Saldırı yüzeyi yönetimi (ASM), bir kuruluşun BT ekosistemine yönelik tehditlerin keşfedilmesi, değerlendirilmesi ve azaltılması sürecidir.
ASM, tehditleri daha görünür hale getirerek kuruluşların veri ve sistemlerini daha güçlü şekilde savunmasını hedefleyen bir siber güvenlik yaklaşımıdır. Bu yaklaşım; risklerin nerede bulunduğunu bilmek, önem derecelerini anlamak ve insan, süreç ve teknolojiye ilişkin güvenlik açıklarını kapatmak için harekete geçmeyi kapsar.
ASM, varlık keşfi ve izlemeyi içeren geleneksel bir siber güvenlik yaklaşımıdır. Bu yöntem, potansiyel tehditlere bir saldırganın bakış açısıyla yaklaşır: Kuruluşun savunmasını aşmak ve finansal, operasyonel ya da itibar zedelenmesine yol açmak için fırsat olarak görür.
Saldırı yüzeyi nedir?
Saldırı yüzeyi , bir saldırganın bir kuruluşun ağına, verilerine veya BT kaynaklarına erişmek için kullanabileceği tüm yolların toplamıdır. yolların toplamıdır. Üç bölümden oluşur:
- Dijital saldırı yüzeyi; dışarıdan erişilebilen, şifreleme, kimlik doğrulama protokolleri, güvenlik duvarları veya diğer önlemlerle korunuyor olsa bile tüm donanım, yazılım ve verileri kapsar.
- Fiziksel saldırı yüzeyi, çalınabilen veya fiziksel müdahale yoluyla ihlal ya da güvenlik zafiyeti oluşturabilecek tüm fiziksel ekipman ve cihazlardan oluşur.
- Sosyal ya da insan kaynaklı saldırı yüzeyi, bir kuruluşta sistemlere ve verilere erişimi olan tüm bireyleri kapsar. Bu kişiler; kandırılarak, şantajla ya da başka yollarla (örneğin oltalama gibi bir sosyal mühendislik yöntemiyle) manipüle edilerek ihlal ya da güvenlik açığına neden olabilir.
Saldırı yüzeyi yönetimi ve siber risk yönetimi karşılaştırması
Saldırı yüzeyi yönetimi (ASM), siber risk yönetiminin temel bir bileşenidir. İkisi birlikte, tehditleri proaktif olarak belirleme, önceliklendirme ve azaltma yoluyla kuruluşların siber güvenlik farkındalığını artırır.
Siber risk yönetimi, ASM’nin ötesine geçen, tüm iş alanlarındaki riskleri tanıma ve azaltmaya odaklanan kapsayıcı bir siber güvenlik yaklaşımıdır. İyi bir siber risk yönetimi çerçevesi, en kritik riskleri belirlemeye yardımcı olur ve risk odaklı karar alma süreçlerini destekleyerek toplam tehdit maruziyetini azaltır. Bu sayede güvenlik ekipleri savunmaları güçlendirebilir, zafiyetleri en aza indirebilir ve kuruluşlarının genel risk yönetimi ile stratejik planlama süreçlerine katkı sağlayabilir.
Saldırı yüzeyi yönetimi ve harici saldırı yüzeyi yönetimi (EASM) karşılaştırması
Harici saldırı yüzeyi yönetimi (EASM), özellikle internete bağlı olanlar da dahil olmak üzere dışa açık cihazlar ve sistemlerle ilişkili zafiyet ve risklere odaklanır. Kuruma ait fiziksel donanım ve bölümlendirilmiş kaynakları içerebilen iç saldırı yüzeyi, EASM kapsamına girmez.
ASM neden önemlidir?
ASM günümüzde son derece önem kazanmıştır çünkü kurumsal BT ortamları her zamankinden daha dinamik ve birbirine bağlı hale gelmiştir. Bu da saldırı yüzeyini hem büyütmüş hem de daha çeşitli hale getirmiştir. Geleneksel varlık keşfi ve izleme yöntemleri ile tek amaçlı siber güvenlik çözümleri, gerekli görünürlük, istihbarat ve korumayı tam anlamıyla sağlayamaz. ASM ise güvenlik ekiplerinin kurumsal BT ekosistemine açılan giriş yollarını azaltmasına ve ortaya çıkan zafiyetleri ile saldırı vektörlerini gerçek zamanlı olarak görmesine olanak tanır.
ASM neye karşı koruma sağlar?
ASM, kuruluşların “saldırı vektörleri” olarak da bilinen çok çeşitli tehditlere karşı savunma oluşturmasına yardımcı olur. Bunlar aşağıdakileri içerir, ancak bunlarla sınırlı değildir:
- Siber saldırılar: Fidye yazılımları, virüsler ve diğer kötü amaçlı yazılımlar şirket sistemlerine bulaştırılarak saldırganların ağlara ve kaynaklara erişmesine, verileri dışa aktarmasına, cihazları ele geçirmesine ve sistemlere ya da verilere zarar vermesine neden olabilir.
- Kodlama hataları ve yanlış yapılandırmalar: Ağ ve bulut teknolojilerinde portlar, erişim noktaları, protokoller gibi alanlardaki yapılandırma hataları, saldırganlar için açık kapılar oluşturur ve veri ihlallerinin yaygın nedenlerinden biridir.
- Kimlik avı yöntemleri: Bunlar arasında sahte e-postalar, kısa mesajlar, sesli mesajlar ve günümüzde yapay zeka ile üretilen deepfake video aramaları yer alır. Bu içerikler, kullanıcıları kandırarak siber güvenliği tehlikeye atacak adımlar atmalarına neden olur. Bu adımlar arasında hassas bilgilerin paylaşılması, kötü amaçlı yazılım içeren bağlantılara tıklanması, ödenmemesi gereken fonların serbest bırakılması gibi eylemler olabilir. Yapay zeka, oltalama saldırılarının tespit edilmesini zorlaştırmakta ve bu saldırıları daha hedefli hale getirmektedir.
- Güncel olmayan teknolojiler ve uygulamalar: Yazılım, ürün yazılımı ve cihaz işletim sistemlerinin doğru şekilde kodlanması ve bilinen güvenlik açıklarına karşı yamalanması gerekir. Aksi takdirde, saldırganlar için bir giriş noktası haline gelirler.BT ortamında yer almaya devam eden ancak artık kullanılmayan veya bakımı yapılmayan eski cihazlar da sıklıkla izlenmedikleri için saldırganlara kolay erişim sağlar. BT ortamında yer almaya devam eden ancak artık kullanılmayan veya bakımı yapılmayan eski cihazlar da sıklıkla izlenmedikleri için saldırganlara kolay erişim sağlar.
- Zayıf parolalar ve şifreleme: Kolay tahmin edilebilen parolalar—çok basit, açıkça tahmin edilebilir veya birden fazla hesapta tekrar kullanılmış olmaları gibi nedenlerle—saldırganlara dijital kaynaklara erişim imkânı verebilir. Benzer nedenlerle çalınmış kimlik bilgileri de siber suçlular arasında oldukça değerlidir. Şifreleme, bilgilerin yalnızca yetkili kişilerce okunabilmesi için tasarlanır. Ancak yeterince güçlü değilse, saldırganlar bu verileri elde ederek daha büyük ölçekli saldırılar başlatabilir.
- Gölge BT: Bir kuruluşun çalışanları tarafından kullanılan ancak resmi ya da onaylı BT ortamının parçası olmayan araçlar “gölge BT” olarak kabul edilir ve güvenlik ekipleri bunlardan haberdar olmadığı için ciddi açıklar oluşturabilir. Bu araçlara uygulamalar, taşınabilir depolama aygıtları, kişisel telefonlar ve tabletler gibi birçok unsur dahildir.
ASM nasıl çalışır?
ASM üç temel aşamadan oluşur: keşif, değerlendirme ve iyileştirme. Saldırı yüzeyi sürekli değiştiği için bu üç adımın da kesintisiz şekilde yürütülmesi gerekir.
Keşif
Keşif aşaması, saldırı yüzeyini ve onu oluşturan tüm varlıkları tanımlar. Keşfin amacı, bilinen ve bilinmeyen tüm cihazları, yazılımları, sistemleri ve erişim noktalarını belirlemektir. Buna gölge BT uygulamaları, entegre üçüncü taraf teknolojiler ve daha önce envantere dahil edilmemiş varlıklar da dahildir. Birçok çözüm ASM kapsamında keşif özelliği sunsa da, doğru çözümü seçerken dikkatli olunmalıdır. Sadece varlık keşfiyle yetinmeyen, uyumluluk ve siber risk nicelendirmesini entegre eden bir çözüm tercih edilmelidir ki gerçek risk maruziyeti tam olarak görülebilsin. Sürekli bir keşif süreci, saldırı yüzeyinin zaman içinde nasıl değiştiğini anlamaya yardımcı olur.
Değerlendirme
Keşiften sonra güvenlik ekipleri her bir varlığı olası zafiyetler açısından değerlendirir. Bu zafiyetler; yanlış yapılandırmalar ve kodlama hatalarından, oltalama girişimlerine veya iş e-postası dolandırıcılığı (BEC) gibi insan kaynaklı faktörlere kadar uzanır. Her riske bir puan atanır, bu da güvenlik ekiplerinin en acil müdahale edilmesi gereken risklere öncelik vermesini sağlar.
Risk puanlaması genellikle riskin seviyesi, saldırı olasılığı, olası zararlar ve iyileştirme zorluğu gibi kriterlere dayanır. İdeal olarak bu puanlama, dünya genelinde en sık ve en kolay istismar edilen güvenlik açıklarına ilişkin tehdit istihbaratını da dikkate alır.
Örnek: Bir yazılım hassas verilere erişim sağlıyorsa, internete bağlıysa ve daha önce gerçek saldırganlar tarafından istismar edilmiş bilinen bir güvenlik açığına sahipse, bu yazılımı yamalamak en öncelikli görevlerden biri olacaktır.
Tüm riskler puanlandıktan sonra, genel kurumsal risk skoru hesaplanır. Bu, kuruluşun zaman içinde kendi risk profilini karşılaştırmasına ve izlemesine olanak tanır.
Hafifletme
Hafifletme, keşfedilen zafiyetlerle başa çıkmak için harekete geçmeyi ifade eder. Bu; yazılım güncellemelerinin yapılması, yamaların yüklenmesi, güvenlik kontrollerinin ve donanımlarının kurulması veya sıfır güven gibi koruyucu çerçevelerin uygulanması anlamına gelebilir. Ayrıca eski sistemlerin ve yazılımların devreden çıkarılmasını da içerebilir. Her durumda, iyileştirmeyi ölçeklenebilir şekilde yönetebilmek için doğru çözüme sahip olmak kritik önem taşır.
ASM’nin faydaları nelerdir?
İyi bir saldırı yüzeyi yönetimi, kuruluşa çok sayıda fayda sağlar. İlk olarak, BT ortamı ve saldırı yüzeyine daha fazla görünürlük kazandırarak genel güvenlik duruşunu güçlendirir. Bu süreç, güvenlik ekibine güven verirken aynı zamanda işletmenin geneline de önemli avantajlar sunar.
Bu süreç, güvenlik ekibine güven verirken aynı zamanda işletmenin geneline de önemli avantajlar sunar. Saldırı yüzeyine dair görünürlük, varlıklar üzerinde daha fazla şeffaflık ve kontrol sağlar; bu da siber saldırı riskini azaltır ve maliyet tasarrufunu artırır. Güvenlik ekipleri daha hızlı ve etkili harekete geçebildiğinde, kuruluşlar iş sürekliliğini sağlama konusunda daha güçlü bir konumda olur. Çünkü saldırılar ne kadar erken tespit edilip bertaraf edilirse, ciddi kesintiler yaşanma riski o kadar azalır.
ASM'yi nasıl uygulayabiliriz?
ASM, keşif, değerlendirme ve iyileştirme aşamalarını proaktif şekilde yürüten bir siber güvenlik platformuyla entegre çalışan bir siber risk maruziyeti yönetimi çözümüne ihtiyaç duyar.
Güvenlik bilgi ve olay yönetimi (SIEM), uç nokta tespit ve yanıt (EDR) ve kapsamlı tespit ve yanıt (XDR) gibi güçlü güvenlik operasyon yeteneklerine sahip bir platform seçmek özellikle önemlidir. Özellikle XDR, mevcut saldırı yüzeyi korumalarının nasıl işlediğine dair kritik veriler ve analizler sunar. Bu içgörüler, risk değerlendirme aşamasının daha doğru yapılmasına yardımcı olur.
Saldırı yüzeyi yönetimi konusunda nereden yardım alabilirim?
Günümüzün zorlu risk ortamında yalnızca saldırı yüzeyi yönetimi yeterli değildir. Kuruluşların, siber risk ayak izini önemli ölçüde azaltmak için riskleri proaktif biçimde öngörüp, keşfedip, değerlendirip azaltmalarına olanak tanıyan siber risk maruziyeti yönetimi yeteneklerine ihtiyaçları vardır.
Trend Vision One™, bulut, veri, kimlik, API, yapay zeka, uyumluluk ve SaaS uygulamaları genelinde; Harici Saldırı Yüzeyi Yönetimi (EASM), Siber Varlık Saldırı Yüzeyi Yönetimi (CAASM), Zafiyet Yönetimi ve Güvenlik Duruşu Yönetimi gibi temel yetenekleri bir araya getiren, güçlü ve kullanımı kolay bir Siber Risk Maruziyeti Yönetimi (CREM) çözümü sunar.
Siber Risk Maruziyeti Yönetimi’nin saldırı yüzeyi yönetiminin ötesinde size nasıl yardımcı olabileceğini keşfedin.