Siber güvenlik alanında yatırımın geri dönüşü gibi konular biraz karmaşıktır. Genellikle matematik siber güvenlik alanı dahilinde çok az konuşulur. Evet, subnet hesaplarında veya istismar önbelleği belirleme gibi bazı konularda karşımıza çıkar ancak bunlar siber güvenlikle ve siber güvenlik riskleriyle doğrudan ilgili çoğu insanın günlük hayatında yer almaz.
Bunların yanında felaket kurtarma merkezi tasarımı ve iş sürekliliği konusunda çalışmalar yaparken kullandığımız bazı formüller vardır (bilenler RTO ve RPO gibi hesapları hatırlayacaktır).
Bunlar da kendi alanlarında faydalıdır, itirazım olmaz. Peki siber güvenliğin temel matematik hesaplarının başında ne gelir? Newton’nun F = ma’sının veya Einstein’nın e = mc2’sinin siber güvenlik karşılığı nedir?
Buyrunuz:
Ts + Ms < Ss
- Ts (Tespit süresi) = siber saldırının tespit edilmesine kadar geçen süre.
- Ms(Müdahale süresi) = Siber saldırıya müdahale edene kadar geçen süre.
- Ss ( Saldırı süresi) = Saldırganın başarılı olmak için ihtiyaç duyduğu süre.
Siber güvenlik duruşumuzunun etkinliğini hesaplamak için gözönünde bulundurmamız gereken denklemlerden birisi budur. Kısaca; saldırganın ağ ve sistemlerimiz üzerinde yapmayı amaçladığı şeyi yapmak için ihtiyaç duyacağı süre, bizim onu tespit edip ağımızdan atmak için ihtiyaç duyacağımız süreden uzun olmalıdır.
Bu denklemin bileşenlerine nasıl etki edebileceğimize bakalım.
- Tespit süresi (Ts): Bu süreyi mümkün olduğu kadar kısaltmak için gereken tedbirlerin alınması lazım. Ağ mimarisinin bölünmesi, yerel ağdaki trafiği izlenmesi, antivirüs ve sistem loglarının takibi gibi çalışmalar bu konuda faydalı olacaktır.
- Müdahale süresi (Ms): Bu süreyi kısaltmak için olay müdahale süreçlerinin belirlenmesi, tatbikatların yapılması ve iyileştirilmesi gerekir.
- Saldırı süresi (Ss): Bu süreyi uzatmak için saldırganın işini zorlaştıracak tedbirler alınmalıdır. Honeypotlar, yetki denetimleri ve erişim kontrolleri gibi tedbirlerin alınması buna yardımcı olacaktır.
IBM tarafından 2020 yılında yayımlanan "Cost of a Data Breach" raporunda rakamlar şöyle verilmiş;
- Güvenlik olayının tespiti için geçen ortalama süre: 220 gün
- Güvenlik ihlaline müdahale edip olayı sonlandırmak için geçen ortalama süre: 80 gün
- Saldırganın hedefine ulaşmak için harcadığı ortalama süre 315 gün
Bunların ortalama rakamlar olduğunu hatırlamakta fayda var. Kısaca; "iyi ya, 15 gün fark varmış" diyerek rahatlamak doğru olmaz. Değerlerin ortalamada bu kadar yakın olması, kuruluşumuz özelinde durumun düşündüğümüzden kötü olduğuna işaret edebilir, ölçmekte fayda var.
Şu ana kadar bu denklem üzerinde çalışmadıysanız siber güvenlik yatırımlarınızın etkinliğini değerlendirmeniz pek mümkün olmamıştır. Bu nedenle, hızlıca bir çalışma yapmanızda fayda olacaktır. Sızma testi çalışmalarının çıktılarını bu denkleme uygun olarak ele almanızı sağlayacak bir yaklaşım izlemek işinizi kolaylaştırabilir.