Güvenlik açığı ifşa programı (VDP) başlatmaya hazır olup olmadığınızı nasıl anlarsınız? Bir VDP uygulamadan önce yapmanız gereken önemli değerlendirmeler vardır. Bu değerlendirmeler, altyapınızdaki boşlukları belirlemeye ve ekibi gelen hata raporları akışına hazırlamaya yardımcı olur. Doğru şekilde uygulanan bir VDP, düzenli bir rapor akışı sağlar. Ekibiniz ek iş yüküne hazır değilse yeni program güvenliği iyileştirmek yerine olumsuz bir etki yaratabilir. Boşlukları tanımlamak ve gidermek üzere güvenlik programınızı değerlendirmek, bir VDP'nin işleme hızını yönetme becerinizi artırmada önemli bir rol oynayabilir. Bildirilen güvenlik açıklarına zamanında yanıt vermek, bilgisayar korsanlığı topluluğuyla ilişkinizi geliştirerek daha sağlıklı bir program oluşturulmasını sağlar.
Temel güvenlik hijyeni
Kuruluşunuzun güvenlik olgunluğundan veya mevcut kaynaklardan bağımsız olarak, mevcut güvenlik hijyeninizi değerlendirmek, boşlukları belirlemenin en iyi yoludur. Aşağıda, hata bulma, hataları düzeltme, temel neden analizi, tespit ve müdahale ve güvenlik kültürü de dahil olmak üzere genellikle göz ardı edilen temel alanlardaki potansiyel boşlukları belirleme konusunu ele alıyoruz.
Hataları bulma
Bir VDP başlatmaya hazırlanırken ekibinizin ortamınızdaki güvenlik açıklarını tanımlamak için kullandığı yöntemleri değerlendirmek önemlidir. Değerlendirmeniz ve VDP başlatma hazırlığınızın bir parçası olarak, güvenlik açıklarını bulmak ve düzeltmek için başlangıçta bir çaba gösterilmelidir.
Aksi takdirde, VDP'niz başlatıldığında güvenlik açığı raporlarında büyük bir artışa neden olabilir ve bu da ekibinizi bunaltabilir. Temel bir güvenlik açığı taraması ve güvenlik incelemesi süreci ayarlamak, kuruluşunuzun güvenlik sorunlarını ele almak için güvenilir süreçler oluşturabilmesini sağlar. VDP'nizi başlattığınızda, gelen güvenlik açığı raporlarını ele almak için daha hazırlıklı olursunuz.
Hataları düzeltme
Güvenlik açıklarını bulmanın yanı sıra, güvenlik açıklarının zamanında düzeltilmesini sağlamak için iyi tanımlanmış süreçlere ve kaynaklara ihtiyacınız olacaktır . Sadece hataları bulmak yeterli değildir, güvenlik yalnızca hatalar düzeltildiğinde iyileşir. Güvenlik açığı yönetimi için uyguladığınız süreçler ve kaynaklar var mı? Söz konusu güvenlik olduğunda kurumunuzun kültürü nasıl? Güvenlik ekibini; olumsuz muhalefet edenler, engelleyiciler, mühendisliğin dikenleri olarak mı görülüyor? Yoksa ortak bir iş ortağı olarak mı görülüyorsunuz? Güvenlik açığı onarımını nasıl önceliklendirirsiniz? Önem derecesi ve çözüm zaman çizelgeleriyle ilgili ortak terminolojiniz ve anlayışınız var mı? Belirlenen güvenlik açığını düzeltecek bir sahibi bulmak ne kadar kolay ya da zor? Tespit edilen güvenlik açıklarıyla ilgili metrikleri (düzeltme süresi dahil) takip ediyor musunuz? Kuruluşunuzun öğe envanteri var mı yoksa gelecekin uzaktan gelen bir hayali mi? Bu konuda kendinizi oldukça iyi hissediyorsanız ve ciddi hataların derhal düzeltilmesini iyice anlayabiliyorsanız, güvenlik açıklarını düzeltmekten sorumlu ekipler ve kişilerle sağlam bir ilişkiniz varsa ve gelen güvenlik hatası akışlarını sorunsuz bir şekilde işleyecek kaynaklarınız varsa doğru yoldasınız demektir. Aksi halde bir sonraki bölümde başarılı bir güvenlik açığı yönetimi programının nasıl uygulanacağına dair yol göstereceğiz. Her iki durumda da, VDP'nizden alacağınız yeni hata akışıyla baş edebilmek için sağlam güvenlik açığı yönetimi uygulamalarına sahip olmanız gerekir. Böylece, tanımlanan güvenlik açıklarına zamanında yanıt verebilir ve bunları ele alabilirsiniz.
Kök neden analizi
Hataları tek seferlik bulup düzeltme çalışmalarının ötesinde, sorunlar için kök neden analizi (RCA) gerçekleştiriyor ve güvenlik açıklarının ortamınıza girmesinin sistemsel nedenlerini tespit ediyor musunuz? Hataları hızla bulup düzeltebilmek çok güzel bir şey. Ancak, başarılı bir VDP yürütmek söz konusu olduğunda, her şeyden önce bu hataların nasıl göründüğünü belirlemek istersiniz. Bu, aşağıdakiler gibi farklı biçimlerde olabilir:
- Bir uygulama güvenlik açığının nasıl ortaya çıktığını belirleme.
- Geliştiriciler, güvenlik açığı riskini azaltan ortak kitaplıklar ve çerçeveler kullanıyor mu?
- Verileri analiz etme ve eğilimleri belirleme.
- Belirli bir ekip tarafından yönetilen altyapıya asla güvenlik güncellemeleri yama uygulanmadığını fark ettiniz mi?
- Güvenlik olayları veya ihlalleri.
- Ne olduğunu ve neden olduğunu analiz etmek ve ileride aynı hataları yapmamak için ders çıkarmak üzere tüm ilgili taraflarla bir toplantı yürütün.
RCA yürütmezseniz, VDP'nizdeki çok sayıda benzer hata raporunu işlemek için çok fazla çaba harcanabilir. Gelecekte bir güvenlik açığı ödül programı başlatırsanız RCA’nın olmaması kurumunuzu maddi açıdan da etkileyecektir. Bir sonraki bölümde RCA süreçlerinin ve durum değerlendirmesi kültürünün nasıl uygulanacağına ilişkin daha ayrıntılı tavsiyeler vereceğiz.
Algılama ve müdahale
Dışarıdan gelen araştırmacıları öğelerinizi saldırıya uğramaya davet etmek, algılama ve müdahale mekanizmalarınızı etkiler. İzinsiz giriş tespit/önleme sistemleriniz varsa güvenlik araştırmacılarının ne tür testler gerçekleştirmesini istediğinizi düşünmek isteyebilirsiniz. Bu otomatik savunma sistemlerinin "arkasındaki" güvenlik açıklarını bulmaları için istisnalar oluşturacak mısınız? On araştırmacının tümü Cumartesi günü saat 02:00'de dışarıya dönük öğelerinizde güvenlik açığı taraması yapmaya başlarsa güvenlik ekibinizi uyandıran alarmlar çalar mı? Güvenlik araştırmacılarının oluşturduğu meşru trafiği, sistemlerinize yönelik olası bir gerçek saldırının trafiğiyle nasıl karşılaştırabilirsiniz? Güvenlik araştırmacılarının sistemlerinize karşı test ederek oluşturduğu verilerden nasıl yararlanacağınızı biliyor musunuz? Bir güvenlik araştırmacısı kullanıcı adlarını ve şifreleri kaba kuvvetle tahmin etmeye çalışırsa gerçek kullanıcıları ele geçirebilir mi? Bir VDP başlatmadan önce, bunların tümünü göz önünde bulundurmanız gerekir. Güvenlik araştırmacılarıyla, ne tür testlerin uygun olup olmadığı konusunda net beklentiler sunduğunuzdan emin olmanız ve mevcut algılama ve müdahale mekanizmalarınızı nasıl yapılandıracağınızı belirlemeniz gerekir. Bir sonraki bölümde, buna nasıl yaklaşılması gerektiği daha detaylı anlatılacaktır.
Güvenlik kültürü
Kuruluşunuzdaki kültür, başarılı bir VDP başlatma ve sürdürme beceriniz üzerinde büyük bir etkiye sahiptir. Bir adım geri çekilip bu girişime katılması gereken kilit paydaşların kimler olduğunu ve bilgi güvenliği ekibiyle mevcut ilişkilerinin neler olduğunu anlamakta fayda vardır. Çeşitli ilgili paydaşlara ve güvenlik açığını ortaya çıkarma programı başlatma teklifine karşı nasıl bir yaklaşım benimsediğinize bağlı olarak, onları bu kavramı ikna etmeye ikna etmek için yöntem ve malzemeleri belirlemeniz gerekir. Programa dahil olmayan bir kilit paydaş, bir VDP'nin baştanmasını engelleyebilir.