Giriş
Son yıllarda siber güvenlik alanında Attack Surface Management (ASM) araçları, riskleri azaltma vaadiyle dikkat çekmektedir. Ancak, bu araçların sağladığı bilgi miktarının, gerçek risk azaltmaya ne ölçüde katkıda bulunduğu çoğu zaman belirsiz kalmaktadır.
ASM Araçlarının Vaatleri ve Gerçeklik
ASM programlarının temelinde yatan fikir, “görmediğiniz şeyi koruyamazsınız” prensibidir. Bunun sonucunda, ekipler aşağıdaki unsurlara odaklanmaktadır:
- Alan adları ve alt alan adları
- IP adresleri ve bulut kaynakları
- Üçüncü parti altyapıları
- Kısa ömürlü varlıklar
Zamanla, raporlar artar ve kapsam genişler. Ancak bu ölçümler, organizasyonun gerçekten daha güvenli olup olmadığına dair doğrudan bir yanıt sağlamaz. Çoğu durumda, ekipler daha meşgul hale gelirken, korunmasızlık hissi artmaktadır.
ASM’nin Etkili Olmadaki Zorluğu
ASM, genellikle kapsamı optimize etmekle çerçevelenmiş durumda; bu da ölçmesi kolay olan bir durumdur. Ancak bu durum, çıktıları değil, girdileri ölçmektedir.
Ekiplerin deneyimlediği zorluklar arasında:
- Alarm yorgunluğu
- “Bilinen ama çözülemeyen” varlıklarda uzun bekleme süreleri
- İçsel mülkiyet karmaşası
- Uzun süre devam eden sergilere maruz kalma
Gerçek iş yükü mevcuttur, ancak risk azaltma daha zor görünmektedir.
Ölçüm Kopukluğu
ASM ROI’sini kanıtlamak zor çünkü çoğu ASM metriği, sistemin görebildiği verilere odaklanmaktadır.
Yaygın olarak takip edilen ASM metrikleri:
- Varlık sayısı
- Değişiklik sayısı
Ancak, daha önemli metrikler genellikle takip edilmemektedir:
- Riskli varlıkların sahipliğini alma süresi
- Tehlikeli sergilerin ne kadar süre kaldığı
- Saldırı yollarının zamanla gerçekten daralıp daralmadığı
Varlık envanteri, dış saldırı yüzeyini ölçmek için temeldir. Ancak geniş keşif olmadan, maruz kalmayı anlamak imkansızdır. Keşif metrikleri, riskin gerçekten azaltılıp azaltılmadığını gösteren ölçümlerle birleştirilmediğinde kopukluk ortaya çıkar.
Anlamlı ROI Ne Olur?
“Kaç varlık keşfettik?” yerine “Maruz kalmayı daha hızlı ve güvenli bir şekilde nasıl yönettik?” sorusunun sorulması, ROI’yi görünürlükten yanıt kalitesine ve maruz kalma süresine kaydırır.
Gerçekten Önemli Üç Sonuç Metriği
1. Varlık Sahipliği için Ortalama Süre
“Sahibi kim?” sorusunu cevaplamak ne kadar zaman alıyor? Belirsizlik içindeki varlıklar:
- Daha uzun süre bekler
- Daha geç güncellenir
- Tamamen unutulma olasılığı daha yüksektir
Sahiplik süresinin kısaltılması, hesapsız kalma süresini kısaltır. Bu, ASM bulgularının eyleme dönüştüğünün en net sinyallerinden biridir.
2. Doğrulanmamış ve Durum Değiştiren Uç Noktalarda Azalma
Bütün varlıklar eşit derecede önemli değildir.
Dış uç noktaların durum değiştirme yetenekleri ve kimlik doğrulama gereksinimleri, bir saldırı yüzeyinin gerçekten küçülüp küçülmediğine dair daha güçlü bir sinyal sunar.
3. Sahipliği Kaybettikten Sonra Emekliye Ayırma Süresi
Maruz kalma, ekip değişiklikleri ve uygulama sona ermesi gibi durumlarla devam edebilir.
Sahiplik kaybolduğunda varlıkların ne kadar hızlı emekliye ayrıldığını ölçmek, uzun dönem hijyeninin güçlü göstergelerindendir.
Uygulamaların Gerçekleşmesi
Soyut metrikler, hem anlaşılması kolay hem de uygulanması zor olan verilerdir. Amaç, yeni bir gösterge paneli yaratmak veya farklı bir alarm seti değil, görünür kılınmayan konulardaki farklardır: sahiplik boşlukları, maruz kalma süresi ve çözülmemiş risk.
ASM’yi Bir Kontrole Dönüştürmek
ASM, ekiplerin daha fazla çalışmaması nedeniyle zorlanmamaktadır; çaba, yöneticilerin önemseyebileceği sonuçlarla tutarlı bir şekilde bağlanmadığı için zorluklar yaşanmaktadır.
ROI’yi hız, sahiplik ve maruz kalma süresi etrafında yeniden çerçevelemek, gerçek ilerlemeyi gösterme olanağı sunar.
Somut Bir Başlangıç Noktası
Sonuç odaklı ASM metriklerini test etmenin bir yolu, varlık görünürlüğünü ekipler arasında yaygın bir şekilde erişilebilir kılmaktır.
Yine, varlık görünürlüğü için daha fazla keşiften daha hızlı yanıt almak mümkündür.
Eğer ASM programınızın ROI’sini test etmek istiyorsanız, şunları göz önünde bulundurun:
- Riskli varlıklar ne kadar süre sahiplenilmiyor?
- Bugün kaç kimlik doğrulama gerektirmeyen durum değiştiren yol var?
- Ne kadar hızlı terkedilmiş varlıklar siliniyor?
Eğer bu sorulara yanıtlar iyileşmiyorsa, daha fazla keşif sonucu değiştirmeyecektir.
Sonuç: Riski Gerçekten Değiştirenleri Ölçmek
ASM, yalnızca neyin biriktiğini değil, neyin değiştiğini ölçüldüğünde savunulabilir hale gelir.
Görüş açısının korunması önemlidir, ancak bu, riskin azaltılmasını garanti etmez. ASM ROI’si, riskli varlıkların daha hızlı sahiplenilmesini, tehlikeli yolların daha çabuk ortadan kalkmasını ve terk edilmiş altyapının sonsuza dek kalmamasını sağladığında ortaya çıkar.
Sonuç olarak, gerçek risk azaltımını anlamak için gereken derinliği sağlamak için varlık envanteri ve sonuç odaklı metriklerin bir arada kullanılması gerekmektedir.
