Harici Saldırı Yüzeyi Yönetimi (EASM), dış dünyayla bağlantılı veri, sistem ve teknolojilere ilişkin risklerin tespiti, izlenmesi ve azaltılmasına odaklanan bir siber güvenlik yaklaşımıdır.
Bir kuruluşun saldırı yüzeyi, kötü aktörlerin sistemlere ve verilere yetkisiz erişim elde etmek için kullanabilecekleri toplam güvenlik açıkları, erişim noktaları ve saldırı vektörleri kümesidir. Suçlular sistemleri kesintiye uğratmak, veri çalmak, fidye fidyesi yapmak veya başka herhangi bir kötü amaçlı eylemde bulunmak istediklerinde bunu hedef alırlar.
Her kuruluşun hem dahili hem de harici bir saldırı yüzeyi vardır. Dahili saldırı yüzeyi, dahili ağ ortamını oluşturan her şeyi içerir: altyapı, cihazlar, uygulamalar, kullanıcılar ve daha fazlası.
Adından da anlaşılacağı gibi, harici saldırı yüzeyi, internet, bulut hizmetleri, mobil bağlantı ve benzeri yollarla dış dünyayla yüzleşen ve arayüz oluşturan tüm teknolojilerdir. Ayrıca üçüncü taraf tedarikçiler, iş ortakları, satıcılar ve uzaktan çalışanlarla bağlantıları da içerir.
Harici saldırı yüzeyi yönetimi (EASM), bu dışa dönük varlıkları, kaynakları ve teknolojileri koruma sürecidir. Çok sayıda tehdit dış kuruluşlardan geldiği ve özellikle harici saldırı yüzeyi hiç olmadığı kadar dinamik ve karmaşık olduğu için özel bir ilgi görüyor. Harici saldırı yüzeyini proaktif olarak yönetebilen bir kuruluş, güvenlik duruşunu önemli ölçüde güçlendirebilir.
Harici saldırı yüzeyi yönetimi ve saldırı yüzeyi yönetimi
Saldırı yüzeyi yönetimi (ASM), dahili ve harici toplam saldırı yüzeyini kapsayan bir şemsiye terimdir. Harici saldırı yüzeyi yönetimi yalnızca harici risklere odaklanır. Her iki saldırı yüzeyi yönetimi türü de dijital, fiziksel ve sosyal/insan olmak üzere üç boyuta sahiptir ve her ikisi de sürekli, üç adımlı bir keşif, değerlendirme ve azaltma süreci gerektirir.
EASM neden önemlidir?
Ağlar birbirine bağlı ve açık hale geldikçe EASM giderek daha önemli hale geldi. Ağ geçitlerinin ve güvenlik duvarlarının kötü adamları güvenilir bir şekilde dışarıda tutabildiği, rutin güvenlik açığı ve sızma testi ile yedeklendiği günler geride kaldı. Günümüzde ağlar, geleneksel yöntemlerle korunabilecek ‘sert sınırlar’a artık daha az sahip. Bu durum, siber suçlular için sistemlere ve verilere erişim sağlamak ve zarar vermek adına çok sayıda yeni fırsat yaratıyor.
Aynı zamanda, kurumsal BT son derece merkezi hale gelmiştir. İş birimleri ve bireysel kullanıcılar, BT departmanının yardımı olmadan bulut kaynaklarını döndürebilir. Kontrol dışı BT uygulamaları ve hizmetleri (Shadow IT) hızla yaygınlaşıyor; birçok çalışan, kurumsal ağlarda ya da iş amaçlı olarak kişisel cihazlarını kullanıyor.
Tüm bunlar, harici saldırı yüzeyinin her zamankinden daha fazla güvenlik açığına sahip olduğu ve siber risk yönetimine yönelik ortak ve kapsamlı bir yaklaşım gerektirdiği anlamına geliyor. EASM, tüm harici saldırı yüzeyini görünür hale getirerek sürekli izleme ve azaltma sağlar. Bu, siber güvenlik ekiplerinin kuruluşlarının en çok nerede risk altında olduğunu anlamalarına ve bu konuda bir şey yapmak için harekete geçmelerine olanak tanır.
EASM neye karşı koruma sağlar?
Çoğu saldırı vektörü (bir siber saldırı yürütme yöntemleri) harici saldırı yüzeyini hedef alır. Yaygın olanlar fidye yazılımı ve kimlik avı şemalarının yanı sıra özel veya yüksek değerli verileri çalmaya veya operasyonel sistemleri kesintiye uğratmaya yönelik saldırıları içerir. EASM, güvenlik ekiplerinin harici saldırı yüzeyini küçültmesine yardımcı olur, böylece bunlar gibi vektörler kurumsal ortama girmek için daha az fırsata sahip olur.
EASM ayrıca, harici saldırı yüzeyi genelinde daha fazla görünürlük sağlayarak ve güvenlik ekiplerinin ihlalleri önlemesini veya kontrol altına almasını sağlayarak, kuruluşları gizlilik ve veri koruma yasalarına ve düzenlemelerine uymaya donatır.
Harici saldırı yüzeyi öğelerine örnekler
İnternet erişimi olan herhangi bir sistem veya hizmet, harici saldırı yüzeyinin bir parçası olabilir. Her kuruluşun dışa dönük ve potansiyel olarak maruz kalan kendi özel cihaz ve teknoloji karışımı olacaktır. Yaygın olanlardan bazıları şunlardır:
- Web uygulamaları: Bir e-ticaret sitesi veya rezervasyon motoru olan herhangi bir işletme, bir web uygulaması (web uygulaması) çalıştırıyor. Bu, web uygulamalarını pek çok kuruluşun dış saldırı yüzeylerinin büyük bir parçası haline getirir ve internet bağlantısı olan herkes tarafından erişilebilir. Bir web uygulaması yanlış yapılandırılmış veya kötü bir şekilde güvenli hale getirilmişse, kötü niyetli bir aktör kötü amaçlı yazılım dağıtmak, veri çalmak veya web uygulamasına bağlı arka uç kurumsal sistemlere erişmek için bu güvenlik açıklarını kullanabilir.
- Bulut hizmetleri: Bulut hizmetleri ve sanallaştırılmış altyapı, kuruluşlara uygun, esnek ve son derece ölçeklenebilir bilgi işlem kaynaklarına erişim sağlar. Ancak, bir kuruluşun bunları kullanması için harici bir ağ bağlantısına ihtiyaç duyduklarından, saldırıya maruz kalırlar ve potansiyel olarak savunmasızdırlar. Web uygulamalarında olduğu gibi, bulut altyapısı yanlış yapılandırıldığında, bilgisayar korsanları bu zayıf yönlerden faydalanabilir.
- Uzaktan erişim sistemleri: Pandemi sırasında ve pandemiden bu yana uzaktan ve hibrit çalışmanın patlaması, çalışanların kurumsal sistemlere ve verilere ev ağlarından veya yoldaki potansiyel olarak güvenli olmayan ağlardan erişmesini gerektiriyor. Sanal özel ağlar (VPN'ler) gibi bu bağlantıları güvence altına almak için kullanılan teknolojiler, kurumsal BT ortamlarına giden yol olarak saldırganlar tarafından hedeflenmiştir.
- Nesnelerin İnterneti (IoT) cihazları: Birçok işletme ve bina artık çalışanların evleri ve ev ofisleri de dahil olmak üzere çevre kontrollerinden güvenlik sistemlerine kadar her şey için IoT özelliklidir. Bu cihazlar ayrıca dış saldırı yüzeyinin büyüyen bir parçasını oluşturur.
Kuruluşların EASM stratejilerine dahil etmeleri gereken diğer bir dış maruziyet alanı, üçüncü taraf tedarikçi ilişkilerini içerir. Birçok işletme, BT ve ödeme işleme ortakları için yönetilen hizmet sağlayıcılar (MSP'ler) gibi ticari, finansal ve teknik hizmetler için üçüncü taraflara güvenir. Bu üçüncü taraflar ve kuruluşun BT varlıkları arasındaki herhangi bir bağlantı, saldırganlar için potansiyel bir hedef olabilir.
EASM nasıl çalışır?
Genel saldırı yüzeyi yönetimi (ASM) gibi, EASM de sürekli ve tekrarlayan bir keşif, değerlendirme ve azaltma sürecini içerir.
Keşif
Harici saldırı yüzeyi yönetim yeteneklerine sahip bir siber güvenlik platformu, mevcut envanterlere dahil edilmeyebilecekler de dahil olmak üzere dışa dönük tüm varlıkları tanımlayabilmelidir. Keşif sürecinin bir parçası olarak taranan varlıklar ve öğeler arasında bulut hizmetleri, web uygulamaları, IP adresleri, etki alanları ve daha fazlası bulunur. Bir EASM çözümü, buluttaki toplam siber güvenlik açıklarını (“bilinmeyen bilinmeyenler”) temsil eden gölge BT uygulamalarını da keşfedebilir.
Değerlendirme
Keşiften sonra, EASM çözümü harici saldırı yüzeyi risklerini değerlendirmek için kullanılabilir. Bu genellikle yanlış yapılandırmaları, yama uygulanmamış yazılımları, güncel olmayan sistemleri, bilinen ve potansiyel güvenlik açıklarını ve daha fazlasını aramayı içerir. Güvenlik açıkları bu şekilde tanımlandıktan sonra, göreceli risk düzeylerine göre önceliklendirilebilirler (risk puanlaması olarak bilinir). Bu, organizasyona hangi risklerin en acil veya önemli olduğunu belirlemenin bir yolunu sağlar, böylece kaynaklar buna göre yanıt vermek için tahsis edilebilir.
Azaltma
Azaltma, eski donanımın hizmetten çıkarılmasını, yazılımın güncellenmesini ve yamalanmasını, yanlış yapılandırmaların düzeltilmesini, gölge BT uygulamalarının yönetim altına alınmasını ve daha fazlasını içerebilir. Devam eden EASM sürecinin bir parçası olarak, BT ortamı ve tehdit ortamı değiştikçe, organizasyonun proaktif olabilmesi ve güçlü bir güvenlik duruşunu sürdürebilmesi için dış saldırı yüzeyi sürekli olarak izlenmelidir.
EASM'nin faydaları nelerdir?
EASM, kuruluşlar için bir dizi ilgili faydaya sahiptir:
- Görünürlük: EASM, kuruluşlara dışa dönük teknoloji varlıklarının kapsamlı bir görünümünü sunarak daha güçlü ve daha eksiksiz siber savunmalar sağlamak için önceden bilinmeyen güvenlik açıklarını ortaya çıkarır.
- Etkililik: EASM, daha hızlı tehdit tespiti ve BT ortamının daha kapsamlı resmi sayesinde daha hızlı ve daha kesin olay müdahalesine katkıda bulunarak tehditleri daha erken ve daha eksiksiz bir şekilde kontrol altına almayı mümkün kılar.
- Uyum: Birçok sektördeki kuruluşların veri koruma ve gizliliği için yasal ve düzenleyici çerçevelere uyması gerekir. EASM, iyi bir genel siber risk yönetimi yaklaşımının parçası olarak uyumluluğu destekler.
Tüm bunlar bir araya geldiğinde, gerçek zamanlı bilgilere ve odaklanmış siber güvenlik yanıtlarına dayalı daha güçlü bir genel güvenlik duruşu sağlar.
EASM, siber risk yönetimine nasıl uyar?
Siber risk yönetimi, bir kuruluşun siber güvenlik durumsal farkındalığını geliştirmenin bir yoludur—tehditleri tespit etmek, önceliklendirmek ve azaltmak. EASM, genel bir siber risk yönetimi çerçevesinin sadece küçük bir parçasıdır.
Genel olarak, siber risk yönetimi, kuruluşların söz konusu işletmenin belirli ihtiyaçlarına, sektör bağlamına ve tehdit ortamına uyacak özel güvenlik önlemleri ve kontrolleri ile tehditleri belirleme ve yönetme konusunda daha proaktif olmalarına yardımcı olmayı amaçlamaktadır. Amacı, sürekli izleme ve devam eden değerlendirmeler yoluyla tehditlere ilişkin gerçek zamanlı içgörüyü mümkün kılmak ve tüm çalışanların aynı proaktif siber güvenlik zihniyetini paylaşmasını sağlamaktır.
Siber risk yönetiminin aşamaları EASM'nin aşamaları ile aynıdır: keşif, değerlendirme ve hafifletme.
Eksiksiz bir siber risk maruziyeti yönetimi çözümü, net hedefler ve tutarlı takip sağlamak için MMY, EASM, siber varlık saldırı yüzeyi yönetimi (CAASM), |güvenlik açığı risk yönetimi, güvenlik duruşu, uyumluluk riski ölçümü ve risk puanlamasının yanı sıra politikaları, prosedürleri ve yönetişimle ilgili diğer bileşenleri içerecektir.
EASM konusunda nereden yardım alabilirim?
EASM, MMY’nin önemli bir parçasıdır, ancak gerçek risk dayanıklılığını oluşturmak için kuruluşlar, EASM, siber varlık saldırı yüzey yönetimi (CAASM), güvenlik açığı yönetimi ve güvenlik duruşu yönetimi gibi en son siber riske maruz kalma yeteneklerine ihtiyaç duyar. Trend Vision One, giriş noktalarını sürekli olarak izlemenizi, etkiye dayalı hafifletme eylemlerini önceliklendirmenizi, riskleri finansal koşullara dönüştürmenizi ve riskleri gerçekleşmeden önce nötralize etmek için gelecekteki tehditleri tahmin etmenizi sağlamak için tüm bu yetenekleri birleştiren bir Siber Risk Maruz Kalma Yönetimi çözümü sunar.
Siber Risk Maruziyet Yönetimi’nin, yalnızca saldırı yüzeyini yönetmenin ötesine geçmenize nasıl yardımcı olabileceğini keşfedin.