2022'de Gartner, sürekli tehdide maruz kalma yönetimi (CTEM) terimini ve kavramını icat etti. Bu, bir kuruluşun ağlarını, sistemlerini ve varlıklarını, güvenlik açıklarını ve zayıflıkları tespit etmek için sürekli olarak simüle edilmiş saldırılara maruz bırakan beş aşamalı bir yaklaşımdır.
CTEM'in genel amacı, potansiyel risk azaltma/tedavi stratejilerine öncelik vermek, güvenlik duruşu iyileştirme planınızı sürekli olarak iyileştirmek ve belirli bir noktaya yönelik güvenlik açığı değerlendirmelerinden tekrarlanabilir bir değerlendirmeye geçiş yaparak güvenlik duruşu iyileştirme planını sürekli olarak geliştirmektir.

CTEM, bir kuruluşun varlıklarını düzenli olarak simüle edilmiş saldırılara maruz bırakarak, kötü niyetli aktörlerin bunları istismar etmesinden önce güvenlik açıklarını tespit edip düzeltmelerine ve açıkları kontrol etmelerine olanak tanır.
CTEM'in güvenlik açığı yönetimi gibi diğer güvenlik yaklaşımlarıyla karşılaştırıldığında en önemli faydası, keşfedilen zayıflıkların hem "neden"ine hem de "nasıl"ına bakmak için bulunan varlık ve güvenlik açıklarının sayısının ötesine geçmesidir.

CTEM'in daha yerleşik güvenlik yaklaşımlarını geride bırakmasının bir başka nedeni de saldırgan bir bakış açısı alması ve yalnızca geleneksel ortak güvenlik açıklarına ve risklere "(CVE'ler)" odaklanmaktan daha geniş bir duruş benimsemesidir.

CTEM: Tehdit Yönetimi Paradigmasını Değiştirme
CTEM hakkında anlaşılması gereken kritik nokta, belirli bir çözüm veya kaynak olmaktan ziyade, otomatikleştirilmiş araçlar ve manuel testlerin birleşimi yoluyla uygulanan bir program olmasıdır. Kırmızı ekip oluşturma, sızma testi, güvenlik açığı taraması ve diğer etkinlikleri içerebilir. CTEM, güvenlikle ilgili temel işlevleri ve yönetim, risk ve uyumluluk talimatlarını besleyerek bunları geliştirip zenginleştirir ve daha gelişmiş bir güvenlik duruşunu destekler.

CTEM'in Kuruluşlar İçin Değeri Nedir?
Kuruluşların saldırı yüzeyi genişlemeye ve çeşitlenmeye devam ederken, birçok CISO, kuruluşlarında ele almaları gereken tüm güvenlik açıklarını belirleme ve takip etme konusunda zorluk çekiyor. Bulut, sosyal medya ve dijital tedarik zincirinin artan kullanımı, saldırı yüzeylerini artırdı ve işletmeler için yama yapılamayan bir teşhir katmanı oluşturdu.
Reaktif güvenliğe veya yalnızca yamalanabilir maruz kalma alanlarını ele alan değerlendirmelere güvenmek yerine CTEM'in amacı, gerçek saldırganların bu alanları istismar edebilmesinden önce endişe duyulan alanları belirleyip ele alarak bir kuruluşun genel güvenlik duruşunu geliştirmektir. Bu, kuruluşların bir ihlalden etkilenme olasılığını önemli ölçüde azaltarak sağlam bir güvenlik duruşunun sürdürülmesinde kritik bir rol oynamaya yardımcı olabilir. Daha karmaşık bir yaklaşımın etkisi, yüksek olgunluğa sahip kuruluşların önemli ölçüde daha az güvenlik olayı yaşadığını gösteren Tespit ve Müdahale Olgunluk Modellerinde de kanıtlanmıştır.
 

CTEM Programının Beş Aşaması

Bir CTEM programı beş temel aşamadan oluşur:

Kapsam Belirleme: Kapsam Belirleme aşaması, en önemli varlıkları ve işletme üzerindeki potansiyel etkileri anlamayı ve tanımlamayı amaçlar. Bu analiz, döngü tamamlandığında her seferinde geliştirilmelidir.

Keşif: Keşif aşaması, varlıkların ve risk profillerinin ortaya çıkarılmasını içerir. Açığa çıkma keşfi, varlıkların yanlış yapılandırılmasını, güvenlik kontrollerini ve diğer zayıflıkları içermelidir. Gartner, keşfedilen varlıkların ve güvenlik açıklarının sayısının başarıyı tanımlamadığına, iş riskine ve potansiyel etkiye dayalı doğru kapsam belirlemenin çok daha değerli olduğuna dikkat çekiyor.

Önceliklendirme: Gartner'ın vurguladığı gibi, hedef Maruz kalma yönetiminin amacı, belirlenen her sorunu iyileştirmeye çalışmak değil, bir kuruluşa karşı kullanılması en muhtemel tehditleri belirlemek ve ele almaktır. Önceliklendirme, tehdidin ciddiyeti ve güvenlik kontrollerinin kullanılabilirliği gibi etki ve olasılığın doğru bir resmini sağlayan göstergelere dayandırılmalıdır.

Doğrulama: Doğrulama aşaması, siber güvenlik optimizasyon önceliklerini sürekli olarak iyileştirmek için sistemik bir yaklaşım oluşturur. Bir kuruluşun, potansiyel saldırganların tanımlanmış bir riskten, izleme ve kontrol sistemlerinin potansiyel yanıtından nasıl yararlanabileceğini doğrulayabileceği sürecin bir parçasıdır. Doğrulama, erişim alanını genişletmek için genellikle kırmızı takım çalışmaları gibi manuel değerlendirme etkinliklerini kullanarak, üretim ortamlarındaki en ilgili saldırganların tekniklerinin kontrollü simülasyonundan yararlanır. Bu aşama aynı zamanda güvenliği artırmak için önerilen tedavilerin doğrulanmasını ve bunların kuruluşa uygunluğunu değerlendirmeyi de içerir.

Harekete Geçme: Harekete geçirme aşaması, ekiplerin onay, uygulama süreçleri ve hafifletme dağıtımlarının önündeki engelleri azaltarak bulgularını işlevsel hale getirmesini sağlar. Kuruluşların iletişim standartlarını açıkça belirlemesini ve iş liderinin katılımı ve desteğine ilişkin daha geniş bir bağlamda ekipler arası onay iş akışlarını belgelemesini gerektirir.

Döngüsel CTEM yaklaşımının avantajlarından biri, ortaya çıkan bilgiler ışığında sürekli güncellenmesidir. Bu, daha sonraki döngülerin, saldırı yüzeyinde daha fazla görünürlük için dijital risk koruması ve kritik varlıklara yönelik potansiyel tehditlerin belirlenmesine yardımcı olmak ve tehdit aktörleri ve süreçleri hakkında daha fazla bağlamsal bilgi sağlamak için karanlık ve derin web kaynakları gibi ek hususları içerebileceği anlamına gelir.

CTEM Programındaki Temel Unsurlar
Aşağıdaki güvenlik çözümleri etkili bir CTEM programına katkıda bulunabilir:

• Dijital risk koruma hizmet
• Güvenlik açığı değerlendirmesi
• İhlal ve saldırı simülasyonu
• Hizmet olarak sızma ve test etme
• Kırmızı ekip oluşturma
   

CTEM ile Tehdit Maruziyeti Yönetimini Geliştirme
Kurumlar üzerindeki tehdit yönetiminin yükü giderek artıyor. Tehdit ortamı daha karmaşık hale geliyor ve kurumsal saldırı yüzeylerinin ölçeği büyüyor. İşletmeler, uzun vadeli siber dayanıklılık gereksinimi ile en iyi yatırım getirisini elde etmelerini sağlama arasında denge kurma baskısı altındadır. Dijital risk korumayı ve çevik kalem testi gibi sürekli güvenlik testi yaklaşımlarını birleştiren etkili bir CTEM programı, bunu başarmalarını sağlayabilir.
Güvenlik Doğrulaması ve Maruz Kalma Farkındalığı yeteneklerine sahip tespit ve yanıt programlarını temel alarak, CTEM programı daha kapsamlı bir anlayış sağlar. Güvenlik duruşu optimizasyonu önceliklerinin sürekli olarak iyileştirilmesini sağlar. CTEM, yerleşik tehdit yönetimi paradigmasını önleyiciden proaktife, belirli bir noktadan sürekliye ve "ne"den "neden" ve "nasıl"a doğru ilerletir. Her CISO'nun bildiği gibi, sağlam bir güvenlik duruşunun sağlanması tek seferlik bir süreç değil, devam eden bir yaklaşımdır. CTEM bunu daha ulaşılabilir, etkili ve etkili hale getirmeye yardımcı olur.