Neler Yeni

Güvenlik (Makale)

Katılım
22 Nis 2020
Mesajlar
86
Tepkime puanı
23
Puanları
150
Selamun Aleyküm.

Kuruluşlar doğru risk azaltma kararları almak için her türlü güvenlik açıklarını anlamalıdır. Sürekli otomatik güvenlik onayı bunu sağlayabilir.

security_system_vulnerabilities_leaks_breaches_thinkstock_482251625-100750013-large.jpg


Çin askeri stratejisti Sun Tzu, "Düşmanı tanıyorsanız ve kendinizi tanıyorsanız, yüzlerce savaşın bile sonuçlarından korkmanıza gerek yok” diyor. Siber güvenlik terimleriyle, bu siber-rakipleri ve ilgili taktikleri, teknikleri bilmek anlamına geliyor. ve kuruluşunuza saldırmak için kullandıkları prosedürleri (TTP‘ler).

Ek olarak, Sun Tzu‘nun teklifi, kritik varlıklar için en iyi korumayı uygulamak için teknik, insan ve hatta fiziksel güvenlik açıklarınız hakkında her şeyi bilmeniz gereken kurumsal bir yansımaya uzanıyor.


Kuruluşlar bu bilgiyi nasıl kazanabilir? Penetrasyon testi ve Kırmızı takım çalışması ile kendilerine saldırarak. ESG araştırmasına göre, kuruluşlar aşağıdaki nedenlerden dolayı yılda en az bir kez Penetrasyon testi ve / veya Kırmızı takım çalışması yürütüyor (Not: Daha Önceki konularda Kırmızı Takım çalışmasından bahsetmiştim.)


# % 26 Risk değerlendirmesi için en iyi uygulama olarak Penetrasyon Testi / Kırmızı Takım oluştur.


# % 17‘si Penetrasyon testi yapıyor / Kırmızı takım oluşturuyor, çünkü yasal uygunluk için bunu yapmaları gerekiyor.

# % 14‘ünün Penetrasyon testi / Kırmızı ekip çalışması vardır, çünkü Üst Yönetimden veya Yönetim kurulu tarafından zorunludurlar.

# Üçüncü taraf sözleşmelerinin bir parçası olarak zorunlu kılındığından % 13‘lük Penetrasyon testi / Kırmızı takım çalışması gerçekleştirildi.

Penetrasyon testi ve Kırmızı takımlar sonlu projelerdir - kuruluşların % 75‘i iki hafta veya daha az bir süreye sahip olduğunu söylüyor. Bununla birlikte, bu kısa süreye rağmen, penetrasyon testi ve kırmızı takım çalışması yararlı sonuçlar ve faydalar sağlar. Kuruluşlar bu egzersizleri güvenlik açıklarını bulmak / düzeltmek, yöneticilerle olan risk durumunu gözden geçirmek, BT ve güvenlik önceliklerini yeniden değerlendirmek ve çalışanları işe almak ve / veya eğitmek için gerekenleri belirlemek için sonuçları kullanır.


Penetrasyon Testi ve Kırmızı Takımlama Süreçleri ile ilgili Problemler



Evet, penetrasyon testi ve kırmızı takımlama oldukça faydalı olabilir, ancak şu anki süreçlerle ilgili çeşitli sorunlar var:

1- Test Sıklığı Diğer her tür BT veya Güvenlik taraması gibi, Penetrasyon testi / Kırmızı ekip sonuçları da dinamik BT ortamlarında kısa bir raf ömrüne sahiptir. 1. Çeyrek‘teki test sonuçları, 3. Çeyrek dönemine ait eski tarihlerdir.

2- Test Metodolojileri Bu testleri uygulayan etik bilgisayar korsanları çoğunlukla yeteneklidir, ancak birçok test cihazı aynı oyun kitabını aylarca ve yıllar boyunca tekrar tekrar kullanır. Denenmiş ve gerçek hack tekniklerine karşı güvenliği test etmek önemli olsa da, yeni ve gelişen saldırılara karşı savunmaları değerlendirmek de önemlidir.

Penetrasyon Testlerinin ve Kırmızı Takımların Çıktısı Genellikle Tekniktir. Bu, siber güvenlik uzmanlarının, sonuçları şirket yöneticileri için bir işletme bağlamına dönüştürmesi gerektiği anlamına gelir. Ne yazık ki, bu çeviri beceri seti her zaman çok güçlü değildir ve siber güvenlik ekibi için önemli olan işletme yöneticilerine gitmek olabilir.

Sürekli Otomatik Güvenlik Doğrulaması Girin

Yararları en üst düzeye çıkarmak için, kuruluşların vahşi doğada en son istismarları kullanarak sürekli Penetrasyon testi / Kırmızı ekip çalışması yapması gerekir. Ayrıca, bu testlerin sonuçlarının, iş açısından kritik öneme sahip varlıklara ilişkin riski anlamak ve iyileştirme eylemlerine öncelik vermek için bir işletme ve teknik mercekten izlenebilmesi için mevcut olması gerekir.

Sürekli otomatik güvenlik doğrulama (CASV) adı verilen nispeten yeni bir güvenlik teknolojisi kategorisi. CASV araçları, şirket ağlarını sürekli olarak çekiçlemek için çeşitli güncel Hacker teknikleri kullanır. Bu araçlar daha sonra bu verileri güvenlik açıklarını sürekli izlemek ve iyileştirme ilerlemesini izlemek için kullanılabilecek gösterge panolarında toplar. Bazı araçlar sonuçları MITRE ATT ve CK çerçevesiyle aynı hizaya getirebilir ve en iyi araçlar, güvenlik analistleri, BT denetçileri ve işletme yöneticileri gibi pozisyonlar için rol tabanlı panolar sağlar, böylece sonuçları gözden geçirebilir ve düzeltme kararlarını önceliklendirmek için gerçek zamanlı verileri kullanabilirler. CASV araçları ve hizmetleri AttackIQ, Censys, Metronom, Pycsys, Qadium, Randori, SafeBreach, SCYTHE, Verodin ve diğerleri gibi satıcılardan geliyor.

Penetrasyon testi ve Kırmızı ekipleme, siber risk belirleme ve azaltma konusunda gerçekten yardımcı olabilir, ancak statik verileri kullanarak siber güvenlik gibi dinamik bir ortamı ölçemezsiniz. CASV, sürekli ve gerçek zamanlı olarak penetrasyon testi ve kırmızı ekipleme avantajlarını en üst düzeye çıkarmada yardımcı olabilir, bu yüzden CASV teknolojisinin geleceği hakkında yükselmek lazım.

Arkadaşlar yabancı bir Kaynaktan çeviri yaptım. Serç-ü Lisan eylediysem Affola..

Dua iLe...
 

Konuyu görüntüleyen kullanıcılar

Üst