Siber güvenlik sektörü çok önemli ve çoğu zaman zayıflatıcı olaylarla dolup taşıyor ve 2024 bunu fazlasıyla gösterdi. Tuzaklara neden olan ve savunmayı dezavantajlı duruma sokan köklü zorluklar kalıcıdır ve çok fazla değişmez.
ABD telekomünikasyon ağlarına yönelik yaygın saldırılar yetkilileri sinirlendirmeye devam ediyor, CISO’ların rolleri ve sorumlulukları genişledikçe düzenlemeler üzerindeki baskı artıyor ve kritik BT sistemlerinde tek hata noktaları çoğalıyor.
Bunlar, Siber Güvenlik Dalışı’nın 2025’e girerken en öne çıkan ve kafa karıştırıcı olarak tanımladığı dört trend.
Tek başarısızlık noktaları çoğalır
Geçen yıl, BT sistemleri arızalandığında nelerin ters gidebileceğini gösteren çok sayıda yüksek profilli örnek ortaya çıktı.
Bu tek başarısızlık noktaları – aşağıdakilerle kanıtlandığı gibi CrowdStrike’ın hatalı yazılım güncellemesiyıkıcı Change Healthcare’e fidye yazılımı saldırısıve bir Snowflake müşterilerini hedef alan saldırılar serisi Siber güvenlik uzmanları, 2025’te teknolojinin ve sistemlerin diğer kesimlerini de etkilemeye devam edeceği konusunda uyarıyor.
Saldırganlar zayıf noktaları bilir ve sistemler arasındaki kritik bağımlılık noktalarını hedef alır çünkü aynı anda birçok şirketi etkileyebilir ve kurbanlarına daha büyük zarar verebilirler.
“Üzücü gerçek şu ki, dirençliliğe dayalı düşünce bu tek başarısızlık noktalarına ve konsantrasyon riskine ışık tutsa da, bunlar zar zor kayıt ediliyor” dedi Katell Thielemann, Gartner’ın seçkin analist başkan yardımcısı.
Analistler, riski dengeleme ve operasyonları dayanıklı tutma sorumluluğunun işletmelere ve onların tedarikçilerine ait olduğunu ileri sürüyor.
Dell’Oro Group’ta kurumsal güvenlik ve ağ araştırması kıdemli müdürü Mauricio Sanchez, “Daha azıyla daha fazlasını yapma baskısı, eksik risk değerlendirmelerine ve hafife alınan patlama yarıçapı hesaplamalarına yol açıyor” dedi. “Birçok işletme ya tek bir başarısızlık noktasını tanımıyor ya da bunların potansiyel etkilerini doğru bir şekilde ölçmüyor.”
Bu siyah kuğu olayları meydana geldiğinde, sonrası açıktır.
Bu olaylar Bulutun paylaşılan sorumluluk modelindeki boşlukları ortaya çıkarın ve test edinve satıcıların müşterilerle ilişkilerinin dinamiklerini değiştirin.
“Bu olayların uzun vadeli sonuçları, incelemelerin artması ve özellikle kritik görev zamanlarında müşterilerin yararlanabileceği hizmetlerin kullanılabilirliğini sağlamaya odaklanılmasıdır” dedi. Allie Mellen, Forrester’ın baş analisti.
Son zamanlardaki yüksek profilli olaylar, Sanchez’in “satıcıların zarar görmezliği yanılsaması” olarak tanımladığı şeyi de paramparça etti ve müşterilerin teknoloji tedarikçilerinden beklentilerinde köklü bir değişikliği tetikledi.
“Kuruluşlar sahte güvenlik algısından kurtulmalı ve yıkıcı başarısızlıkların meydana gelebileceğini ve gerçekleşeceğini kabul etmelidir. Sanchez, 2024’teki olaylar, güvenilir satıcıların bile yıkıcı başarısızlıklar yaşayabileceğini gösterdi.” dedi.
Düzenleyici ortam, gergin tehdit ortamı CISO’lar için yeni bir ortam yaratıyor
ABD şirketlerindeki üst düzey siber güvenlik görevlileri yönetim kurulunda nüfuz kazanıyor ancak her zamankinden daha büyük baskı hissediyorlar.
Artan kötü niyetli siber faaliyet tehdidi, kurumsal düzenleme ortamı üzerinde derin bir etki yarattı.
Yetkililer tehdit ortamına ilişkin gerçek zamanlı istihbarat ve öngörü elde etmeye çalışırken, son yıllarda federal ve eyalet gözetimi önemli ölçüde arttı. Amaç, özel sektör şirketlerinin ve kritik altyapı sağlayıcılarının riski daha iyi yönetmek için adımlar atmalarını ve tehdit bilgilerini kilit paydaşlara derhal açıklamalarını sağlamaktır.
Her ne kadar iyi niyetli olsa da, daha katı koşullar özel sektörün ciddi anlamda geri adım atmasına yol açtı. Şirketler, devlet kurumlarının CISO’lara ve diğer üst düzey güvenlik yöneticilerine daha fazla yük getiren gereksiz açıklama taleplerinden şikayetçi oldu.
Bir Trellix’in ekim ayı raporu CISO’ların, federal ve eyalet düzenleyicilerinin artan uyumluluk gereksinimlerine atıfta bulunarak, CISO’nun rolünü bir ticari CISO rolünü de içerecek şekilde bölmek istediklerini gösteriyor.
Ulusal Siber Direktör Harry Coker Jr. söz konusu federal yetkililer şirketler üzerindeki düzenleyici yükü hafifletmek için özenle çalışıyorlardıColumbia Üniversitesi Uluslararası ve Halkla İlişkiler Okulu’nda siber düzenleme üzerine düzenlenen bir konferansta, taleplerin güvenlik liderlerinin kendi kurumsal ağlarını korumaya odaklanma yeteneklerine zarar verdiğini kabul etti.
Konuşmanın okunmasına göre Coker, “Her siber sorun düzenleyici bir çözüm gerektirmez” dedi. “Ve her düzenleyici çözüm, uyumluluk maliyetleriyle karşılaştırıldığında etkinliği en üst düzeye çıkaracak şekilde tasarlanmamıştır.”
Menkul Kıymetler ve Borsa Komisyonu 2023’ün sonlarında halka açık şirketlerin maddi siber saldırıları ve ihlalleri kuruma bildirmeleri için kurallar uygulamaya başladı.
A Paul Hastings’in Aralık raporu halka açık şirketlerin siber ifşalarının SEC kuralının yürürlüğe girmesinden bu yana %60 arttığını gösterdi. Ancak bu açıklamaların %10’undan azı, maddi etkisi olan bir olayın tanımını içeriyordu.
Rapora göre olayla ilgili açıklamaların dörtte üçünden fazlası olaydan sonraki sekiz gün içinde yapıldı. Yaklaşık 5 şirketten 2’si, 8-K’yi daha fazla bilgiyle güncellemek için ek açıklamalar yaptı.
Telekom saldırıları 2025’te artacak
Federal siber yetkililer, 2024 yılını ABD telekom ağlarına yönelik bir dizi kapsamlı saldırıyı kontrol altına alma ve kapsamını belirleme mücadelesiyle sonlandırdı. Daha fazla hasar potansiyeli devam ediyor ve yetkilileri yeni yılda sıkıntıya sokacak.
Çin hükümetinin sponsor olduğu bir tehdit grubu olan Salt Typhoon, En az 9 ABD telekom şirketine sızdı yetkililer saldırganların hâlâ ağlara erişimlerinin olduğu konusunda uyarıyor.
Saldırı dalgasının “bugüne kadar kritik altyapıya yönelik gördüğümüz en önemli saldırı” olduğu ifade edildi. Anthony Ferrante, FTI Consulting’in kıdemli genel müdürü ve küresel siber güvenlik başkanı.
Ferrante, “Bütün yaşamlarımız – yaptığımız her şey – birbirine bağlı ve esasen keşfettiğimiz şey, bir düşmanın bu ara bağlantıya sızdığı ve bununla istediklerini yapabildikleridir” dedi.
Siber güvenlik uzmanları, bu tür kritik altyapının geniş kapsamlı bir şekilde tehlikeye atılması, kötü amaçlı etkinliğin aylarca (belki de yıllarca) tespit edilememesi ve savunucuların telekomünikasyona yerleştirilmiş saldırganları başlatmaması gibi faktörlerin bir araya gelmesi nedeniyle saldırıların daha fazla zarar vereceği konusunda uyarıyorlar. ağlar.
“Bundan hepimiz çok rahatsız olmalıyız” HackerOne CEO’su Kara Sprague söz konusu.
Saldırılar aktif, devam ediyor ve yetkililer hala Salt Typhoon’un ne yaptığını tam olarak bilmiyorne yapmayı planladığı veya neyin risk altında olduğu.
Federal yetkililer birincil hedefin casusluk olduğuna inanıyor ancak üst düzey bir yönetim yetkilisi geçen ay telekom saldırılarının potansiyel olarak kriz veya çatışma zamanlarında kesintiye yol açabilecek bir moda dönüşebileceğini söyledi.
“Durum çok ciddi ve yetkililer bilgisayar korsanlarının telekom altyapısından ne zaman silinebileceğini bilmediklerini kabul etti” dedi Stéphane Téral, Téral Research’ün kurucusu ve baş analisti.
“Görüşte sonu yok.”
CISO’nun Evrimi
Düzenleyici ortamdaki değişiklikler, özellikle halka açık şirketlerde CISO’nun rolünde büyük bir değişime yol açtı.
Dahili olarak, modern şirketlerin yönetim yapısı içerisinde CISO’nun rolü büyük önem kazanmıştır. Yöneticiler aynı zamanda yönetim kurulu ve üst düzey yöneticiler üzerinde daha fazla etkiye sahiptir.
Ancak siber risklerin açıklanması ve risk azaltma stratejilerinin uygulanması açısından da çok daha yüksek standartlarda tutuluyorlar.
“CISO’lar artık SEC kararı nedeniyle artan iç incelemelerle ve daha geniş bir paydaş kitlesiyle karşı karşıya” Siber güvenlik firması Trellix’in CISO’su Harold Rivas, Siber Güvenlik Dalışı’na e-posta yoluyla söyledi. “Karar aynı zamanda kurula raporlama sıklığının artması nedeniyle görev üzerindeki baskıyı da artırdı.”
Aralık ayında Trellix’ten yayınlanan araştırma şunları gösterdi: 5 CISO’dan 2’si SEC kurallarını hissediyor dikkatlerini diğer sorumluluklardan uzaklaştırdı ve 5 kişiden 3’ü, artan düzenleme yüküyle başa çıkmaya yardımcı olmak için çalışan sayısını artırdı.
Tarafından yayımlanan araştırma Kasım ayında IANS ve Artico Search CISO’ların veri gizliliği, ürün güvenliği ve diğer temel risk endişeleri konularında uzmanlar eklemeye çalışırken, güvenlik ekiplerine uzmanlaşmış roller eklemeye giderek daha fazla odaklandıklarını gösterdi.
BitSight’ın baş risk sorumlusu Derek VadalaCISO’ların birçok şirkette iş ve teknoloji kararları üzerinde giderek daha fazla sorumluluk ve nüfuz sahibi olduklarını söyledi.
“Bu güvenlik liderleri CIO’larla akran haline geldi — Vadala, e-posta yoluyla, “Yönetim kuruluna açık erişim ve daha geniş teknoloji stratejisi üzerinde önemli bir etki ile” dedi.