Stephanie Benoit Kurtz, Bilişim Sistemleri ve Teknoloji Koleji’nin Baş Öğretim Üyesi
2022’nin sonuna yaklaşırken, BT uzmanları olayların kaydedildiği en kötü yıllardan birine dönüp bakıyor. Siber saldırılar ve ihlaller görünürde sonu olmadan artmaya devam ediyor. Kuruluşlar rekor bir hızla teknolojiye yatırım yapmaya devam ediyor; ancak yine de risk altında olmaya devam etmektedir. 2022 boyunca kuruluşların %65’inden fazlasının büyümesi bekleniyor. Gartner, 2021’de 155 milyar dolardan bu yıl 172 milyar dolara çıkacağını tahmin ediyor. Bu artan harcamayla birlikte saldırılar katlanarak devam ediyor. Yıl ortasına göre siber saldırılar küresel olarak %42 arttı. Tedarik zinciri ihlallerinden fidye yazılımına kadar kuruluşlar, nihai bir saldırıya uğrama istatistiği haline gelmemek için mücadele etmeye devam ediyor.
2023’ü sabırsızlıkla beklerken, ortaya çıkan bir dizi trend, yöneticilerin odaklanması gereken en önemli güvenlik alanlarıdır.
Kullanıcı Farkındalığı
Kullanıcı farkındalığı, kuruluşların yatırım yapmaya devam etmesi gereken bir numaralı alandır. Erişimden yararlanmak için kimlik bilgilerinin çalınması, kuruluşlar için bir numaralı tehdit olmaya devam ediyor. Ponemon Enstitüsü’ne göre, güvenlik olaylarının %54’ünden fazlası kimlik bilgilerinin çalınmasından kaynaklanmaktadır. Bu rapor, kuruluşların %59’unun katı kullanıcı hesabı yaşam döngüsü yönetimini sürdürmekte başarısız olduğunu ve ortamda artık ihtiyaç duyulmayan kimlik bilgilerinin tehlikeye atılabileceğini belirtiyor. Kötü aktörlerin hesaplara ve verilere erişim elde etmek için kullandıkları, kimlik bilgisi yönetimindeki bu tür bir başarısızlıktır. Bu tür ihlallerden kaçınmak için kimliklerin yaşam döngüsü yönetimi iyileştirilmelidir. Bu alan, 2023’te kuruluşlar için süregelen bir zorluk olmaya devam edecek.
Fidye yazılımı
Fidye yazılımı, öngörüldüğü gibi, kötü aktörlerin bilgisayar korsanlığı kuruluşlarından para kazanmak için kontrol ve verilerden yararlanmalarının öncü yolu olmaya devam edecektir. SonicWall Siber Tehdit Raporuna göre, küresel fidye yazılımı hacmi %98 oranında artıyor. Bu sayı 2021’deki %105’lik artıştan düşse de sıklık ve harcanan dolar artmaya devam ediyor. Küresel olarak, sağlık hizmetleri, finansal hizmetler, imalat ve eyalet ve yerel yönetimler saldırı sıklığında artış görmeye devam ediyor. Bu saldırılarla ilgili ilginç olan, belgelere göre araştırmaya katılanların %76’sının bir saldırı yaşamış olması. Fidyeyi ödeyenlerin yalnızca %69’u verilerini alabildi. Bu kedi fare oyununda artan bir eğilim, fidyeyi ödeyebilmeniz ve yine de bilgisayar korsanlarının kontrolünden kurtulamamanızdır.
Üçüncü Taraf/Tedarik Zinciri Riski
İnternet sağlayıcılarından üreticilere kadar bu bir sorun olmaya devam ediyor. 2022’de birkaç üçüncü taraf tedarik zinciri ihlaline tanık olduk. bu yılın başlarında, bu konunun yönetim kurulu odasında en çok izlenen saatlere nasıl ulaştığını ve kuruluşların başına bela olmaya devam ettiğini ana hatlarıyla açıkladı. ayrıca bu endişe alanını vurguladı ve tedarik zincirinin aksamasını da riskin bir parçası olarak gösterdi. Bu, yalnızca üçüncü taraflardan kaynaklanan güvenlik açıkları değil, aynı zamanda teknoloji kesintileriyle ilgili olduğu için tedariklerin fiili kesintisidir. Bu zorluk 2023 yılında da devam edecek ve bu alandaki büyümenin çift haneli olmasını bekliyoruz.
IoT ve DoS
IoT/OT ve DoS saldırı vektörleri, 2022’de bir saldırı için kilit alanlardı. Kuruluşlar hala ağda tam olarak ne olduğunu ve cihazların ne kadar savunmasız olduğunu çözmeye çalışıyor. Bu arada, kötü aktörler internete bağlı cihazları rekor bir hızla kullanmanın yollarını buluyor. Kuruluşlar benimsemeyi hızlandırdıkça, güvenlik ne yazık ki sonradan akla gelen bir şeydir. Kötü aktörler, güvenli ağlara girmek için güvenlik açıklarından yararlanmak üzere bu alandaki zayıf güvenlik konumlarından yararlanmaya devam edecektir.
Mobil Cihaz Saldırısı Vektörü
Bu alandaki sorunlar 2022’de patlak verdi. Bu sorunlar, uygulama güvenliğinden kişisel verilerin gizliliğine kadar her şeyi kapsıyor. Uygulama yazan kuruluşlar kodu, anahtarları ve kişisel verileri güvence altına almak zorundadır. Tüm bu alanların kapsamlı bir düzeyde ele alındığını doğrulamak için çok az kişi gerekli önlemleri alıyor. Diğer zorluk, uygulamaların kasıtlı olarak kullanıcılarla ilgili kişisel verileri paylaşmasıdır. Kullanıcılar, konum belirleme hizmetleri bilgilerinden kısa mesajlara kadar, mobil cihazlardan hangi verilerin toplandığını ve ardından açık pazarda paylaşıldığını veya satıldığını tam olarak anlayamıyor. Bu alan, kullanıcıların artık bu risklerin daha fazla farkına varmaya başlamasıyla 2023’te patlayacak.
Kimlik Avı Hedefli Saldırılar
Bu vektör, kötü aktörlerin ağlara girmesinin hâlâ bir numaralı yolu. Kimlik avı, Smishing ve Sosyal Mühendislik hala son derece popülerdir ve kötü aktörler, sistemlere ve verilere erişim elde etmek için bilgi ve kimlik bilgilerini elde etmek için kullanılan yöntemler, yaklaşımlar ve teknikler konusunda daha da karmaşık hale gelmektedir. geçen yıl, 2020-2021 yılları arasında kimlik avı e-postalarında %45’lik bir artış olduğunu bildirdi. 2022 için bu rapor yayınlandığında sayının yeniden artmasını bekleyin. Kötü aktörler artık bu saldırıları gerçekleştirmek için otomatik araçlar kullanıyor; bu araçlarla tek bir tıklamayla milyonlarca kimlik avı mesajı gönderebilirler. 2023 trendi, kullanıcılar standart e-postayı bırakıp metin ve SMS mesajlaşmasına geçtikçe, smishing ve mobil cihaz saldırılarının artmasıdır.
2023 İçin Diğer Trendler
Piyasada ve ekonomide olup bitenlere bağlı olarak, 2023’teki trendlere bakarken göz önünde bulundurmanız gereken birkaç nokta daha var. Kaynakları elde tutmak, çekmek ve bulmak çok zor olmaya devam edecek. COVID-19’un uzaktan çalışmayla işgücüne getirdiği değişiklikler ve yalnızca birkaç kaynağa yönelik büyük talep nedeniyle, bu yıl yetenekleri elde tutmak ve çekmek zor oldu. İşçiler, çalışma yerlerinde ve programlarında yüksek ücret ve daha fazla esneklik arıyor. Ofise dönmeye çalışan kuruluşlar, en iyi kaynaklarından bazılarının bu hareket için hazır olmadığını görüyorlar. Kaynak kısıtlamaları 2023’te devam edecek ve güvenlik ve bulut, çok rağbet gören yeteneklerde başı çekecek.
Veri güvenliği 2023’te büyük bir bahis olacak. Kuruluşlar, verilerinin her yerde olduğunu ve verileri güvenceye almak, şifrelemek ve yönetmek için güvenlik kontrollerinin olmadığını anlamaya başladılar. Bu zorluk ve üçüncü taraf erişimi ile riskin birleşimi, yönetim kurulu ve CIO’ları geceleri uykusuz bırakıyor. 2023, bazı kuruluşların dahili olarak zayıflıklarını kabul etmeye başladıkları ve verilerin nerede yaşadığını, nasıl güvence altına alındığını, kimin erişime sahip olduğunu ve yaşam döngüsü yönetimini tamamladığını belirleyerek sürece başladığı yıl olacak.
2023 trendleri için bir sonraki alan uygulama güvenliğidir. Genel olarak, CI/CD ardışık düzeni ve uygulama geliştirme etrafındaki güvenlik, endişe edilmesi gereken büyük bir alandır. Bu, Dev/Sec/Ops ile birlikte BİZ GELİŞTİRİCİLER GÜVENLİĞİ YILLARCA BAKACAĞIZ. Bu, bir organizasyon içindeki pandora’nın eşya kutusudur. Genellikle tutarlı kontroller bulunur ve denetim ve kimlik yaşam döngüsü yönetimi eksikliği neredeyse yoktur. Örneğin, geçen yılın geliştirme projesinde çalışmış olan yükleniciler, kod ve sistemler üzerinde hala idari haklara sahiptir.
Gelecek yıl için son kristal küre eşyası, FINOPS’taki artış. Bu, güvenlik, geliştirme ve bulutun paraya mal olduğunun ve FINOPS’un harcamaları, eğilimleri, temel çizgileri analiz etmek ve maliyet optimizasyonu, indirimler, israf ve suistimali aramak için nasıl bir sonraki büyük bahis olduğunun farkındalığıdır. Bulutta aşırı harcamadan raf yazılımlarına kadar, kuruluşlar bir harcama çılgınlığı içinde ve ekonominin ve bütçelerin daralmasıyla birlikte, CIO’lar tasarruf edilebilecek veya bütçeden azaltılabilecek her kuruşu arayacak.
2022 bitmedi, ancak 2023 stratejinizi dört gözle beklemeye başlamanın ve bankanızı bozmadan kuruluşunuzun nasıl ve güvenliği nasıl iyileştirdiğini görmenin yolları var. Kuruluşunuzun bu trendlerden bazılarına nasıl hazırlandığı, daha iyi katmanlı bir savunma stratejisi ile yerel gazetede ağınızın ihlaliyle ilgili bir sonraki başlık arasındaki fark olabilir.
Yazar hakkında:
Stephanie Benoit Kurtz, Bilişim Sistemleri ve Teknolojisi Fakültesi’nin Baş Öğretim Üyesidir ve son 20 yılda BT ile ilgili kurslar vermiştir. Aynı zamanda Trace3’te Baş Güvenlik Danışmanıdır. Stephanie, Bilgi Teknolojisi ve Güvenlik Çözümleri ve Danışmanlığında 25 yılı aşkın sektör deneyimine sahiptir.
reklam