Zephyrnet Logosu

Üretken Veri Zekası

Siber güvenlik

Kısıtlı Harcama Ortamında Siber Güvenlik Yatırımlarını Optimize Etme

Plato tarafından yeniden yayınlandı
Plato tarafından yeniden yayınlandı

Tarih:

Görüntüleme: 122

Geçen ay, bir Wall Street Journal makalesi, baş bilgi güvenliği görevlilerinin (CISO'lar) nasıl giderek daha fazla göreceğini vurguladı. kısıtlı bütçeler 2023'te şirketlerin karşı karşıya olduğu artan ekonomik belirsizliğe dayanmaktadır. Peki, CISO'lar bu belirsizliği nasıl yönetmeli? Çeşitli planlama kısıtlamalarını kabul ederek başlayalım:

  • Düzenleyici beklentiler kurumsal kaynak sağlama amaçları için pazarlık konusu değildir ve artması muhtemeldir. için yeni zamana bağlı olay raporlama düzenlemeleri halka açık şirketler ve kritik altyapı operatörleri beklemede ve Biden yönetiminin yakında serbest bırakılacak Ulusal Siber Güvenlik Stratejisi muhtemelen sektörler arasında mevcut düzenleyici otoritelerin daha fazla kullanılmasını gerektirecektir.
  • Tehdit aktörleri bizi savunmayı amaçlayan temel güvenlik teknolojilerindeki zayıflıkları belirlemek ve bunlardan yararlanmak için her zamanki kadar aktif ve giderek daha fazla arayış içindeler. Kaynak kodu hırsızlığının yakın zamanda kabul edilmesi Okta, lider bir bulut tabanlı çok faktörlü kimlik doğrulama ve tek oturum açma çözümlerinin yanı sıra parola yöneticisinde ihlal LastPass, bunu daha büyük bir kabartma haline getirin.
  • Göz önüne alındığında yazılımların teknoloji ortamlarında hızla yaygınlaşması, çoğu kuruluşun tüm sistemlerin tamamen güçlendirilmiş ve yamalanmış olduğundan emin olması pratik olarak imkansızdır.

Bu kısıtlamalar göz önüne alındığında, kısıtlı bir harcama ortamında siber güvenlik yatırımlarını daha iyi optimize etmeye yardımcı olabilecek üç adımı aşağıda bulabilirsiniz:

1. Temel iş ve teknoloji karmaşıklığına ışık tutun. Sistemlerin, uygulamaların, ayrıcalıklı kullanıcıların, üçüncü tarafların sayısındaki farklılıklar, çalışanların yıpranması ve coğrafi mevcudiyet, riski ve bir kuruluşu savunmak için neyin gerekli olduğunu etkiler. Aslında, IBM Security tarafından yapılan son araştırma artan karmaşıklığın (ör. bulut geçişleri, üçüncü taraf katılımı vb.) olay müdahale maliyetlerini nasıl artırma eğiliminde olduğunu vurgular. Aynı zamanda, CISO'lardan savunmalarının istendiği temeldeki iş ve teknoloji ortamındaki karmaşıklığı azaltıp azaltmadığımızı da dikkate almadan, güvenlik harcamalarına sınırlamalar getirmek çılgınlıktır. Altta yatan "saldırı yüzeyinin" karmaşıklığındaki değişiklikleri ölçmek - yani bir sistemin sınırındaki noktalar kümesi, bir sistem öğesi veya bir saldırganın girmeye, üzerinde etki yaratmaya veya verileri çıkarmaya çalışabileceği bir ortam den — siber güvenlik kaynakları üzerindeki ayarlamaları veya kısıtlamaları değerlendirmenin bir ön koşulu olmalıdır.

2. Tehdit bilgili savunmalara öncelik verin. Maliyet kısıtlamaları, rakiplerin kullandığı bilinen ve kritik yazılım hedeflemeleri muhtemel olan sistemler (yukarıda belirtilen kimlik ve erişim yönetimi sistemleri dahil ancak bunlarla sınırlı olmamak üzere). MITRE'ler ATT&CK çerçevesi tehditleri ve bunların belirli risk azaltma ve tespit etme yöntemleriyle nasıl bağlantılı olduklarını kapsamlı bir şekilde haritalamakla kalmaz, aynı zamanda bu azaltma ve tespit etme işlemlerinin birçoğuna, özellikle altyapı sağlayıcıları güvenlik özelliklerini tekliflerine dahil ettiğinden, hâlihazırda yürürlükte olan teknolojiler aracılığıyla ulaşılabilir. Yaygın tehditlere karşı savunmalara yatırım yapmak, büyük risk azaltma avantajı sağlayabilir. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) kısa süre önce bir dizi güvenlik önlemi yayınladı. Siber Güvenlik Performans Hedefleri "kritik altyapı için ortak bir temel siber güvenlik uygulamaları seti oluşturmaya ve özellikle küçük ve orta ölçekli kuruluşların siber güvenlik çabalarını başlatmasına yardımcı olmayı" amaçlıyor. Hedeflerin her biri, belirli MITRE tehdit teknikleriyle eşlenir.

Önemli olarak şirketler, teorik olarak yürürlükte olan kontrollerin pratikte var olduğunu ve amaçlandığı gibi çalıştığını doğrulamak için en azından bazı kaynaklara yatırım yapmalıdır. CISA, FBI ve NSA "Bu danışma belgesinde tanımlanan MITRE ATT&CK tekniklerine karşı en iyi performansı sağlamak için güvenlik programınızın bir üretim ortamında geniş ölçekte sürekli olarak test edilmesini önerdikleri" geçen sonbaharda ortaklaşa yayınlanan bir kılavuz. Çok sık olarak, ilk erişimin yanlış yapılandırılmış bir varlık veya belgelenmemiş güvenlik istisnası yoluyla sağlandığı olaylarla karşılaşıyoruz. Son olarak, tehdide dayalı savunmanın esneklik yönü kritiktir: Bir fidye yazılımı olayı meydana gelirse, çevrimdışı yedeklemeler ve güncel olay müdahale planları hasarı en aza indirmenin anahtarı olacaktır.

3. Üçüncü taraf risk yönetimini mantıklı hale getirin. Ayrıca, hiçbir kuruluşun ele alamayacağı ve bunun yerine sektörel veya ulusal düzeyde ele alınması gereken, ısrarla can sıkıcı birkaç sorun vardır. Şirketler, bir tedarikçideki bir siber olayın üstlerinde art arda gelen etkileri olabileceğini biliyor ve iş yapmanın bir koşulu olarak güvenlik denetimlerini ve minimum temel gereklilikleri giderek daha fazla zorunlu kılıyorlar. Sorun şu ki, bu yaklaşımda tekdüzelik olmaması, tedarikçileri ve müşterileri, yönetilmesi için giderek daha fazla personel kaynağı gerektiren bir gereksinimler ve tasdik bataklığı içinden ayırmaya bırakıyor. Gerçekten de "ekspertiz görevlileri", siber sigorta yenileme incelemelerine tabi tutulduklarında giderek "ekspertiz görevlileri" haline gelmektedir. Standartlara daha fazla tekdüzelik getirmek, üçüncü taraf uyum karmaşıklığını azaltmak ve yatırımın tehdide dayalı savunmaya yeniden yönlendirilmesini sağlamak için sektör çapında yaklaşımlara ihtiyaç vardır.

Bu adımların birçoğunun özel sektör içinde gerçekleştirilmesi gerekse de, federal hükümet bu adımların ilerlemesine yardımcı olabilir. İlk olarak, artan düzenleyici faaliyetler hakkında düşündüğümüzde, düzenleyici kurumlar genelinde (ve ideal olarak müttefik yabancı hükümetlerdeki kardeş programlarla) kontrol beklentileri üzerinde uyum sağlayarak (tehdit bilgili bir şekilde) ek mali yüklerin yönetilmesine yardımcı olabiliriz. böylece birden çok düzenleyici programa tabi olan şirketler tutarlı bir dizi beklentiye odaklanabilir. İkinci olarak, sadece düzenlemelerin beklentileri karşılayamayan şirketleri nasıl cezalandıracağını değil, aynı zamanda nasıl gerçekleştirebileceklerini de düşünmeliyiz. ödüllendirmek şirketlerin ötesine geçmek. Son olarak, federal hükümetin yapmaya çalıştığı gibi, tedarikçiler arasında tasdik için standart temel beklentiler ve mekanizmalar uygulayarak yazılım güvenliği, üçüncü taraf risk yönetimine daha fazla tekdüzelik getiriyoruz.

İşletmeler son derece karmaşık bir iş, teknoloji ve tehdit ortamıyla karşı karşıyadır. Maliyet kısıtlı bir ortamda, yatırımın geri dönüşü her zamankinden daha önemli. Bu nedenle, olası tehditlere karşı savunmaları nasıl hizaladığımız konusunda mümkün olduğunca fazla doğruluk sağlamalı ve siber güvenlik performansını şeffaf, doğru ve kesin bir şekilde ölçerken mümkün olduğunca tekdüzeliği sürdürmeliyiz.

spot_img

En Son İstihbarat

spot_img

Telif Hakkı @ 2024 Plato Technologies Inc.

Bizimle sohbet

Merhaba! Size nasıl yardım edebilirim?