2023’te siber güvenlik profesyonellerinin zihninde kira bedeli olmadan yaşayan trendlerin 2024’te de devam edeceği ve manzarayı yeniden şekillendireceği kesin.
Önlemeye yönelik uzun süredir ilan edilen önlemler ne yazık ki karşılanamıyor, fidye yazılımı belası her zamankinden daha kötü durumda ve yeni bir olay raporlama ve uyumluluk düzenlemeleri dalgası devreye giriyor.
Bunlar, Siber Güvenlik Dalışı’nın 2024’e girerken en öne çıkan ve kafa karıştırıcı olarak tanımladığı beş trend.
Vurgulamamız gerektiğini düşündüğünüz bir eğilim veya tahmin var mı? Bize e-posta gönderin [email protected].
1. Güvenlikte önleme en iyi ilaçtır
Ürünleri daha güvenli hale getirmenin en iyi yollarından biri tasarım aşamasında riski ortadan kaldırmaktır.
Teknoloji endüstrisi, güvenliği yeni uygulamaların ilk aşamasına yerleştirme isteğinin sinyalini verebilecek, geliştirme aşamasında basit değişiklikleri benimsemeye başlıyor.
Güvenli yazılım geliştirmenin en temel unsurlarından biri kodun güvenli olmasını sağlamaktır. C ve C++ kullanılarak çok sayıda uygulama geliştirildi; bu diller onlarca yıldır ortalıkta dolaşıyor ve hız için tasarlandı.
Ancak bu dillerin aynı zamanda hafıza güvenliği sorunları açısından daha fazla risk altında olduğu düşünülmektedir. Yazılım açıklarının üçte ikisi şunlarla bağlantılı: bellek güvenli kodlama sorunlarıCISA’ya göre.
Ağustos ayında Beyaz Saray bilgi talebi yayınladı açık kaynak güvenliği ve bellek güvenliği üzerine. Aralık ayında CISA, FBI ve önemli yabancı ortak kuruluşlar, üreticilerin Bellek açısından güvenli dillerin kullanımını benimseyin yazılım açıklarını azaltmanın bir yolu olarak.
Açık kaynak topluluğu, geliştirme aşamasında güvenliği artırmak için de adımlar atıyor.
“Gördüğümüz en büyük değişim, hem açık kaynak topluluğunda hem de kurumsal müşterilerimizde sadece iyileştirmeye değil, önlemeye de verilen önemdir” dedi Eric Tooley, GitHub’un kıdemli ürün pazarlama müdürü.
Örneğin GitHub aşağıdaki gibi araçlar sağlar: Dependabot geliştiricilere yardımcı olacak Güncelliğini yitirmiş ve savunmasız bağımlılıkları yazılımlarından uzak tutun. 2023’te geliştiriciler, 2022’ye kıyasla savunmasız paketler için %60 daha fazla otomatik Dependabot çekme isteği aldı.
Kasım ayında GitHub bir lansman başlattı Yapay zeka tabanlı kod tarama otomatik düzeltme özelliğiBu, geliştiricilerin sırların ve güvenlik açıklarının kodlara sızmasını engellemesine olanak tanır.
2. Fidye yazılımı saldırıları büyük balinaları yüksek etkiyle hedef alıyor
Büyük, yüksek profilli hedeflere yönelik fidye yazılımı saldırıları 2023’te çok fazlaydı ve bu da operasyonel açıdan gözle görülür etkilere yol açtı.
Çok sayıda emlak şirketine yönelik saldırılar kapanışları sekteye uğrattı Clorox Şirketi Bir saldırının ardından sipariş işlemedeki gecikmeler ve ürün kıtlığı nedeniyle mali kayıp bildirmesi bekleniyor. MGM Tatil Köyleri Ve Sezar EğlencesiLas Vegas’ın ikinci ve üçüncü büyük kumarhane şirketleri, fidye yazılımı saldırıları nedeniyle mali kayıplara uğradı ve iş operasyonları olumsuz etkilendi.
“Bilgisayar korsanları bir kuruluşa en çok acı veren şeyi hedef alır” said Kris Lovejoy, Kyndryl’de güvenlik ve dayanıklılık alanında küresel uygulama lideri.
Siber güvenlik uzmanları, 2024 yılında fidye yazılımı gruplarının yüksek değerli hedefleri, özellikle de ciddi operasyonel aksaklıkları azaltmak amacıyla fidye taleplerini ödeme olasılığı daha yüksek olan kuruluşları hedeflemeye devam etmesini bekliyor.
“Şantajla balina avcılığının avantajları var. Daha büyük şirketler, küçük ve orta ölçekli işletmelere kıyasla daha büyük fidye talepleri ödeme potansiyeline sahiptir. Suçlular hedeflemeyle düşük hacimli, yüksek kazançlı rotayı izleyebilirler” dedi.d Rick Holland, Reliaquest Başkan Yardımcısı ve CISO.
Yüksek profilli hedeflere yönelik saldırılar, büyük kuruluşlardaki güvenlik liderlerinin halihazırda bildiklerinin doğrulanması ve devamı niteliğindedir. Allie Mellen, Forrester’ın baş analisti.
Mellen, “Doğru yedeklemelerden, önleme, tespit ve müdahaleye kadar fidye yazılımı saldırıları ve ardından gelen iş kesintileriyle mümkün olduğunca karşılaşmaya hazırlıklı olmaları gerekiyor” dedi.
EY Amerika’nın siber güvenlik lideri Dave Burg’a göre, yüksek değerli hedeflerin ve etkilerin tanımları, yazılım satıcılarını ve üçüncü taraf hizmet sağlayıcılarını da kapsayacak şekilde gelişiyor.
Burg, “Dış kaynaklı yardım masası hizmetleri sağlayan küçük bir sağlayıcının güvenlik için çok fazla bütçesi olmayabilir, ancak müşterileri dünyanın en büyük şirketlerinden bazılarıysa hedef olacaklar” dedi Burg.
3. 2024’te daha fazla olay raporlama ve uyumluluk bekleniyor
Federal kurumlar ve çeşitli devlet yetkilileri, kötü niyetli tehdit faaliyetlerinin yayılmasını önlemek amacıyla şirketlere ve kritik altyapı sağlayıcılarına istihbarat paylaşmaları ve olayları bildirmeleri konusunda yeni baskılar uyguluyor.
SolarWinds ve Colonial Pipeline siber saldırılarını takip eden en önemli gelişmeler arasında federal yetkililer, veri ihlalleri ve saldırılar hakkında istihbarat paylaşma ve bilgi toplama çabalarını başlattı; böylece kuruluşlar, veriler çalınmadan veya kritik operasyonlar kesintiye uğramadan önce tehdit faaliyetlerine daha iyi hazırlanabilirler.
Hukuk uzmanlarına göre, hükümet yetkilileri güvenlik tehditlerinin hızlı, doğru ve eksiksiz bir şekilde açıklanmasını ve yönetim düzeyinde hazırlıklı olmayı teşvik etmeye çalışırken, şirketler önümüzdeki yıl federal ve eyalet düzeyinde daha fazla düzenleyici inceleme görmeyi beklemelidir.
2023 zaten kurumsal raporlama zorunluluklarında önemli değişiklikler getirdi. Menkul Kıymetler ve Borsa Komisyonu artık halka açık şirketlerin önemli siber güvenlik olaylarını Önemliliğin belirlenmesinden sonraki dört iş günü. Bunlara ABD şirketleri ve ABD borsalarında işlem yapan yabancı ihraççılar da dahildir.
Açıklama, yatırımcılar için şeffaflığı artırmak amacıyla tasarlandı, ancak aynı zamanda şirketlerin tehdit avlama yeteneklerini ve olay müdahale prosedürlerini sıkılaştırmaları için bir teşvik görevi de görüyor.
Değişiklikler, siber güvenlik tehditlerini hızlı bir şekilde değerlendirmek, bu tehditlere yanıt verecek bir ekibe sahip olmak ve bir ihlal veya saldırının yatırımcıları ve müşterileri nasıl etkileyeceğini doğru bir şekilde değerlendirmek için teknik uzmanlığa sahip olmaları konusunda şirketler üzerinde büyük bir baskı oluşturuyor.
Seward & Kissel’in Capital Markets & ortağı Keith Billotti, pek çok şirketin bu riski bir yatırım riski olarak gördüğünü ve dolayısıyla “iyi politika ve prosedürlere sahip değilseniz para kaybediyorlar” dedi. Kurumsal Menkul Kıymetler grubu.
Şirketlerin verimli ve karlı olabilmesi için bir saldırıyı durdurmak, tanımlamak ve yanıt vermek için sağlam politikalara ve prosedürlere sahip olmaları gerekir.
Saniye Şirketleri araştırdı Siber olaylar hakkında gerektiği gibi açıklama yapmayan veya yanıltıcı beyanlarda bulunanlar. Şirketler ayrıca yatırımcıları veri güvenliği yetenekleri konusunda yanıltan soruşturmalarla da karşı karşıya kaldı.
Federal Ticaret Komisyonu, müşteri verilerini koruma çabalarına ilişkin şirketler üzerindeki incelemeyi artırdı. Ajans, kasım ayında şunları söyledi: banka dışı finansal kuruluşlarİpotek komisyoncuları, avans kredisi verenler ve motorlu araç satıcıları da dahil olmak üzere, veri ihlallerini ve diğer güvenlik olaylarını 30 gün içinde bildirmeleri gerekmektedir.
Devlet düzenleyicileri bu gibi New York Eyaleti Finansal Hizmetler Bakanlığı Kasım ayında bankaların, sigorta şirketlerinin ve diğer düzenlemeye tabi kuruluşların fidye yazılımı ödemelerini raporlamasını, risk değerlendirmeleri yapmasını ve gelişmiş siber güvenlik eğitimi sunmasını gerektiren iyileştirmeleri açıkladı.
4. Tehdit aktörleri etkiyi artırmak için üçüncü taraf satıcıları hedef alıyor
Dosya aktarım hizmetleri de dahil olmak üzere üçüncü taraf satıcılara yönelik saldırılar, geçen yıl alt sektördeki kurbanları tuzağa düşürmeye devam etti. Siber güvenlik uzmanlarına göre bu tedarik zinciri saldırıları devam edecek ve 2024’teki en güçlü siber saldırılardan bazılarıyla sonuçlanacak.
Burg, “Siber olayların tek kurbanı üçüncü taraf satıcılar değil; meydana gelen herhangi bir operasyonel kesinti ve veri hırsızlığı nedeniyle tüm müşterileri ikinci derece mağdur oluyor” dedi.
Dalgalanma etkisinin daha da yayılabileceğini ekledi.
Lovejoy, “Birçok kuruluş, dijital ayak izlerini genişletmek ve iş süreçlerini güçlendirmek için kendi BT departmanlarının dışına bakıyor, ancak karmaşık bir BT iş ortağı ekosistemi aynı zamanda çeşitli potansiyel riskler de yaratıyor” dedi. “Kötü aktörler bir kuruluşun sistemlerine girmek için üçüncü taraf bir giriş noktasını deneyebilir ve bu sistemlere bulaşabilir, verileri çalabilir veya iş operasyonlarını aksatabilir.”
Mellen’e göre işletmeler kendi altyapılarına yönelik saldırılara karşı savunma yapabilse de birlikte çalıştıkları üçüncü taraf altyapıları üzerinde doğrudan kontrole sahip değiller ve bu da bir savunma boşluğu bırakıyor.
Mellen, “Tedarik zinciri saldırıları benzersizdir çünkü internet çağında büyük ölçüde güvendiğimiz bir şeyden yararlanırlar: ara bağlantı” dedi.
Burg’un 2024’e girmesiyle ilgili en fazla endişeye neden olan şey, çoğu insanın adını hiç duymadığı açık kaynak satıcıları.
Burg, “Kullandığımız tüm iş uygulamalarının temelini oluşturan şifreleme, kayıt tutma ve sistem yönetimi için yazılım kitaplıkları oluşturanlar, bence en duyarlı olanlardır” dedi. “Bunlar ücretsiz ve açık kaynak olduğundan, genellikle umduğumuz sağlam güvenliği sağlamak için zamanı veya kaynağı olmayan gönüllü bir çekirdek ekip tarafından bakımı yapılıyor.”
5. Kutunun dışında güvenli
Güvenlik sektöründe çok eski bir tartışma, ürünlerin güvenli olduğundan emin olma sorumluluğunu kimin üstlenmesi gerektiğidir. Müşteriler uzun süredir güvenli olmayan ürünlerden şikayetçiydi ancak yazılım geliştiricileri ve üreticileri, kullanıcıların cihazları ve uygulamaları doğru şekilde yapılandırmakta başarısız olduklarını söyleyerek bu tartışmayı yumuşattı.
Tartışma 2023’te tam bir döngüye girmiş olabilir ve 2024’e gelindiğinde güvenlik konusunda büyük bir rol oynayabilir.
2023’ün en büyük bilgi güvenliği krizlerinden ikisi, temel yapılandırma öğelerinden yoksun ürünler tarafından tehdit edilen sırasıyla kritik altyapı sağlayıcılarını ve devlet kurumlarını içeriyordu.
ABD su ve atık su sağlayıcılarının İran bağlantılı hacklenmesi ve Çin Halk Cumhuriyeti ile bağlantılı ABD Dışişleri Bakanlığı e-postalarının hacklenmesi, ülkenin güvenlik altyapısındaki kusurları ortaya çıkardı.
bağlantılı bir tehdit grubu İslam Devrim Muhafızları Birliği Açık internette görünen cihazlar ve zayıf varsayılan şifreler de dahil olmak üzere, su arıtma tesisleri tarafından kullanılan mantık denetleyicilerindeki potansiyel zayıflıklardan yararlandığından şüpheleniliyordu.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, Aralık ayı ortasına kadar üreticilere, varsayılan şifrelerin kullanımını ortadan kaldırınKötü niyetli tehdit gruplarının kolayca yararlanabileceği .
Etkin olmayan bir Microsoft tüketici imzalama anahtarının Storm-0558 tarafından çalınmasıyla bağlantılı olan Dışişleri Bakanlığı hackleri, şirketin müşterileri güvenlik günlükleri için ek para ödemeye zorlama politikasını ortaya çıkardı; bu, ağ savunucularının kötü niyetli etkinlikleri yakalamasına yardımcı olabilir.
Microsoft Exchange saldırılarında, dış tehdit gruplarının işletim ortamlarını tehlikeye attığını Microsoft’a bildiren hükümet yetkilileriydi. Microsoft, güvenlik günlüğü politikasını değiştirmek zorunda kaldı ve Kasım ayına kadar güvenlik politikasını elden geçirdi. nihayet varsayılan olarak güvenliği benimseyin tasarım uygulamaları.
Bu büyük güvenlik tehditleri ve yoğun hükümet baskısının teşvik ettiği teknoloji endüstrisi, güvenliği geliştirme yaşam döngüsünün temel bir özelliği olarak yerleştirmek için çok sayıda adım atıyor.
AWS şunları yapacaktır: çok faktörlü kimlik doğrulamayı zorunlu kıl 2024 ortasına kadar çoğu ayrıcalıklı kullanıcı için. Bir AWS Organizasyon yönetim hesabının kök kullanıcısı ile oturum açan AWS Management Console müşterilerinin MFA’yı kurmaları gerekecektir. AWS, gereksinimleri bağımsız hesapları da kapsayacak şekilde genişletecek.
“MFA’nın etkinleştirilmesi, hesap güvenliğini artırmanın en basit ve en etkili mekanizmalarından biridir ve yetkisiz kişilerin verilere erişmesini önlemeye yardımcı olacak ek bir koruma katmanı sunar.” Amazon Güvenlik Direktörü Mark Ryland, e-posta yoluyla söyledi.
IT-ISAC Aralık ayında, SaaS ve diğer bulut şirketlerini varsayılan olarak güvenli ilkeleri benimsemeye çağıran bir teknik inceleme yayınladı.
Tartışma, uzun süredir güvenlik riskinin artması, üreticinin pazara çıkış hızının azalması ve kullanıcı açısından üretkenliğin yavaşlaması arasındaki çatışma etrafında yoğunlaşıyordu.
Guidewire Security’nin CISO’su ve teknik incelemenin ortak yazarı James Dolph, e-posta yoluyla şunları söyledi: “Daha genel kullanıcı deneyimine öncelik verildiğinde olduğu gibi elbette ödünleşimler de var.”
Teknik incelemede belirtildiği gibi Dolph şunları söyledi: Yazılım sektörünün güvenliğini artıracak ve haberlerde gördüğümüz gibi olumsuz sonuçlardan kaçınacaksak, kullanıcı güvenliği deneyiminin yazılımdaki diğer hedeflerle aynı seviyede olması gerekir.”