Kapsamlı siber güvenlik portföyü için bütçe nasıl ayarlanmalıdır

17 Temmuz 2019
0 Paylaşımlar

Bir BT güvenlik bütçesini onaylamak için C-level onayını almak, muhtemelen güvenlik uzmanlarının ve BT yöneticilerinin her yıl yapması gereken en zor ve yorucu görevlerden biridir. Bilgi güvenliği çoğu şirkette doğrudan sonuç almaz ve yönetim çoğu zaman bunu maliyet olarak görür. Bu nedenle BT profesyonellerinin ve BT yöneticilerinin, aldıkları bütçeyi mümkün olduğunca etkin bir şekilde ayarlamaları önemlidir. Kapsamlı siber güvenlik portföyü neye benzemelidir bugün bu konu hakkında düşüncelerimi sizlerle paylaşmaya çalışacağım.

Bilişim sektöründe, işletmelerin güvenlik bütçelerinin yüzde 75’ini yalnızca önleme teknolojilerine harcadığını ve diğer kategoriler için yalnızca yüzde 25’inin kaldığını gösteriyor. Elbette, korunma önemlidir, hepimiz siber saldırıları gerçekleşmeden önce durdurmayı severiz, ama her şeyi durduramayız.

Motive olmuş saldırganlar, önleyici kontrolleri geçmenin yeni yollarını bulmaya devam ediyorlar ve edeceklerdir; bu nedenle BT ve güvenliğin, siber güvenlik bütçelerini, ağınıza bulaşmış kötü amaçlı yazılımları bulabilen çözümler de dahil olmak üzere, birden fazla güvenlik kategorisi arasında dengelenmesi gerekir. Bu durumu akılda tutarak, daha iyi bir siber güvenlik portföyü ile neler yapılabileceğini irdeliyelim.

Bütçenizi harcayabileceğiniz pek çok farklı güvenlik alanı vardır. Ben bu yazımda sadece 3 güvenlik alanına odaklanacağım.

1. Önleme : Bir siber tehdidi başarılı olmadan önce tespit etmek ve engellemek için tasarlanmış ürünler veya hizmetlerdir. Güvenlik duvarları, antivirüs, izinsiz giriş önleme sistemleri (IPS), gelişmiş kötü amaçlı yazılım koruma çözümleri, bulut tabanlı e-posta filtreleme çözümleri ve daha fazlası önleme teknolojisi olarak kabul edilir.

2. Algılama ve yanıtlama : Bu çözümler bir ağa bulaştıktan sonra bir tehdidi tanımlamaya ve temizlemeye yardımcı olur. Başka bir deyişle, bir saldırı veya kötü amaçlı yazılım önleyici savunmaları geçtikten sonra, bu ürünler BT’nin tehdidi öğrenmesine ve onu gidermesine yardımcı olur. Bazı örnekler, uç nokta algılama ve yanıtlama (EDR) ürünleri, Bilgi güvenliği Tehdit ve Olay Yönetimi (SIEM) çözümleri ve diğer olay işleme araçlarını içerir.

3. İş sürekliliği ve felaket kurtarma (BC / DR) : Siber saldırı gibi bir felaketten sonra bir işi sürdürmek için gereken BT sistemlerini ve verileri kurtarmaya yardımcı olan hizmetleri ve teknolojileri içerir. Yedekleme ürünleri veya hizmetleri, sanal ve bulut tabanlı saklama çözümleri ve hatta siber sigorta, Business Continuity (BC) / Disaster Recovery (DR) harcaması olarak nitelendirilir.

Daha önce de belirtiğim gibi, şirketler bütçelerinin yüzde 75’ini önleme için harcıyorlar; bu da BC / DR ile tespit ve yanıtların birleştirilmesi arasında yüzde 25’lik bir pay bırakıyor. Bu payın çok az olduğunu düşünüyorum. Bence olması gereken oran yüzde 50 önleme, yüzde 30 Algılama/Yanıtlama ve BC / DR için yüzde 20’dir.

Peki neden böyle bir karma pay ayırmamız gerekiyor ? Önleme önemlidir, ancak asla yanlız başına mükemmel bir çözüm olmayacaktır. Polimorfik ransomware ve dosyasız malware gibi en son tehdit türleri, savunucu teknojilerin her şeyi engelleyemediğini bizlere kanıtlamıştır. Örneğin, en son kötü amaçlı yazılımların kendini düzenli olarak yeniden güvenli imzalarla imzalayabildiği, çoğunlukla imza tabanlı korumalardan kaçabilme yeteneğine sahip olabildiğini bizlere göstermektedir.

Daha proaktif olsa da, mükemmel olmasalar bile davranış temelli kötü amaçlı yazılım çözümleri yardımcı olabilir. Önleme araçlarına, özellikle de yeni tehditleri yakalamak için proaktif olarak makine öğrenmesini ve/veya davranış analizini kullanan gelişmiş kötü amaçlı yazılım koruma çözümlerine yatırım yapmaya devam etmeyi tavsiye ediyorum. Ancak bütçenizin sadece yarısının bu alana harcanması gerektiğini öneriyorum.

Daha sonra, siber güvenlik bütçesinin yüzde 30’unu, bir ağa sızdıktan sonra kötü amaçlı yazılımları tespit etmek için gereken sürenin kısaltılması için algılama ve yanıt verme teknolojilerini kullanılmasını öneriyorum. Öğrenilmiş deneyimler bir saldırı sonucunda bir şirketin koruma kalkanlarını dışarıdan geçtikten sonra, genellikle bu tehdidi tespit etmek için gerekli araçlara sahip olmadığını göstermiştir.

Ponemon Research ve IBM’den yapılan son Veri İhlali Maliyeti çalışmasına göre, bir ağa virüs bulaşmış saldırıları tespit etmek ortalama 190 gün sürüyor. Bu süre gerçekten de uzun bir süredir. Terabayt boyutlarındaki veriyi çalmak dakikalar ve saatler sürer fakat günler almaz. Bu durumda odaklanmış bir saldırganın 190 gün içinde verebileceği hasar miktarı akıla hayale sığmaz büyüklükte olacaktır. Kurumların bu ortalama saptama süresini, tercihen dakikalara indirmesi gerekmektedir. Bu nedenle uzmanların güvenlik bütçelerinin önemli bir bölümünü algılama ve yanıtlama araçlarına yönlendirmeleri gerektiğini öneriyorum.

Bugünlerde, uç nokta tespiti ve yanıtlama (EDR) çözümleri daha popüler hale geliyor. Bu çözümler uç noktalarda çalışır ve bir aygıta zaten yüklenen kötü amaçlı yazılımları ayıklamak için birçok farklı yöntem kullanır. En iyi EDR çözümleri, bulduğu tehditleri otomatik olarak temizleyebilir veya düzeltebilir. Küçük ve orta ölçekli bir işletme iseniz, daha sinsi ve sofistike saldırıları bulmak için hem uç nokta hem de ağ göstergelerini ilişkilendiren algılama ve yanıt araçlarını da göz önünde bulundurmalısınız.

Son olarak, acil bir durumda iş için kritik öneme sahip BT tesislerinizi hızla kurtarmanıza yardımcı olacak bir güvenlik bütçesinin en az yüzde 20’sini araç ve hizmetlere yatırmanızı öneririm. Bu, bir güvenlik olayından kurtarma süresinin azaltılmasına ve bu süre zarfında kaybedilen gelirin en aza indirilmesine yardımcı olacaktır. Fidye yazılımı veya bir DDoS saldırısı gibi bir siber tehdit, bir kuruluşun kritik BT kaynaklarından birini etkilerse, bu kaynak geri yüklenene kadar para ve zaman kaybı olacaktır. BC/DR işlemlerine yedekleme, barındırma hizmetleri ve sanallaştırma dahil olmak üzere çok sayıda ürün ve hizmetleri örnek verebiliriz.

Çoğu kuruluş en azından verilerini yedeklerken, şaşırtıcı bir şekilde çoğunun bir prosedürel felaket kurtarma planının olmadığı gözlemlenmektedir. Bazen bir plan olmadan, işletmeler bir siber saldırıya cevap vermek için çabalıyorlar. Ayrıca, yedekleri olan birçok işletme, bu yedekleri kurtarmanın ne kadar zaman alacağını düşünmemektedir. Bir fidye yazılımı saldırısından sonra yedeklerin kurtarılması iki gün sürerse, saldırı yine de mağdura önemli miktarda finansal etkiye sahip olacaktır. İyileşme zamanını hızlandırabilecek hibrit bulut yedekleme hizmetlerine bakmanızı tavsiye ederim. Siber sigorta ayrıca, güvenlik olaylarından kaynaklanan maliyetlerin çoğunu kapsadığı için iyi bir DC/BR yatırımı olarak görülebilir.

Açıkçası bugün sizlerle paylaştığım, dengeli bir siber güvenlik bütçesinin basitleştirilmiş dağılımıdır. Bunların dışında son kullanıcı farkındalığı ve eğitimi, uyumluluk ve denetim ve risk azaltma gibi potansiyel olarak önemli siber güvenlik alanı harcamaları da vardır. Bununla birlikte, bugün gördüğüm en büyük sorun, işletmelerin ihlal tespit etmesi (bunların temizlemesine izin vermeden) aylarca sürdüğü için genel güvenlik bütçelerinin çok fazla harcanması ve onlardan kurtulmak için bir planlarının olmamasıdır.

Güvenlik uzmanları ve BT yöneticileri önleme bütçelerini yüzde 50’ye düşürürlerse, savunmalarını geçen saldırıları bulan araçlara yüzde 30 daha fazla, iş sistemlerini hızlı bir şekilde kurtarmada yüzde 20 daha fazla harcama yapabilirler.

0 0 Oy
Article Rating
0 Paylaşımlar
Yazı Etiketleri:
·
Yazı Kategorileri:
Genel Siber Güvenlik
Abone ol
Bildir
0 Yorum
Satır İçi Geri Bildirimler
Tüm yorumları görüntüleyin
0
Makalem ile ilgili yorumlarınız varsa lütfen yorum yapın.x
()
x
error: Uyarı: İçerik korunmaktadır !!