sırada bir üçüncü taraf olduğundan, en doğru saldırı yüzeyi görünürlüğünü sağlar.
Bu bilgi, güvenlik ve uyumluluk çerçevesi gereklilikleri için anketteki geçerli kontrolleri otomatik olarak doğrulamak ve müşteri yanıtı ile teknoloji değerlendirme bulgusu arasındaki herhangi bir tutarsızlığı işaretlemek için kullanılabilir. Bu, kuruluşlara üçüncü taraf incelemelerine karşı gerçek bir “güven ama doğrula” yaklaşımı sağlar. Bu hızlı bir şekilde yapılabildiğinden, üçüncü şahıslar belirli teknik kontrollere uyumsuz hale geldiğinde bilgilendirilebilirsiniz.
Üçüncü taraf siber risk yönetimi programlarının verimliliğini en üst düzeye çıkarmak isteyen kuruluşlar, süreçlerine otomasyon eklemeye çalışmalıdır. Daha zorlu makro-ekonomik ortamlarda şirketler, ekip üyelerinin diğer girişimlere odaklanabilmesi karşılığında ilerleme ve sonuçlara ulaşmaya devam ederken ekiplerinin yaptığı zahmeti azaltmak için otomasyona dönebilir.
Not: Eski bir CISO olan CISSP’den Victor Gamra bu makaleyi yazdı ve sağladı. Aynı zamanda endüstri lideri Sürekli Tehdit Maruz Kalma Yönetimi (CTEM) firması olan FortifyData’nın Kurucusu ve CEO’sudur. FortifyData, otomatik saldırı yüzeyi değerlendirmeleri, varlık sınıflandırması, risk tabanlı güvenlik açığı yönetimi, güvenlik derecelendirmeleri ve üçüncü taraf risk yönetimi hepsi bir arada bir siber risk yönetimi platformuna. Daha fazla bilgi edinmek için lütfen ziyaret edin www.fortifydata.com.
