2023 sona ererken, siber güvenlik uzmanlarının kristal kürelerine bakıp gelecek yılın güvenlik sektörü için neler getireceğini tahmin etme zamanı geldi. Tahminlerimizin ilk bölümünde My1Login, i-confidential ve OSP Cyber Academy’deki uzmanlar, önümüzdeki yılın en büyük trendleri olacağına inandıkları şeyleri açıklıyor.
Mike Newman, CEO’su My1Giriş: Buluta geçiş saldırı yüzeyini genişletecek
“Geçen yıl kuruluşlar daha fazla uygulama ve veriyi buluta taşıyarak dönüşüme devam etti. Bu, hizmetlerin verimliliğini ve kullanılabilirliğini artırırken aynı zamanda kurumsal saldırı yüzeyini de genişletti.
Buna paralel olarak kuruluşların, genellikle Microsoft Entra ID gibi platformlarla tüm kurumsal dizinlerini buluta taşıdığını da görüyoruz. Geçmişte Tek Oturum Açma için şirket içi kurumsal dizinle entegre olan uygulamaların birçoğu artık manuel, parola tabanlı kimlik doğrulama gerektirecek, bu da kullanıcılar üzerindeki yükü artıracak ve aynı zamanda kötü niyetli aktörler için saldırı yüzeyini daha da genişletecek.
Yaygın olarak benimsenmesine rağmen Microsoft Entra ID, kurumsal uygulamaların yalnızca bir alt kümesi için Tek Oturum Açma deneyimi sağlar. Bu, çalışanların Microsoft Entra ID ile yerel olarak entegre edilemeyen bulut uygulamalarına erişmek için birden fazla parolaya sürekli ve potansiyel olarak artan bir şekilde bağımlı olacağı anlamına gelir. Ancak bu, oturum açma kimlik bilgilerinin en az güvende oldukları çalışanların eline geçmesine neden oluyor ve aynı zamanda kurumsal güvenlik konusunda da endişe verici boşluklar bırakıyor.
Kötü niyetli aktörler önümüzdeki yıl bu boşluklardan yararlanmaya devam edecek ancak saldırıları Üretken Yapay Zekanın gücüyle süper yüklü olacak.
Meşru uygulamaların oturum açma sayfalarını taklit etmek için yapay zekayı kullanacaklar ve çalışanları kurumsal oturum açma kimlik bilgilerini vermeleri için kandırmak amacıyla karmaşık kimlik avı e-postaları oluşturacaklar. Bu oturum açma bilgileri çalındıktan sonra, hassas verileri çalmak veya fidye yazılımı yürütmek amacıyla çok çeşitli kurumsal kaynaklara erişmek için kullanılacaktır.
Buluta küresel geçişin kurumsal güvenlikte boşluklar bırakması ve ChatGPT gibi araçların suçluların eline geçmesiyle birlikte, önümüzdeki yıl yıldızların kötü niyetli aktörler için hizalanmaya hazır olduğunu söylemek yanlış olmaz.”
i-gizli: Çözüm insan olacak
Saldırılara Karşı Savunma
Fidye yazılımı saldırıları önümüzdeki yıl da tehdit ortamına hakim olmaya devam edecek ve kuruluşların bu dijital savaş alanında hayatta kalmalarına yardımcı olmak için giderek daha fazla çalışanlarından yardım alması gerekiyor.
Bunu başarmak için farkındalık programlarına ve kimlik avı simülasyon egzersizlerine yatırım yapılması şarttır. Bunlar bir defaya mahsus girişimler olmamalıdır. Saldırılar geliştikçe güncel kalmalarını sağlamak için bunların sürekli olması ve düzenli olarak güncellenmesi gerekir.
Kuruluşlar çalışanları ilk savunma hattı olarak gördüklerinde ve onları uygun şekilde silahlandırdıklarında, kimlik avı veya fidye yazılımı saldırılarının nasıl gerçekleştirildiği önemli değildir. İster Üretken Yapay Zekadaki en son gelişmeleri kullansınlar ister Nijeryalı prenslerin birdenbire reddedemeyeceğiniz bir teklifle e-posta göndermesiyle tarihi köklerine geri dönsünler, insanlar tıklamadan önce iyice düşünmeleri gerektiğini bilecekler.
Güçlü Temelleri Korumak
Temel güvenlik yeni ve sıcak bir konu değil ancak önemi önümüzdeki yıl, özellikle de Üretken Yapay Zeka karşısında artmaya devam edecek.
İnsanlar hâlâ güvenliği sağlamanın merkezinde yer alıyor. Kuruluşlar, saldırganların ağlarına girmesini engellemeye yardımcı olacak temel ilkeleri doğru bir şekilde uygulamaya odaklanmalıdır. Temel kontroller aynı zamanda verileri etkileyebilecek karmaşık tedarik zincirlerini de dikkate almalıdır. Odaklanılacak bazı önemli alanlar şunlardır:
- Güncel bir varlık envanterine sahip olmak ve kritik varlıklar hakkında bilgi sahibi olmak.
- Güncel bir üçüncü taraf envanterine sahip olmak.
- Politika ve standartların güncel olmasını, düzenli olarak gözden geçirilmesini ve test edilmesini sağlamak.
Geri ödeme, kuruluşların güvenliklerinin kontrolünü elinde tutmasıdır. Öncelikler, yatırımlar ve gelecek stratejileri hakkında sağlam kararlar alabilecekler. Ayrıca olayları daha hızlı ve etkili bir şekilde soruşturabilecekler.
Temel güvenliklerindeki zayıflıklarla mücadele eden kuruluşların yardım için her zaman yapay zekaya değil deneyimli güvenlik uygulayıcılarına başvurmaları gerekecektir.
Belirli iş ihtiyaçlarına dayalı temel kontrollerin oluşturulmasına yardımcı olarak en büyük farkı yaratabilecek kişiler yine insanlardır.
Boşluk Araçlar Değil İnsanlardır
Kuruluşlar hâlâ güvenlik sorunlarını çözebilecek becerilere sahip kişileri bulmakta zorlanıyor. Önümüzdeki yıl bu açıkları kapatmak her zamankinden daha önemli hale gelecek çünkü yapay zeka, tehdit ortamını rakiplerin lehine değiştirmeye hazırlanıyor.
Hiç kimse bu güvenlik sorunlarını görmezden gelemez. ‘Güç ekonomisi’ çalışanlarına ve bilgili işe alım uzmanlarına güvenmek her zamankinden daha önemli hale gelirken, etik hackleme gibi yenilikçi üniversite kursları ve üniversite çıraklıkları yeni nesil siber yetenekler doğuracak.
Kuruluşların kontrol zayıflıklarını gidermek ve şirket içi ekiplerini yeni yeteneklerle desteklemek için bu girişimlere başvurmaları gerekiyor.
Thomas McCarthy, CEO’su OSP Siber Akademi: Yapay zeka, saldırganlar ve savunucular tarafından silah haline getirilecek
“Eğer 2023, teknoloji şirketlerinin yapay zekada devrim yarattığı yılsa, 2024, saldırganların yapay zekayı silahlandırdığı yıl olacak.
Yapay zekanın hem saldırganlar hem de savunucular tarafından silah haline getirilme potansiyeli var ve bu da düzensiz ve uyumsuz bir mücadelede “siber silahlanma yarışına” yol açıyor.
Önümüzdeki yıl yapay zeka, suçluların bu teknolojiyi geniş ölçekte karmaşık kimlik avı dolandırıcılıkları başlatmak için kullanmasıyla kitlesel bir siber saldırı aracı olarak kullanılacak. Bu dolandırıcılıklar meşru bir markanın yazımı, yazı tipi ve üslubuna kadar son derece ikna edici olacak, dolayısıyla internet kullanıcıları geniş ölçekte mağdur olacak.
Tehditlerin nasıl gelişeceğini ve en savunmasız oldukları yerleri anlamak isteyen CEO’lar ve CTO’lar ile yapay zeka şu anda C düzeyindeki görüşmelere hakim durumda.
Tüm teknoloji yığını risk altında. Yapay zeka, tüm BT sistemleri ve tedarik zincirlerindeki güvenlik açıklarını taramak ve bunlardan yararlanmak için kullanılacak ve sosyal mühendislik ve kimlik avı yöntemleriyle insanları hedef alacak.
Tehdidin üstesinden gelmek için, saldırıları daha hızlı tespit etmek ve yapay zeka tarafından oluşturulan kimlik avı dolandırıcılıkları hakkında bilgi edinmek için daha fazla savunucunun yapay zeka kullandığını göreceğiz, böylece bu saldırılar kullanıcı gelen kutularına ulaşmadan önce engellenebilir.
Yapay zeka, 2024 yılında siber ortama çok az insanın hayal edebileceği şekilde hakim olacak. Bu yılın kötü olduğunu düşünüyorlarsa henüz hiçbir şey görmediler.”