Siber Risk Değerlendirmesi Raporu Çevirisi

Okuma Süresi: 8 Dakika

Siber Risk Değerlendirmesine Adım Adım Kılavuz

Neden Siber Risk Değerlendirmesi Yapılmalı?

Günümüzde BT güvenlik liderleri, fidye yazılımı ve kimlik avından altyapıya yönelik saldırılara, fikri mülkiyet ve müşteri verilerinin çalınmasına, güvenli olmayan tedarik zinciri ortaklarına ve içeriden kişilerin kötü niyetli eylemlerine kadar neredeyse ezici bir dizi tehditle karşı karşıyadır. Bulut bilişim, uzaktan çalışma, mobil cihazlar ve diğer yeniliklerle ilgili riskleri öngörmek zorundadırlar. Ayrıca harcamaları kısma ve akıllıca yatırım yapma baskısı altındadırlar.

Bu ve benzeri nedenlerden dolayı CIO’lar ve CISO’lar kurumlarını savunmak için mevcut sınırlı kaynakları en iyi şekilde kullanmalıdır. Kullanabilecekleri en etkili araçlardan biri siber risk değerlendirmesidir.

Bir siber risk değerlendirmesi güvenlik liderlerinin şunları yapmasını sağlar

  • Kuruluşlarını en çok ilgilendiren tehditler üzerinde fikir birliği sağlamak
  • Mevcut savunmalardaki güvenlik açıklarını belirleyin
  • BT ve OT güvenlik programlarının olgunluğunu değerlendirmek
  • Risklerin teknik olmayan yöneticilere daha iyi iletilmesi
  • Güvenlik kontrollerine yapılan yatırımlara öncelik verin
  • Güvenlik programlarını iyileştirmek için bir yol haritası geliştirmek

Siber risk değerlendirmeleri aynı zamanda CIO’ların ve CISO’ların güvenlik yatırımlarını gerekçelendirmek ve risk yönetimi stratejilerini yeniden ayarlamak için kullanabilecekleri siber risk ölçümü için temel oluşturur.

Bu e-kitap, siber risk değerlendirmesine yönelik üç yaklaşımın ana hatlarını çizmekte ve güvenlik liderleri için güçlü içgörüler ve öneriler üreten bir değerlendirme yapmak için adım adım bir süreç sunmaktadır.

Siber risk değerlendirmeleri, bilgi sistemlerinin işletilmesi ve kullanılmasından kaynaklanan kurumsal operasyonlara, kurumsal varlıklara, bireylere, diğer kuruluşlara ve Ulusa yönelik riskleri tanımlamak, tahmin etmek ve önceliklendirmek için kullanılır.

Siber Risk Değerlendirmesine Üç Yaklaşım

Bir siber risk değerlendirmesi yürütmek için önde gelen üç yaklaşım uyumluluk odaklı, tehdit modelleme ve saldırı rotası analizidir. Her üç yaklaşım da aynı faaliyetleri içerir: kuruluşun güvenlik duruşunu ve uyumluluk gereksinimlerini anlamak, tehditler, güvenlik açıkları ve varlıklar hakkında veri toplamak, potansiyel saldırıları modellemek ve hafifletme eylemlerine öncelik vermek. Bununla birlikte, vurgu ve sonuçlarda önemli farklılıklar vardır.

Yaklaşım 1: Uyumluluk odaklı

Siber risk değerlendirmesine yönelik uyum odaklı yaklaşım, bir kuruluşun güvenlik kontrollerini Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), ISO/IEC, Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi veya Avrupa Birliği tarafından yayınlananlar gibi siber güvenlik ve düzenleyici çerçevelerde belirtilen gerekliliklerle karşılaştırmaya odaklanır. Bu kuruluşlardan bazıları siber risk değerlendirmesinin nasıl yapılacağı konusunda rehberlik bile sağlamaktadır (örneğin, NIST SP 800-30 ve ISO/IEC 27005).

Bu çerçeveler, uyumluluk faaliyetleri ve temel güvenlik uygulamaları için kılavuzlar olarak iyi kurulmuş ve çok güvenilirdir. Bununla birlikte, çoğunlukla üst düzey, “tek beden her şeyi karşılar” tavsiyeleri sunarlar ve genellikle bulut güvenliği ve güvenli kodlama uygulamaları gibi önemli alanlarda ayrıntıdan yoksundurlar (veya bunları göz ardı ederler). Bazen güvenlik ekiplerinin, kurum için önemli bir risk oluşturmasalar bile birçok güvenlik açığını hızlı bir şekilde gidermeye teşvik edildiği bir “kutuyu işaretle” zihniyetine yol açarlar.

Kontrolleri NIST, ISO/IEC, PCI, GDPR veya diğer siber güvenlik ve düzenleyici çerçevelerin gereklilikleriyle karşılaştırın.

Yerleşik, güvenilir çerçeveler kullanır.

Mevzuata uygunluğu sağlar.

Kurumun spesifik ihtiyaçlarından ziyade genel gereksinimleri vurgular.

“Kutuyu işaretle” zihniyetini teşvik edebilir.

Yaklaşım 2: Tehdit modellemesi

Değerlendirmeye yönelik bir başka yaklaşım da kurumun karşı karşıya olduğu tehditlerin, sistem ve ağlardaki güvenlik açıklarının, altyapı ve bilgi varlıklarının kapsamlı listelerini derlemekle başlar. Bu bilgiler, güvenlik açığı taramasıyla birlikte anketler ve BT ve işletme yöneticileriyle yapılan görüşmeler yoluyla elde edilir. Veriler, saldırı olasılığı, güvenlik açıklarının ciddiyeti, mevcut kontrollerin zayıflıkları, varlıkların değeri ve veri ihlalleri ve iş kesintileri gibi sonuçların sonuçları gibi faktörlere dayalı olarak olası güvenlik olaylarının etkisini modellemek için kullanılır. Güvenlik ekibi daha sonra riski en çok azaltan düzeltme eylemlerini seçebilir.

Kapsamlı tehdit modellemesine dayanan bir siber risk değerlendirmesi, potansiyel tehditler ve mevcut kontrollerdeki boşluklar hakkında değerli, ayrıntılı bilgiler üretir. Sonuçlar kurum için en büyük riskleri belirler ve düzeltme eylemlerinin önceliklendirilmesine yardımcı olur.

Ancak bu yaklaşım listeleri derlemek, anketleri doldurmak, görüşmeler yapmak, veri toplamak, olasılıkları tahmin etmek ve uzun tehdit ve güvenlik açığı kataloglarını modellemek için büyük bir personel yatırımı gerektirir. Analizin tamamlanıp uygulamaya hazır hale gelmesi haftalar ya da aylar sürebilir ve bu süre zarfında analizin büyük bir kısmı eskimiş olabilir.

Tehditlerin, güvenlik açıklarının ve varlıkların kapsamlı listelerini derleyin ve olası güvenlik olaylarının olasılığını ve etkisini modelleyin.

Potansiyel tehditler ve mevcut kontrollerdeki boşluklar hakkında ayrıntılı içgörüler oluşturur.

Yaklaşım 3: Saldırı rotası analizi

Siber risk değerlendirmesinde önde gelen bir diğer yaklaşım da saldırı rotası analizidir. Muhtemel tehditler ve kilit varlıklar hakkında bilgi toplamakla başlar. Ancak öncelikle kontrol listelerine, anketlere ve görüşmelere dayanmak yerine, gerçek saldırganların tekniklerini ve düşünce süreçlerini kullanır: mevcut güvenlik açıklarını keşfetmek ve bunlardan yararlanmak, kuruluşun ortamını keşfetmek ve kritik iş varlıklarına ulaşmak için bir dizi taktiğe karar vermek.

Bu faaliyetten elde edilen bilgiler, güvenlik ekibinin olası tehditler ile kilit varlıklar arasında bir saldırı rotaları grafiği oluşturmasını sağlar. Bu rotalar, tehdit aktörlerinin güvenlik açıkları olan sistemler, ağlar ve bulut platformları da dahil olmak üzere kritik varlıklara ulaşmak için izleyebilecekleri yollardır. Rotalar ayrıca saldırıları engelleyebilecek güvenlik kontrollerini de içerir.

Güvenlik ekipleri, kuruluş için gerçek bir tehlike oluşturan saldırıları modellemeye odaklanmak için saldırı rotaları grafiğini kullanabilir.  Kritik bir varlığa giden bir saldırı rotası üzerinde olmayan veya  mevcut bir kontrol tarafından engellenen bir saldırı rotası üzerinde olan güvenlik açıklarının büyük çoğunluğunun önceliğini azaltabilirler.

Grafik aynı zamanda en etkili iyileştirme seçeneklerinin belirlenmesine de yardımcı olur. Bir saldırı rotası, yoldaki güvenlik açıklarından herhangi biri kaldırılarak veya bir güvenlik kontrolü uygulanarak ortadan kaldırılabilir. Küçük bir analizle ve bazen sadece grafiği görüntüleyerek, güvenlik ekipleri belirli bir varlığı korumak için en uygun maliyetli azaltma eylemini hızlı bir şekilde belirleyebilir.

Saldırı rotası analizi yaklaşımı teknik olmayan yöneticilerle iletişimi de kolaylaştırır. Grafik, tehditlerin kritik varlıklara ulaşmak için nasıl çalıştığını ve güvenlik açıklarını ortadan kaldırarak veya kontroller ekleyerek tehditlerin nasıl etkisiz hale getirilebileceğini gösterir. Bununla birlikte, maksimum faydayı elde etmek için değerlendirme periyodik olarak yeniden gözden geçirilmelidir, böylece kuruluş yeni ortaya çıkan tehditleri ve modellemenin ilk turunda kapsanmayan orta öncelikli güvenlik açıklarını ele alabilir.

Olası tehditler ve yüksek değerli varlıklar arasındaki saldırı yollarını haritalandırın, düşük riskli güvenlik açıklarının önceliğini azaltın ve en kritik tehditleri modelleyin.

  • Kritik güvenlik açıklarını ve tehditleri hızla önceliklendirir
  • Uygun maliyetli iyileştirme eylemlerini tanımlar
  • Teknik olmayan yöneticilerle iletişimi kolaylaştırır
  • Maksimum fayda elde etmek için sürekli kullanım gerektirir

Siber Risk Değerlendirmesi Yürütmek için Bir Plan

Şimdi bir siber risk değerlendirmesi yapmak için adım adım bir plana bakalım. Bu plan yukarıda tartışılan üç yaklaşım için de işe yarayacaktır, ancak saldırı rotası analizine özgü bazı faaliyetleri detaylandırmaktadır.

Adım 1: Kuruluşun Güvenlik Duruşunu ve Uyumluluk Gerekliliklerini Anlayın

Siber risk değerlendirmesinin ilk adımı kurumun güvenlik duruşu ve uyumluluk gereklilikleri hakkında geniş bir anlayış kazanmaktır. Bu, kuruluşun aşağıdakileri hakkında bilgi derlemeyi içerir:

  • İş operasyonları, hedefler ve başlıca zorluklar
  • Uyumluluk gereksinimleri ve güvenlik politikaları
  • Bilgi sistemlerinin yapısı ve kullanımı
  • Mevcut siber güvenlik kontrolleri, süreçleri, araçları ve yönetişimi

Uygulamalar, kişisel veriler, fikri mülkiyet, çalışan ve müşteri kimlik bilgileri, ağlar, veri merkezi ve bulut sunucuları ve hizmetleri ve son kullanıcı cihazları dahil olmak üzere iş açısından kritik varlıklar ve teknolojik “taç mücevherler”

Bu bilgiler genellikle anketler, BT ve işletme yöneticileriyle yapılan görüşmeler ve mevcut belgeler aracılığıyla toplanır.

Aşırı ayrıntıya boğulmaktan kaçınmak için, bu adımda kullanılan yöntemler “derinlemesine değil, genişlemesine” olmalıdır. Başka bir deyişle, değerlendirme ekibi kuruluşun kritik iş ve BT süreçlerinin üst düzey bir resmini elde etmeli, ancak örneğin her veri merkezi sunucusunun veya bilgi varlığının envanterini çıkarmaya çalışmamalıdır.

Kuruluşun güvenlik duruşu hakkında geniş bir anlayış kazandıktan sonra, ekip ilk değerlendirmesini kritik bir iş birimi, coğrafi bölge veya güvenlik alanında hedeflemeye karar verebilir.

Adım 2: Tehditleri Belirleyin

Değerlendirme ekibi kuruluşun iş operasyonlarını, bilgi sistemlerini, güvenlik kontrollerini ve iş açısından kritik varlıklarını inceledikten sonra bir sonraki adım tehditleri belirlemek ve bunların kuruluşu etkileme olasılığını tahmin etmektir.

Ekip kuruluşa saldırması muhtemel tüm tehdit aktörlerini, motivasyonlarını ve hedeflerini tespit etmelidir. Bunlar örneğin şunları içerebilir:

  • Dark Web’de satabilecekleri kredi kartı bilgilerini arayan siber suçlular
  • Ödeme almak için veri tabanlarını şifreleyen fidye yazılımı çeteleri
  • Fikri mülkiyeti veya önemli araştırma sonuçlarını çalmaya çalışan rakipler
  • Kurumun markasını lekelemeyi veya müşteri listelerini ele geçirmeyi amaçlayan hoşnutsuz çalışanlar
  • Ekipman tedarikçilerinin, kurumu veri ihlallerine maruz bırakan güvenlik açıklarına sahip sistemler sağlaması
  • Uluslararası bir çatışma durumunda bir web sitesini tahrif etmeyi veya bir fabrikayı kapatmayı amaçlayan devlet destekli bilgisayar korsanları

Tehditler hakkında bilgi toplarken, değerlendirme ekibi güvenlik ve işletme yöneticileriyle birlikte çalışarak her bir türün kurumu vurma olasılığını tahmin etmelidir.

Açıkçası, ilgili tehditler ve olasılıklar kuruluşun sektörüne, coğrafi konumlarına, iş modeline ve diğer birçok faktöre bağlı olarak büyük ölçüde değişecektir. Bu nedenle, değerlendirme ekibi bu göreve açık fikirli bir şekilde yaklaşmalı, çeşitli kaynaklardan girdi talep etmeli ve “tek beden her şeyi karşılar” şablonlarına veya oyun kitaplarına büyük ölçüde güvenmemelidir.

Adım 3: Güvenlik Açıklarını Belirleyin ve Saldırı Yollarını Haritalayın

Kurumu etkilemesi en muhtemel tehditler belirlendikten sonra, değerlendirme ekibi güvenlik açıkları hakkında bilgi toplayabilir ve yüksek değerli varlıklara giden saldırı yollarını haritalandırabilir.

Güvenlik açıklarını belirleyin

Bu bağlamda “güvenlik açıkları”, saldırganların yararlanabileceği, güvenlik açıkları olan yazılım ve donanımlar, yanlış yapılandırılmış sistemler, hatalı güvenlik süreçleri ve eğitimsiz çalışanlar da dahil olmak üzere siber güvenlikteki her türlü zayıflığı kapsar. Bunları bulmak aşağıdakilerin bir kombinasyonunu gerektirir:

  • BT güvenlik ve destek personeli ile görüşmeler
  • Otomatik ağ ve uç nokta tarayıcıları
  • Kırmızı takım ve sızma testleri
  • Saldırı rotalarını haritalayın

Değerlendirme ekibi daha sonra en kritik tehditler ve en yüksek değere sahip varlıklarla başlayabilir ve bunlar arasındaki saldırı rotalarını haritalayabilir (aşağıdaki örneğe bakın). Daha önce de belirtildiği gibi saldırı rotaları, tehdit aktörlerinin yüksek değerli varlıklara ulaşmak için kullanabileceği güvenlik açıklarına sahip sistemler, ağlar ve platformlar arasındaki yollardır. Saldırı rotalarının bir grafiği, saldırıları engelleyen mevcut güvenlik kontrollerini de gösterebilir.

Haritalama süreci esasen saldırganların TTP’leri (taktikler, teknikler ve prosedürler) hakkındaki bilgileri kurumun bilgi sistemlerinin yapısı, tanımlanmış güvenlik açıkları ve güvenlik kontrolleri ile birleştirerek hangi varlıkların kayıp veya hasara maruz kaldığını gösterir.

Saldırı rotalarının bir grafiği değerlendirme ekibinin şunları yapmasını sağlar.

Kritik bir varlığa yönelik bir saldırı rotasında olmayan güvenlik açıklarının önceliğini azaltır.

Mevcut kontroller tarafından engellenen saldırı yollarına öncelik vermeyin.

Belirli varlıkları etkileyebilecek güvenlik açıkları ve saldırı eylemlerinin kombinasyonunu belgeleyin.

Hassas ve yüksek riskli alanları vurgulayın ve olay tespit araçlarını bunlara odaklayın.

Teknik güvenlik açıklarından spesifik iş risklerine ve olası sonuçlara kadar “noktaları birleştirin”

Değerlendirme için saldırı rotası analizi yaklaşımını kullanmak isteyen kuruluşlar, süreci kolaylaştırmak için bir saldırı rotası haritalama çözümü (CYE tarafından oluşturulan gibi) kullanmak isteyecektir.

Adım 4: Saldırıların Sonuçlarını Modelleyin

Güvenlik açıkları belirlendikten ve saldırı rotaları haritalandırıldıktan sonra, değerlendirme ekibi yüksek değerli varlıklara açık saldırı rotaları olan en olası saldırıların sonuçlarını modellemeye odaklanabilir. Analiz her saldırı türü için belgelenmelidir:

  • Risk altındaki varlıklar (uygulamalar, sistemler ve veriler)
  • Varlıkların açıklığı (internete açık, kısıtlı bir alanda, halka açık bir web platformunda, vb.)
  • Saldırıların zorluk derecesi (gerekli uzmanlık miktarı, dark web’de bulunan komut dosyaları ve araçlar, vb.)

Olası sonuçlar aşağıdaki gibidir:

  • Gelir kaybı
  • Üretkenlik kaybı
  • Kayıp fikri mülkiyet
  • Sözleşmeden doğan yükümlülüklerin yerine getirilmemesi
  • Veri ihlali bildirim maliyetleri
  • Güvenlik ve gizlilik kurallarının ihlaline ilişkin düzenleyici finansmanlar
  • İyileştirme maliyetleri
  • Kurumun itibarının ve pazardaki konumunun zarar görmesi

Bu modelleme aynı zamanda saldırı olasılıkları ve kontrollerdeki boşluklar gibi değerlendirmenin diğer yönlerinin yeniden tanımlanmasına ve derinlik kazandırılmasına yardımcı olacaktır.

Adım 5: Hafifletme Seçeneklerine Öncelik Verin

Risklerin, saldırı yollarının ve sonuçların net bir resmini ortaya koyan değerlendirme ekibi artık hafifletme seçeneklerine öncelik verebilecek durumdadır.

Etki azaltma yöntemleri şunları içerir:

  • Savunmasız yazılım ve donanımların yamalanması veya yükseltilmesi
  • Yanlış yapılandırmaların düzeltilmesi ve cihazların sağlamlaştırılması
  • Ağların bölümlere ayrılması ve varlıklara erişimin kısıtlanması
  • Güvenlik kontrollerinin eklenmesi (firewall’lar, saldırı önleme sistemleri, uç nokta tespit ve müdahale, veri şifreleme, vb.)
  • Çalışanlar ve BT personeli için daha güçlü güvenlik politikalarının uygulanması ve eğitimin artırılması

Hafifletme, yüksek değerli varlıklara saldırı rotaları olan ve etkili güvenlik kontrolleriyle korunmayan yüksek olasılıklı saldırılar için en önemlisidir.

Ek bir hedef de her bir saldırı rotası için en düşük maliyet ve en az çabayı içeren hafifletme seçeneğini belirlemektir. Örneğin, bir sunucudaki yanlış yapılandırmayı düzeltmek veya bir veritabanına erişimi sıkılaştırmak, bir ağı yeniden yapılandırmak veya pahalı bir veri izleme ürününe yatırım yapmakla aynı risk azaltımını sağlayabilir

Değerlendirme ekipleri, bir saldırıda kullanılan güvenlik açıkları zincirini görselleştirmek ve bir kontrolle ortadan kaldırılması veya azaltılması en kolay olanı seçmek için bir saldırı rotası grafiği kullanabilir.

Devam Eden Değerlendirme ve Siber Risk Ölçümü

Değerlendirme yolculuğu

Siber risk değerlendirmesi bir yolculuktur. İlk bilgi toplama ve analiz döngüsü muhtemelen kısa sürede uygulanabilecek olandan çok daha fazla sayıda yüksek öncelikli hafifletme önerisi getirecektir. Değerlendirme ekibi önerileri aşamalar halinde gruplandırmalı ve kuruluşun güvenlik duruşunun aşamalar halinde nasıl güçlendirileceğini gösteren bir yol haritası oluşturmalıdır. Ekip daha sonra siber güvenlik performansını ve zaman içinde artan esnekliği izleyebilir, ölçebilir ve sayısallaştırabilir.

Buna ek olarak, değerlendirme periyodik olarak tekrar gözden geçirilmelidir:

  • Ortaya çıkan tehditler
  • İşletmede yapılan değişiklikler
  • Kurumun teknolojilerindeki, BT mimarisindeki ve güvenlik kontrollerindeki değişiklikler

Risk değerlendirmesi ve risk yönetimi tek seferlik değil, riskleri belirleme, bu riskleri ele almak için planlar oluşturma, bu planlara göre hareket etme ve eylemlerin sonuçlarını izleme döngüsü olarak tekrarlanan sürekli süreçlerdir.

Siber risk ölçümü

Siber risk değerlendirmeleri, CIO’ların ve CISO’ların güvenlik yatırımlarını gerekçelendirmek ve risk yönetimi stratejilerini iyileştirmek için kullanabilecekleri güçlü bir araç olan siber risk ölçümü için temel oluşturur.

Siber risk değerlendirmesi, kurumların önemli tehditleri, yüksek değerli varlıkları, saldırı yollarını, güvenlik açıklarını ve yüksek öncelikli düzeltme seçeneklerini belirlemelerine yardımcı olur. Siber risk sayısallaştırması, kuruluşların saldırıların sonuçları ve hafifletme seçenekleri için belirli parasal değerleri tahmin etmelerini sağlayarak değerlendirme üzerine inşa edilir. Bu, CIO’lara ve CISO’lara yardımcı olur:

Parasal bir tasarruf veya yatırım getirisi hesaplayarak güvenlik yatırımlarını gerekçelendirmek

Azaltım seçeneklerinin önceliklerine ve sırasına ince ayar yapın

Riskleri kabul etmek, riskleri diğer taraflara aktarmak veya siber sigorta için ödeme yapmak gibi risk azaltma alternatiflerini değerlendirin

CEO’ların ve yönetim kurullarının anlayabileceği şekilde zaman içinde kurumun güvenlik duruşundaki gelişmeleri ölçün

CYE Nasıl Yardımcı Olabilir?

CYE, saldırı rotası analizini içeren siber risk değerlendirmesi ve siber risk ölçümü için önde gelen teknoloji ve hizmet sağlayıcısıdır. Gerçek saldırılar gerçekleştiren deneyimli kırmızı ekiplerin yardımıyla, kurumsal güvenliğin ayrıntılı bir bağlamsal değerlendirmesini sunmak için tüm ortamlardaki iş varlıklarına saldırı yollarını haritalandırıyoruz. Sonuç olarak, gerçek siber risk, etkilenen iş varlıkları ve güvenlik koruma ve tespit çözümlerinin etkinliği hakkında tam görünürlük elde edersiniz.

Blokzinciri Hakkında Yasa Tasarısı Çevirisinin 2.sini bağlantıdan okuyabilirsiniz.

Hukuk ve Bilişim Dergisi’nin Yeni Sayı’sını okumak için bağlantıya tıklayınız.

Referanslar ve Ek Bilgiler

NIST Özel Yayını 800-30, Risk Değerlendirmeleri Yürütme Kılavuzu, rev. 1

SANS teknik raporu: Tehdit ve Risk Değerlendirmesine Genel Bakış

ISO/IEC 27005:2018, Bilgi güvenliği risk yönetimi

CYE Blog: Finans Sektöründe Siber Risk Değerlendirme Hizmetleri: 5 Temel Taktik

CYE Blog: Siber Risk Sayısallaştırma Stratejisi Neleri İçermelidir?

CYE Rehberi: Siber Risk Sayısallaştırma Stratejisi Seçme Rehberi

CYE Hakkında