Siber güvenlik uzmanları sürekli değişen tehdit manzarasından endişe duyabilirler. Yapay zekanın (AI) kötü niyetli aktörler tarafından artan kullanımından genişleyen saldırı yüzeyine kadar siber güvenlik riskleri gelişir ve savunucuların onları azaltması gerekir.
2021 ve 2022 yılları arasında siber güvenlik bütçesi büyümesi dönemine rağmen, bu büyüme son birkaç yılda yavaşladı, yani siber güvenlik liderleri satın alımlarının mevcut güvenlik ve uyumluluk duruşlarını nasıl geliştirdiğini dikkatle düşünmeleri gerekiyor.
2025 yılında kuruluşun siber güvenlik bütçesini optimize etmek için liderliğin mevcut manzarayı ve hangi girişimlerin riski uygun şekilde azaltmalarına yardımcı olması gerekir.
AI, kimlik bilgilerinizin sonlandırıcısı olabilir
Mevcut AI modelleri özerk bir şekilde derin ve aksanlı bir sesle “Geri döneceğim” diyemeyebilir. Bununla birlikte, kötü aktörler, sosyal mühendislik kampanyalarını geliştiren derin sahteler oluşturmak için ChatGPT gibi AI modellerini giderek daha fazla kullanıyorlar.
Eski Sıfır Güven sloganı eskiden “güven ama doğrulayın” olsa da, modern atasözü “hiçbir şeye güvenmiyor ve kimseye güvenmiyor”. Kötü niyetli aktörler AI ve büyük dil modellerinden (LLMS) yararlandıkça, sosyal mühendislik kampanyaları daha gerçekçi hale gelir ve saldırganların gerçek dünyadaki insanların fiziksel ve dijital varlıklarını taklit etmesini sağlar.
Örneğin, siber suçlular bir CEO’nun sosyal medya profilinden bir AI’ya kolayca besleyebilir, ardından bireyin “tarzında yazmak” için bir istem kullanabilir. Kimlik avı e -postaları daha meşru görünürken, insanlar gerçek mesajları sahte olanlardan ayırt etmek için mücadele ediyor.
AI’da ABD’nin kalkınma fırsatlarını artırmayı amaçlayan en son Beyaz Saray yönetici emri ile Amerikan şirketleri bazı kötü aktörleri geride bırakabilir, ancak insanlar artık gözlerine ve kulaklarına güvenemezler. Ve Deepseek gibi daha ucuz ama rekabetçi modellerin yükselişiyle, kötü niyetli aktörlerin bunları sosyal mühendislik kampanyalarına dahil etme olasılığı daha yüksek olacaktır.
Saldırganlar genellikle kimlik bilgilerini çalmak için sosyal mühendislik ve kimlik avı kullandıklarından, kuruluşların tüm kullanıcıları tanımlayan ve normal davranışlarını anlayan kimlik stratejilerine sahip olmaları gerekir. Bu yetenekler olmadan, tehlikeye atılan kimlik bilgilerinden kaynaklanan anormal aktivitenin tanımlanması neredeyse imkansız olacaktır.
Başlangıç Erişim Yöntemlerinin Satışları Saldırganların Yeteneklerini Genişletiyor
Kötü niyetli aktörler, ilk erişim elde etmek için birincil yöntem olarak güvenlik açığı sömürüsüne odaklanmaya devam edecektir. Kötü aktörler sömürmek için bir güvenlik açığını belirledikten sonra, ilk güvenlik zayıflığı ile başlayan biraz farklı saldırı yolları kullanabilirler.
Yakınlaştırılırken ve siber suçlu ekosisteme bakarken, ilk erişim problemi daha da anlamlıdır. Karanlık ağ boyunca, siber suçlular giderek kendi niş spesiyalitelerine odaklanıyor. Örneğin, başlangıç erişim brokerleri (IAB), hedef sistemlere erişim kazanmaya odaklanır, ardından erişimi karanlık ağda veya telgraf kanallarında satmaya odaklanır. Güvenlik açıkları veya çalıntı kimlik bilgileri ile ilgili erişim satıyorlarsa, ekosistem, sofistike olmayan siber suçluların daha sofistike saldırılar düzenlemesini kolaylaştırır.
Saldırganların hedefleme olasılığı daha yüksek olan orta ve büyük kuruluşlar için, risk azaltma stratejileri, parolaları daha sık ve daha geniş bir ölçekte döndürmeyi içerebilir.
Kimin ve neyin ağlara bağlandığını bilmek kritik olmaya devam ediyor
Kimlik şimdi ve kalacak – güvenlik çekirdeği. Kuruluşlar insan kullanıcıları ve kimlikleri hakkında bilgi sahibi olsa da, hizmet hesapları gibi insan olmayan kimlikleri yönetmekle giderek daha fazla mücadele ediyorlar.
Makinelerle konuşan makineler ve uygulamalarda kullanılan kimlikler, insan hesabı sayısının on, hatta yirmi kez patladı. Bunu tanıyan kötü niyetli aktörler, saldırı vektörleri olarak giderek daha fazla makine-makine ve uygulama kimliklerini hedefliyorlar.
Çevre bu sorunların yattığı yerlerde sorun daha karmaşık hale geliyor. Teknoloji borcu, dağınıklık ve belirsiz erişim yolları saldırganlar için ek fırsatlar yaratır. Kötü niyetli aktörler, özellikle çoklu bulut ve hibrid altyapılarda birden fazla erişim yolundan yararlanabileceklerini bilirler.
Bu hizmet hesaplarının risk oluşturabileceği bazı örnekler şunları içerir:
- Güvenlik geçici çözümü oluşturan şirket içi sistemler oluşturan geliştiriciler
- Üçüncü taraf satıcıların sistemleri
- Şifre politikaları güncellenmemiş eski cihazlar, hesaplar ve yetkiler
Hizmet hesaplarının belirlenmesi ve yönetilmesi temel bir güvenlik riskini azaltma stratejisi olacaktır. Kuruluşların bu hesapların neler yapabileceğini ve yapamayacağını tanımlamaları, daha sonra politikaları bir insan yönetici hesabı için olduğu kadar uygulaması gerekir.
Uyum hala olmazsa olmaz
Benjamin Franklin, ölüm ve vergiler dışında dünyadaki hiçbir şeyin kesin olmadığına karar verdi. Bugün etrafta olsaydı, muhtemelen “ve veri koruma düzenlemeleri” de ekleyecekti.
Her ne kadar küresel manzarada bazı deregülasyon girişimleri ortaya çıkmış olsa da, siber güvenlik farklı bir canavardır. Birçok yasama ve düzenleyici organ, iki katına çıkmaya devam edecek ve şirketlerin tüketici ve çalışan bilgilerini korumasını sağlayacaktır. Özel sektörler, siber saldırılara karşı korunarak ön hatlarda kalacak ve uyum ortamı bu faaliyetlerin kanıtını gerektirmeye devam edecektir.
Kuruluşlar, sağlam uyum belgelerine olanak tanıyan ve birden fazla yasa, düzenleme ve çerçeve arasında haritalanabilen çözümlere yatırım yapmalıdır.
Siber risk sigortacıları daha iyi cevaplar istiyor
İş dünyasında, siber sigorta bir başkasının güvenlik olayının maliyetlerini karşılamasına eşittir.
Son birkaç yıldır, siber sigorta sağlayıcıları, şirketleri daha agresif olmak için şirketlere ne geri ödemeleri gerektiği konusunda daha şüpheci hale getirdiler. İlk etapta sigorta bile elde etme gereksinimleri önemli ölçüde daha katı hale geldi. Sorumluluk sahibi olan bu savaş oyununda, kuruluşların güvenlik kontrollerini daha etkili bir şekilde uygulaması, sürdürmesi ve izlemesi gerekir.
Sigorta şirketleri, kuruluşların kullanması gereken araçları daha iyi anlayarak daha sofistike hale geldi. Sorunun eskiden “Pam çözümünüz var mı?”
Tüm kuruluşlar, özellikle de daha küçük şirketler, daha zor sorumluluk konuşmalarıyla karşılaşacaktır.
Siber sorumluluk sigortası için onaylanmak için kuruluşların sigorta sigortacılarının sorduğu giderek artan sorulara ve sürekli kontrolleri desteklemek için izlemeye cevap vermeleri gerekmektedir.
Kullanıcılar için sürtünmeyi azaltmak, güvenlik benimsemesini artırır
Kuruluşların daha fazla güvenlik ürünü dağıtmaları, daha derin güvenlik politikaları oluşturmaları ve çevrelerini daha titizlikle izlemeleri gerekir, ancak her yeni kontrol eklediklerinde son kullanıcılar için ek sürtünme yaratırlar.
Örneğin, kuruluşlar kullanıcıların kurumsal cihazlara, ağlara ve uygulamalara girmesine izin vermeden önce yeni kimlik doğrulama faktörleri ekler. Her sistemin farklı düzeyde ayrıntı ve erişim kontrolü vardır. Evdeki kullanıcılardan acil servis tabanındaki hemşirelere, cihazlara ve uygulamalara giriş yapmak daha fazla adım gerektirir ve daha fazla zaman tüketir.
Her yeni güvenlik adımı için, insanlar hayatlarını kolaylaştıran geçici çözümler arayacak ve çoğu zaman bu geçici çözümler güvenlik zayıflıkları yaratacaklar.
Kuruluşların sürtünmeyi azaltan çözümler araması gerekir. Tüketiciler ve müşteriler kuruluşları hassas bilgilerini korumaktan sorumlu tuttukça, şirketlerin güvenlik ve kullanılabilirlik arasındaki hassas dengeyi vurmalarına yardımcı olan çözümler uygulamaları gerekir.
Kimlik üzerine inşa edilmiş bir kristal top
Kimse geleceği gerçekten tahmin edemese de, son birkaç yıldaki kimlik temelli saldırıların istatistiksel yükselişi, tehdit aktörlerinin bu metodolojileri dağıtmaya devam edeceğini gösteriyor.
Kuruluşlar siber güvenlik yatırımlarını 2025 için seçtikçe, birbirine bağlı uygulamalar ve çok sayıda zor kullanıcı kullanıcıdan oluşanlar da dahil olmak üzere, kimlik hijyeninin nasıl uygulanacağını, kullanıcı erişimini karmaşık ortamlarda uygulama, sürdürme ve izleme süreçlerinin nasıl uygulanacağını düşünmelidirler. Hizmet Hesapları.