Son birkaç yılda, siber güvenlik yatırımlarıyla uyumlu bir şekilde dönüşmek ve yenilenmek için duyulan büyüme ihtiyacına ayak uydurup bunu dengelemeye çalışırken, kuruluşları tehditlere maruz bırakan siber saldırıların sayısının hızla arttığına tanık olduk. Kritik iş süreçlerine yönelik riskler, genellikle hâlihazırda yeterli personele sahip olmayan siber güvenlik ekipleri üzerinde daha da fazla baskı oluşturuyor.
Çoğu kuruluş siber güvenliğe çok fazla dikkat ediyor ve güvenlik çözümlerine büyük yatırım yapmış olsa da CISO’lar ve CIO’lar genellikle gizli ve gizlilik açısından hassas verileri korumak için doğru yeteneklere sahip olup olduklarından emin olmadıklarını tartışıyorlar.
Yakın tarihli bir rapora göre, şu üç büyük zorluk, bütünsel görünürlük eksikliği, sahte güvenlik hissi ve yetersiz otomasyon, kuruluşların güvenlik açıklarını artırıyor.
Bütünsel görünürlük eksikliği
Etkili bir siber dayanıklı stratejiye sahip olmanın karmaşıklığını artıran temel zorluklardan biri, güvenlik çözümlerinin eksikliği değil, çoğu kuruluş varlıklarının sınırlı alt kümelerine dağıttıkları, genellikle parçalanmış bilgilere sahip bağımsız araçlar olarak ondan fazla güvenlik çözümü kullanıyor.
Şirket ne kadar büyükse, bu tür silolar o kadar artıyor. Bu, birçok varlığı görüş dışında bırakıyor ve bilgileriyle ilgili bağlam eksikliğine ve tüm bu varlıkların kendi aralarında ve ağ ortamına nasıl bağlandığı konusunda netlik eksikliğine yol açıyor. Bu varlıklardan toplanan verilerin değeri ve kuruluşun risk değerlendirmesi etkin bir şekilde kayboluyor. Güvenlik açıkları anında yanıt gerektirdiğinde bu durum kabul edilemez bir hal alıyor.
CISO’lar ve CIO’lar için ilk iş, kuruluş içinde tam olarak ne olduğunu ve bunların “temellerini” belirlemektir. Bilinen ve bilinmeyen tüm varlıkların envanterinin çıkarılması ve bu veri setinin bir yapılandırma yönetimi veritabanında (CMDB) güncel tutulması zorunludur. Bu, en yüksek koruma seviyelerinin uygulanmasını sağlamak için tüm varlıkları uygun şekilde sıralamak, kuruluş ve iş süreçleri için en önemlilerini belirlemek anlamına gelir. Bu sisteme sahip olunması, daha iyi yönetime ve siber olaylara yanıt verilmesine olanak tanır.
Sahte güvenlik hissi
Hemen hemen tüm şirketler, Uç Nokta Algılama ve Yanıt (EDR) sistemleri, antivirüs çözümleri, güvenlik duvarları vb. gibi çok çeşitli güvenlik çözümleri kullanıyor. Bununla birlikte, bilgisayar korsanlığı ve siber suçların kurbanı olan şirketlerde yapılan adli araştırmalar, bu saldırıların genellikle bir güvenlik çözümü tarafından korunduğuna inanılan bir varlığı ihlal ettiğini gösteriyor. Ancak, bu çözümün cihazda hiç etkinleştirilmediği ortaya çıktı.
Adli araştırmalar ayrıca, uzun süredir kötüye kullanılan güvenlik açıklarına yönelik yamaların genellikle eksik olduğunu gösteriyor. Bu, siber suçlulara başka bir giriş noktası sağlıyor. Kullanılabilir yamaların kapsamlı bir haritası ve bunları uygulamak için güvenilir bir süreç, izinsiz giriş riskini önemli ölçüde azaltır.
Dahası, bir güvenlik açığı giderildikten sonra, çoğu kuruluş bu adımların gerçekten atıldığından emin olmak için kontrol denetimlerinden yoksun olsa da, yama tamamen uygulanmadan önce sistem genellikle yeniden başlatma veya bir kayıt defteri anahtarında değişiklik gerektiriyor. Kullanıcılar güvenlik açığının düzeltileceğine inansa da, açık olduğu gibi kalır.
Uyarı yorgunluğu, sahte güvenlik hissine de katkıda bulunan başka bir faktördür, çünkü çözümler mevcut olsa da, sistemler o kadar çok güvenlik uyarısı üretir ki, çalışanlar bunlara karşı duyarsız hale gelir. Sonuç olarak, bu uyarıları görmezden gelirler veya onlara yeterince yanıt veremezler.
Son olarak, siber güvenliği, yönetilen güvenlik hizmeti sağlayıcılarına (MSSP’ler) dış kaynak sağlama eğilimi, çoğu MSSP’nin yalnızca alt kümeler veya silolar üzerinde de çalıştığı için sağlam olmayan bir güvenlik sistemi oluşmasına katkıda bulunuyor. Birçok kuruluş, birden çok MSSP’nin hizmetlerini kullanıyor; bir yönden sunucular için, bir yönden iş istasyonları için ve bir diğer yönden de siber güvenlik için. CISO’lar ve CIO’lar her zaman tüm ortamın gözetimine sahip olmalıdır. Bu, sözde ‘hibrit MSSP’ dış kaynak kullanımı modelini gerektirir: MSSP, ortamın tamamına veya bir kısmına hizmet verirken, CISO’lar ve CIO’lar kontrolü elinde tutar.
Yetersiz otomasyon
Güvenlik konusunda bütünsel bir anlayış ve sağlam temellere dayanan bir güven ile kuruluşlar, varlıkları güvenlik açıığı risklerinden korumak için ihtiyaç duydukları her şeye sahiptir. Ancak bunu en iyi şekilde gerçekleştirmek için CISO’lar ve CIO’lar verilerini ilişkilendirebilmeli ve anlayabilmelidir. Bunu yapmak için, bilginin bağlamı en önemli konudur.
CISO’lar ve CIO’lar bu bağlamı elde etmek için süreçleri ne kadar otomatikleştirebilirse, varlıkların iyileştirilmesine o kadar iyi öncelik verebilirler ve uyarılara göre hareket edip etmemeleri gerektiğini görmek o kadar kolay olur.
Ayrıca, uygunluk denetimleri söz konusu olduğunda, raporlama sürecinin hızlı ve verimli olması hayati önem taşır. Denetimler genellikle herhangi bir kuruluş için çok maliyetli, zaman alıcı ve hantal bir uygulamadır. Bu nedenle denetçiler, ihtiyaç duydukları anda tüm verilere ve içgörüye sahip olmalıdır. Farklı nokta çözümlerinden veya silolardan veri toplamak karmaşıktır ve hatalara açıktır. Dahası, bulgular derhal teslim edilmezse denetçiler bir kuruluşun faaliyetlerini kapatabilir. Bu nedenle otomasyon, iş sürekliliği için çok önemli olabilir.
Sonuç
Hacker topluluğunun avantajını koruduğu ve giderek daha karmaşık hale geldiği görülüyor, CISO’ların ve CIO’ların, güvenlik çözümlerinin entegre edilmesini ve kritik varlıklar arasında uygulanmasını sağlayan siber dirençli bir stratejiyi seviyelendirerek ve uygulayarak kuruluşlarının, siber tehditleri etkin bir şekilde yönetmek ve bunlara yanıt vermek için tüm operasyonların süreçlerinin sürekli gözden geçirilmesi ve gözetiminin sağlamak üzere savunmasını güçlendirmeleri gerekiyor.
Qualys Asya Pasifik ve Japonya Genel Müdürü Debashish Jyotiprakash