Siber riskin nicelendirilmesi (CRQ), siber güvenlik risklerini nesnel ve ölçülebilir iş terimleriyle ifade ederek stratejik kararları yönlendirmeye yarayan bir yöntemdir.
İçindekiler
Yönetim kurulları ve üst düzey yöneticiler artık siber güvenlik ihlalleri, veri kayıpları, uyumluluk ihlalleri ve benzeri sonuçlardan giderek daha fazla sorumlu tutulmaktadır. Bu da siber güvenliği, daha önce hiç olmadığı kadar stratejik bir iş konusu haline getirmiştir. CRQ, siber güvenlik risklerini iş karar vericileri için anlamlı olacak şekilde çerçevelemenin bir yöntemidir.
CRQ, siber risk maruziyeti yönetiminin temel taşlarından biridir. Kuruluşların güvenlik risklerinin potansiyel iş etkilerin (örneğin gelir kaybı, kesinti süreleri ya da pazar payı kaybı gibi rekabet dezavantajlarını) belirlemesine yardımcı olur. Bu yaklaşım, kuruluşların siber güvenlik yatırımlarını en çok ihtiyaç duyulan alanlara yönlendirmesine ve bu yatırımların değerini ya da olası geri dönüşünü belirlemesine olanak tanır. Böylece yapılan harcamalar da gerekçelendirilmiş olur.
CRQ hesaplamasında yaygın olarak kullanılan yöntemlerden biri FAIR modelidir. FAIR Institute tarafından geliştirilen model adı, ‘Bilgi Riskinin Faktör Analizi’ anlamına gelir. FAIR, CRQ için açık ve uluslararası bir standarttır.
Siber riskler nelerdir?
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), siber riski her ikisi (veya her ikisi) olarak tanımlar:
- “Siber kaynaklara bağımlı olmanın riski (yani, siber uzayda sürekli ya da aralıklı olarak var olan bir sistem ya da sistem bileşenine bağımlı olmanın riski).”
- “Üretim sistemine elektronik yollarla entegre edilen bilgi ve/veya operasyonel işlevler için kullanılan dijital teknolojilerin, yetkisiz erişim, kullanım, ifşa, kesinti, değişiklik ya da imha nedeniyle başarısızlığa uğraması sonucunda oluşabilecek mali kayıp, operasyonel aksama ya da zarar riski.”
Bu iki tanım da kuruluşların proaktif bir siber risk maruziyeti yönetim çerçevesi benimsemeleri ve uygulamaları gerekliliğini ortaya koyar.
CRQ neden önemlidir?
Bir CRQ modelinin benimsenmesi, kuruluşların siber güvenlikle ilgili kararları genel kurumsal strateji ve yön belirleme süreçlerine entegre etmesini sağlar. Bu yaklaşım, siber güvenliği sonradan düşünülen bir konu olmaktan çıkarıp işin merkezine yerleştirir.
CRQ, siber güvenlik ekipleriyle iş liderlerinin siber risk konusunda aynı dili konuşmasını sağlayarak aralarındaki iletişimi güçlendirir. Aynı şekilde, düzenleyici otoriteler nezdinde uyumluluğun kanıtlanması için de bir mekanizma sunar.
CRQ, siber risk maruziyeti yönetimi ile kesiştiği noktada, bir kuruluşun toplam siber risk maruziyetini ve saldırı yüzeyindeki zafiyetleri anlama çabalarını destekler ve zenginleştirir. Bu da daha etkili, hedefe yönelik yanıtlar verilmesini ve kaynakların daha verimli kullanılmasını sağlar.
CRQ nasıl çalışır?
CRQ, bir işletmeyi etkileyebilecek tüm olası siber tehditlerin belirlenmesini, bunların değerlendirilerek önceliklendirilmesini ve her bir ihlal, saldırı ya da kaybın potansiyel iş etkisinin hesaplanmasını içerir.
Bu süreç, saldırı yüzeyi yönetiminin ilk iki aşaması olan keşif ve değerlendirme ile yakından örtüşür; kötü amaçlı yazılımlardan zayıf parolalara, yanlış yapılandırmalardan hırsızlığa, kötü niyetli çalışanlardan oltalama ve iş e-postası dolandırıcılığı (BEC) gibi sosyal mühendislik saldırılarına kadar dijital, fiziksel ve sosyal/insan kaynaklı risklerin tümünü kapsar.
Keşif
İlk adım, kuruluşa zarar verebilecek tüm potansiyel tehditleri belirlemektir. Bu, kötü aktörlerin hırsızlık yapmak veya saldırı başlatmak için verilere ve sistemlere yetkisiz erişim elde edebileceği tüm yolların toplamı olan saldırı yüzeyinin tam bir görünümünü gerektirir.
Bu adım için, saldırı yüzeyini otomatik ve sürekli olarak tarayabilen bir siber güvenlik platformu şarttır. Böyle bir platform; geleneksel olarak güvenlik ekiplerinin radarına girmeyen gölge BT uygulamaları, üçüncü taraf teknolojiler ve daha önceki envanterlerde yer almayan eski veya ‘unutulmuş’ teknolojiler dahil olmak üzere bilinen ve bilinmeyen tüm varlıkları, sistemleri, uygulamaları ve erişim noktalarını dikkate alır.
Değerlendirme
Saldırı yüzeyine dair kapsamlı bir görünüm elde edildikten sonra, güvenlik ekipleri yanlış yapılandırmalar, güncellenmemiş yazılımlar, kodlama hataları gibi zafiyetleri değerlendirebilir. Bu zafiyetlere dayanarak, şu anda ya da gelecekte bunlardan nasıl saldırılarla faydalanılabileceği ve bu saldırıların neyi hedeflediği (örneğin veri hırsızlığı, iş sürekliliğini bozma, fidye ve şantaj gibi) belirlenebilir.
Değerlendirmeyle ilgili birkaç önemli nokta:
- İdeal olarak, riskler kuruluşun tüm bölümleri için değerlendirilmelidir—iç operasyonlardan satış ve müşteri hizmetlerine, tedarik zincirinden bulut kaynaklarına ve yazılım geliştirme (DevOps) süreçlerine kadar.
- İlk değerlendirme adımları tamamlandıktan sonra, güvenlik ekipleri riskleri ve varlıkları önceliklendirebilir. Bunun için hem kuruluş hem de olası saldırganlar açısından en değerli olanlar, saldırıya en açık olanlar ve CRQ açısından kritik olan saldırı olasılığı belirlenir.
- CRQ kapsamında saldırı olasılığı, genellikle yüzdeyle ifade edilen bir ihtimal olarak hesaplanır. Örneğin, bir finansal hizmetler şirketinde CEO’nun e-posta hesabı BEC saldırısı açısından %85 olasılıkla hedef olabilirken, aynı şirketteki kafeterya yöneticisi için bu oran %12 olabilir. Bu olasılık, model tabanlı simülasyonlarla (örneğin Monte Carlo simülasyonları) istatistiksel olarak belirlenir ve genellikle bir takvim yılı ya da çeyrek dönem gibi belirli bir zaman dilimi için hesaplanır.
Hesaplama
Değerlendirmeye dayanarak güvenlik ekipleri, iş liderleriyle birlikte olası siber saldırıların finansal değerini ya da maliyetini tahmin eder. Bu hesaplama; yasal uyumsuzluk cezaları, hizmet kesintisi, kurtarma süreci, fidye ya da veri hırsızlığı gibi nedenlerden doğan mali kayıplar, itibar zedelenmesi ve pazar payı kaybı, davalar gibi unsurları içerir. Bu faktörler, kuruluşa ve sektöre göre değişkenlik gösterebilir. Sonuçta elde edilen, bir siber saldırının iş açısından riskini ifade eden parasal bir değerdir.
CRQ ile siber risk puanlaması arasındaki fark nedir?
Siber riskin nicelendirilmesi (CRQ) ve siber risk puanlaması benzer işlevler görür. Her ikisi de siber güvenlik risklerini nesnel ve ölçülebilir terimlerle ifade ederek stratejik kararları yönlendirmeyi amaçlar.
CRQ, olası siber olayların parasal karşılığını (bir ihlal, hacklenme ya da veri hırsızlığının işletmeye maliyetini) hesaplarken; siber risk puanlaması her bir riske sayısal bir değer atar ve bu değerlerden yola çıkarak kuruluşun genel siber risk puanını oluşturur.
Özellikle, siber risk puanlaması, risklerin profillenmesi (ilgili risklerin ve bunları yönetmek için gerekli kontrollerin belirlenmesi) ve ardından her bir riske göreceli aciliyetine ve potansiyel ciddiyetine göre puanların atanması olmak üzere iki aşamalı bir süreci içerir.
- Profil oluşturma aşaması; kuruluşun genel saldırı yüzeyini tanımlayan ve bu yüzeydeki risk ve zafiyetleri belirleyen kapsamlı bir keşif ve değerlendirme sürecine dayanır. Bu belirlemelere göre kuruluş, hangi kontrollerin uygulanması gerektiğine karar verebilir.
- Puanlama aşaması, her bir belirlenmiş zafiyet için potansiyel risk ve zarar düzeyini tahmin eder. Bu, zafiyetin istismar edilme olasılığı, etkisinin kapsamı, saldırı başarılı olursa iyileştirmenin ne kadar zor olacağı gibi kriterleri içerir.
- Siber risk puanları ayrıca küresel tehdit istihbaratını (özel ya da açık kaynak), kamuya açık güvenlik derecelendirmelerini, saldırganların belirli zafiyetlere dair farkındalık düzeyini, bu zafiyetlerin ne kadar kolay istismar edilebildiğini, istismar sıklığını ve diğer ilgili veri noktalarını da içermelidir.
Siber risk puanlarını hesaplamak için NIST tarafından önerilen bir çerçeve ve daha önce bahsedilen FAIR modeli dahil olmak üzere çeşitli yöntemler bulunmaktadır.
Hem siber risk puanlaması hem de CRQ, etkili bir siber risk maruziyeti yönetimini destekler ve her ikisi de riskleri proaktif biçimde belirlemek, değerlendirmek ve önceliklendirmek için benzer keşif ve değerlendirme adımlarını içerir.
CRQ Alternatifleri
CRQ oldukça yenidir. Birçok kuruluş, NISTSiber Güvenlik Çerçevesi (CSF) gibi uyum tabanlı risk yönetimi modellerini hala takip etmektedir. Uyumluluk temelli bir yaklaşımda odak noktası, yasal düzenlemelere uygunluğun sürdürülmesidir. Buna karşılık, CRQ araçları siber riskleri sayısal olarak ifade etmeye odaklanır. Her iki yaklaşımın birleştirilmesi, dikkatli bir saldırı yüzeyi yönetimine dayalı genel bir siber risk maruziyeti yönetimi stratejisi bağlamında en güçlü siber güvenlik sonuçlarını üretme olasılığını artırır.
CRQ nasıl uygulanabilir?
Siber riskin nicelendirilmesi (CRQ), genel siber risk maruziyeti yönetiminin temel bir bileşenidir. CRQ’nun uygulanması, kurumsal siber güvenlik ekipleri ile iş liderleri arasında iyi bir iş birliği ve koordinasyon gerektirir. Bu da net beklentiler, düzenli temas noktaları, açık iletişim ve iyi tanımlanmış süreçler anlamına gelir.
Kuruluşların bir CRQ modeli (FAIR ya da başka bir yöntem) seçmesi ve gerekli simülasyonları ile hesaplamaları destekleyecek CRQ araçlarını benimsemesi gerekir. Bu araçlar, siber riskler ve bunların göreli öncelikleri hakkında bilinçli kararlar alınmasını sağlayacak gerekli tüm bağlamı sunabilen genel bir siber güvenlik platformuna entegre edilmelidir.
Bu da özellikle, siber risk maruziyeti yönetiminin tüm aşamalarını destekleyen bir platform anlamına gelir: keşif, değerlendirme ve iyileştirme. Platform, tehditlerin hızlı ve etkili şekilde önlenmesini sağlamak amacıyla Güvenlik Bilgi ve Olay Yönetimi (SIEM), Uç Nokta Tespit ve Müdahale (EDR) ve/veya Genişletilmiş Tespit ve Müdahale (XDR) gibi güvenlik operasyon teknolojilerini içermelidir. Ayrıca XDR, veri, analiz ve entegrasyonlar için kritik bir kaynak konumundadır.
Uzun vadede riski en aza indirmek ve kuruluşun güvenlik duruşunu güçlendirmek için sıfır güven stratejileri, CRQ’ya önemli bir tamamlayıcıdır. Sıfır güven, en az ayrıcalık ilkesini BT ortamının neredeyse her yönüne uygular. Adından da anlaşılacağı üzere, güven varsayılmaz; yetkiler sıkı şekilde denetlenir ve yetkili kullanıcılar bile yalnızca ihtiyaç duydukları anda ve yerde kaynaklara erişim hakkı elde eder.
CRQ konusunda nereden yardım alabilirim?
Trend Vision One™, CRQ uygulamalarını hayata geçirme sürecinizde Siber Risk Maruziyeti Yönetimi çözümüyle size destek olabilir. Bu sayede kuruluşlar siber riskleri kolayca sayısal hale getirip iş diliyle ifade edebilir.
Bu, Trend Vision One’un devrim niteliğindeki yaklaşımı sayesinde mümkündür. Çözüm; bulut, veri, kimlik, API, yapay zeka, uyumluluk ve SaaS uygulamaları genelinde Harici Saldırı Yüzeyi Yönetimi (EASM), Siber Varlık Saldırı Yüzeyi Yönetimi (CAASM), Zafiyet Yönetimi ve Güvenlik Duruşu Yönetimi gibi temel yetenekleri güçlü ve kullanıcı dostu tek bir platformda birleştirir. Bu çözüm, işinizi proaktif bir şekilde korumanız için size kontrol, netlik ve güven kazandırır.
Siber Riske Maruz Kalma Yönetiminin siber risk ölçümünde size nasıl yardımcı olabileceği hakkında daha fazla bilgi edinin.