SafeBreach
SÜREKLİ TEHDİT MARUZİYETİ YÖNETİMİ (CTEM) modeli, onu uygulayan tüm kuruluşlara büyük avantajlar sunar.
Serinin ilk iki bölümünde açıkladığımız üzere, CTEM; siber güvenlik faaliyetlerini, daha hızlı ve güvenli dijitalleşme, SaaS/Bulut hizmetlerinin benimsenmesi, birleşme ve satın almalar sırasında siber inceleme süreçlerinin kolaylaştırılması, daha kısa müdahale ve onarım süreleri (MTTR), mevcut ve gelecekteki yatırımların doğrulanması gibi çıktılar sağlayacak şekilde organize etmenin bir yoludur.
Bu yazıda, CTEM uygulamasında karşılaşılan bazı zorlukları ve doğrulama aşamasında ekiplerin yararlanabileceği farklı araç ve yaklaşımları inceleyeceğiz.
CTEM UYGULAMA ZORLUKLARI VE TEMEL HUSUSLAR
CTEM yeni bir model olduğundan, pratik uygulamada çeşitli zorluklarla karşılaşılabilir. Uygulama yaygınlaştıkça, ekipler programı kendi araç setlerine ve organizasyon yapılarına daha iyi uyarlamanın yollarını keşfedeceklerdir.
Şu anda en yaygın karşılaşılan zorluklar şunlardır:
- Ekip uyumsuzlukları; güvenlik ve güvenlik dışı ekipler arasında iletişim boşlukları ve sorumluluk karışıklığına yol açabilir.
- Kaynak kısıtları (bütçe ve personel), CTEM’in etkin uygulanmasını zorlaştırabilir.
- Kullanılan farklı güvenlik araçlarının çeşitliliği nedeniyle yanlış pozitifler gecikmelere ve kafa karışıklığına sebep olabilir.
- Manuel müdahale gereksinimi insan hatası riskini artırır.
- Karmaşık ve sürekli değişen tehdit ortamı, hızlı karar alma ve iş birliği gerektirir, ancak mevcut organizasyonel silolar bunu zorlaştırabilir.
- CTEM, güvenlik ekiplerinden reaktif değil proaktif olmalarını ister — bu da bazı kuruluşlar için zorludur.
- Tüm ilgili araçlar arasında gerçek entegrasyon sağlanmadıkça CTEM tam anlamıyla etkili olamaz.
Bu zorluklar, aşağıdaki temel özellikleri barındıran araçların seçimiyle büyük ölçüde azaltılabilir:
GENİŞ ALGILAMA KAPSAMI
Saldırganlar, taktik ve tekniklerini sürekli günceller. Kurumun güvenlik duruşunun, güncel tehdit zincirinin tamamına karşı test edilebilmesi gerekir.
KURUMSAL GÖRÜNÜRLÜK
Tüm ağın görünürlüğü sağlanmalı; ağın yalnızca belirli segmentleri analiz edilmemelidir. Bu, tehditlerin kurumsal etkilini bütünsel olarak anlamayı mümkün kılar.
BAĞLAMSALLAŞTIRMA
Tehditlerin organizasyonel süreçler üzerindeki gerçek etkisini anlayarak riski doğru şekilde bağlamlaştırma yeteneği kritik önem taşır.
OTOMASYON VE SÜREKLİ TEST
CTEM modeli, gelişmiş güvenlik olgunluğuna sahip kurumlar için uygundur.
Bu kurumların, güvenlik kontrollerinin sürekli doğrulanmasını ölçekli şekilde otomatikleştirebilecek araçlara ihtiyacı vardır.
EYLEME DÖNÜŞTÜRÜLEBİLİR ÖNCELİKLENDİRME
Riskin anlaşılması kadar, doğru zamanda doğru müdahaleyi yapabilme yeteneği de önemlidir.
Ekipler, hangi tehditlerin öncelikli olarak giderilmesi gerektiğini belirleyip uygun aksiyonu alabilmelidir.
YÖNETİCİ RAPORLAMASI
CTEM, iş hedefleriyle güvenlik hedefleri arasında uyum sağlamayı amaçlar.
Bunun için, teknik ve teknik olmayan paydaşlara, risk göstergelerini (ör. güvenlik KPI’ları) düzenli olarak raporlamak gerekir.
Bu yaklaşım, veriye dayalı karar verme kültürünü destekler.
CTEM DOĞRULAMA AŞAMASINDA KULLANILABİLECEK ARAÇLAR
CTEM belirli araç setleri tanımlamadığı için, kurumlar doğrulama aşamasında farklı teknolojileri birlikte kullanabilir.
Bu araçlar arasında şunlar bulunur:
- Saldırı ve İhlal Simülasyonu (BAS)
- Sızma Testi (Pen Test) ve Hizmet Olarak Sızma Testi (PTaaS)
- Otomatik Sızma Testleri ve Red Team Egzersizleri
- Dijital Risk Koruma Servisi (DRPS)
Ancak her araç, her kurumsal ortam için uygun olmayabilir.
ANLIK DOĞRULAMA “EKSİK KALIR”
Bazı doğrulama yöntemleri, kurumun güvenlik duruşunu sadece test süresi boyunca (yani “tek seferlik” bir anlık görünümle) değerlendirir.
Test tamamlandığı anda sonuçlar eskimeye başlar.
Unutmayın: CTEM’in ilk harfi “Continuous” – yani “Sürekli”dir.
PENETRASYON TESTLERİ
Pen testlerde, güvenlik analistleri saldırgan davranışlarını taklit ederek sistemdeki zafiyetleri tespit eder.
Ancak bu testler zaman alıcı, kaynak yoğun ve tek seferlik olduğundan, sadece o anki durumu yansıtır.
TechTarget bunu şöyle özetler:
Pen testler genellikle tek seferlik, yoğun kaynak gerektiren çalışmalardır. Sürekli değişen BT ortamları ve tehdit peyzajına ayak uydurmak için, ekiplerin BAS gibi yöntemleri düzenli hatta sürekli olarak uygulamaları gerekir.
BAS, sürekli durum kontrolü sağladığı için pen testlerin ötesine geçer.
RED VE PURPLE TEAM EGZERSİZLERİ
Red Team egzersizleri, kurumun “taç mücevherlerini” hedef alan tam döngülü saldırı senaryolarıdır.
Savunma ekipleri saldırıdan haberdar edilmez; amaç, tespit edilmeden saldırının ne kadar ilerleyebileceğini ölçmektir.
Ancak tıpkı pen testlerde olduğu gibi, sonuçlar test tamamlandığında geçerliliğini yitirir.
SADECE TARAMA YARIM GÖRÜNÜM SAĞLAR
Zafiyet taramaları, sistemdeki varlıkları ve bilinen açıklıkları belirler; ancak saldırgan bakış açısını sağlamaz.
CVSS/CVE veritabanlarıyla karşılaştırma yapılır, fakat saldırganın gerçek ilerleyişi modellenmez.
İZLEME, MODELLEMENİN YERİNİ TUTMAZ
Saldırı Yüzeyi Yönetimi (ASM) araçları, dışarıdan içeriye doğru sürekli görünürlük sağlar.
Ancak, ağın içinde yanal hareket (lateral movement) veya ayrıcalıklı verilere erişim gibi senaryoları modelleyemez.
BAS NEDEN BENZERSİZ?
BAS, hem sürekli görünürlük hem de saldırgan perspektifini birleştirir.
Gerçek dünyadaki saldırı zincirinin tamamını — teslimat, istismar, kurulum, komuta ve kontrol, kötü niyetli eylemler — taklit eder.
Bu sayede ekipler, tepkilerini prova edebilir, kontrolleri ayarlayabilir ve prosedürleri optimize edebilir.
CTEM PROGRAMINDA BAS İLE BAŞLAMAK
Kurumunuz CTEM programını tasarlamaya veya uygulamaya başlıyorsa, BAS doğrulama aşamasının temel bileşenlerinden biri olmalıdır.
SafeBreach, CTEM modeline geçiş yapmak isteyen kurumlara bu süreçte destek sağlar.
BAS’in CTEM içindeki rolü hakkında daha fazla bilgi almak için bir SafeBreach siber güvenlik uzmanıyla iletişime geçebilirsiniz.
> OTD Bilişim
Katalog
Kaynaklar
Blog
Duyurular
