Güvenlikte Lean Model Nedir?
Günümüz güvenlik ortamında bütçeler kısıtlı, saldırı yüzeyleri genişliyor ve yeni tehditler her gün ortaya çıkıyor. Bu koşullarda güçlü bir güvenlik duruşu sağlamak, geniş bir takım ya da büyük bir bütçe olmadan büyük bir zorluk oluşturuyor. Ancak, lean güvenlik modelleri sadece mümkün olmakla kalmıyor, aynı zamanda son derece etkili olabiliyor.
River Island Örneği
Birleşik Krallık’ın önde gelen moda perakendecilerinden biri olan River Island, daha azla daha fazlasını yapmanın güçlü bir örneğini sunuyor. River Island’ın Bilgi Güvenliği Sorumlusu Sunil Patel, 200’den fazla mağazayı, bir e-ticaret platformunu ve büyük bir dağıtım merkezini güvence altına almakla yükümlü. Büyüme öngörülmediği için, güvenliğin nasıl etkili bir şekilde genişleyebileceğini yeniden düşünmesi gerekti.
Sunil, Intruder‘ın maruziyet yönetim platformunu kullanarak lean güvenlik modelini benimsediği anda, ekibi görünürlüğü artırdı, tehditlere daha hızlı yanıt vermeye başladı ve diğer çalışanları da en önemli sorunları çözme konusunda yetkilendirdi.
1. Saldırı Yüzeyi Görünürlüğünü Otomatikleştir
Lean bir güvenlik modeli, dış saldırı yüzeyinizi hızla ve net bir şekilde anlamaya dayanır. River Island takımının, internetten neyin maruz kaldığını takip etmek için merkezi bir yolu yoktu. Sürekli değişen altyapıdan kaynaklanan yeni risklerle başa çıkmakta zorlandılar.
Maruziyet yönetim sürecinin bir parçası olarak sürekli ağ izleme benimseyerek, şimdi saldırı yüzeyindeki değişiklikleri otomatik olarak tespit ediyorlar. İnternetten erişilebilir hale gelen yeni ya da beklenmeyen hizmetlere anında bildiriliyorlar. Bu, Sunil ve ekibi için maruz kalanların anlık, doğru bir görünümünü sağlıyor.
2. Doğru Araçları Seç
Lean bir ekibin en son ihtiyacı, her biri az şey yapan, birbirini tamamlamayan bir araç yelpazesidir. River Island, bir dizi güvenlik çözümüne sahipti, ancak birçok araç yeterince kullanılmıyordu. Sunil, bazı ürünlerden "sadece %5-6 oranında yararlandıklarını" tahmin ediyordu.
Daha fazla araç eklemek yerine, ekip mevcut araçları bir araya getirdi. Bu sayede zaman kaybı azalırken, net ve birleşik içgörüler üzerinde daha fazla zaman harcayabiliyorlar.
3. Yeni Tehditlerin Tespitini Otomatikleştir
Log4j gibi dikkat çekici açıklıklar, lean ekipler üzerinde büyük bir baskı oluşturur. Kritik bir açıklığın ortaya çıkması durumunda, güvenli kalma yeteneğiniz, maruziyeti ne kadar hızlı değerlendirebildiğinize bağlıdır. Ancak, sınırlı kaynakları olan bir ekip için bunu manuel olarak yapmak verimsiz ve sürdürülebilir değildir.
Unified exposure management platforms (birleşik maruziyet yönetim platformları) gibi Intruder, yeni keşfedilen kritik açıklar için otomatik tarama yaparak takımdan baskıyı alır. Sunil’in belirttiğine göre, "Log4j meydana geldiğinde CIO’muz etkilenip etkilenmediğimizi sordu. Hemen cevap verebildim: ‘Neyse ki etkilenmedik – Intruder tarama yaptı ve biz güvendeyiz.’"
Bu seviyede bir güven, yönetimle güven inşa eder ve gereksiz acil durumlara karşı önlem alır.
4. Varlık Sahiplerini Sorunları Hızla Çözmeleri İçin Yetkilendir
Lean güvenlik modelini benimserken, her şeyi kendiniz çözmek yerine, doğru kişilerin doğru şeyleri hızlı bir şekilde çözmesini sağlamak önemlidir. Bu, güvenlik takımını bir tıkanıklık haline getirmekten kurtarır ve diğerlerini güçlendirir.
Sunil, "Güvenlik takımını öncelemek istemiyordum," dedi. Daha önce, Bilgi Güvenliği ekibi, varlık sahiplerini takip etmekten ve teknik tavsiyeleri güvenlik uzmanı olmayanlara aktarmaktan sorumluydu. Ancak şimdi, maruziyet yönetim platformlarını Jira ile entegre ederek, zayıflıklar doğrudan ilgili timlere yönlendiriliyor.
5. Siber Hijyen Üzerine Raporlama
Sınırlı zamanınız olduğunda, manuel raporlar hazırlamak veya güncellemeleri paydaşlarla iletmek istemezsiniz. Ancak görünürlük yine de önemlidir, özellikle yüksek düzeyde.
River Island, rastgele raporlamadan uzaklaşarak, maruz kalan, düzeltilen ve hâlâ dikkat gerektiren konuları net bir şekilde gösteren otomatik gösterge panolarına geçiş yaptı. Sunil, “CIO’ma, ‘Benimle fazla görüşmüyorsun,’ dedim ve o da gülerek, ‘Bu iyi bir şey – bu durum hiçbir şeyin kırılmadığı anlamına geliyor,’ dedi. Intruder ona güven sağlıyor, bu nedenle düzenli olarak kontrol etmesine gerek kalmıyor."
Küçük Takımlar, Büyük Etki
Lean olmak zayıf olmak anlamına gelmez. Doğru araçlar, süreçler ve zihniyetle, herhangi bir boyuttaki güvenlik ekipleri ölçeklenebilir, dayanıklı ve verimli operasyonlar oluşturabilir. River Island’ın deneyimi, daha azla daha fazlasını yapmanın yalnızca mümkün olmadığını, aynı zamanda güvenlik için akıllıca bir yaklaşım olabileceğini kanıtlıyor.
