Bu Help Net Security röportajında, Georgetown Üniversitesi Uygulamalı Zeka Programında Yardımcı Profesör ve Siber Güvenlik Programlarından mezun olan Charles Brooks, sıfır güven ilkelerinin, kimlik erişimi yönetiminin ve yönetilen güvenlik hizmetlerinin etkili siber güvenlik için ne kadar önemli olduğunu ve yeni teknolojilerin uygulanmasının nasıl olduğunu anlatıyor. AI, makine öğrenimi ve izleme araçları gibi tedarik zinciri güvenliğini artırabilir.
CISO’lar yeterli veri koruma önlemlerine sahip olduklarına inanıyor, ancak birçoğu geçtiğimiz yıl içinde hassas verilerin kaybıyla uğraştı. Bu bariz çelişkiyi nasıl uzlaştırıyorsunuz?
Koruma önlemlerine rağmen veri kaybı çok da şaşırtıcı değil. Hepimiz siber güvenlikte yakalamaca oynuyoruz. İnternet bir devlet laboratuvarında icat edildi ve daha sonra özel sektörde ticarileştirildi. Donanım, yazılım ve ağlar başlangıçta açık iletişim için tasarlanmıştır. Siber güvenlik başlangıçta önemli bir husus değildi. Bu zihniyet, internetteki bağlantı ve ticaret patlaması nedeniyle kesinlikle değişti ve CISO’lar da büyük bir yakalama oyunu oynuyor.
Hassas verilerin dışarı sızmasını açıklayabilecek çok sayıda neden vardır. İlki, hacker düşmanlarının daha sofistike ve ihlal etme yeteneğine sahip olmalarıdır. Bilgisayar korsanlarının istismar için kullandığı temel araçlar ve taktikler arasında kötü amaçlı yazılım, sosyal mühendislik, kimlik avı (en kolayı, özellikle şirket yöneticilerine yönelik hedefli kimlik avı), fidye yazılımı, içeriden gelen tehditler ve DDOS saldırıları yer alır. Ayrıca, kurbanların ağlarına saldırmak ve onları keşfetmek için kullanılan yapay zeka ve makine öğrenimi araçları da dahil olmak üzere, genellikle karanlık ağda paylaşılan gelişmiş ve otomatik bilgisayar korsanlığı araçlarını kullanırlar. Gelişen hacker silahlarına karşı savunma yapmak, CISO’lar için o kadar kolay değil.
Bir başka büyük faktör de gerçek şu ki, COVID-19 salgınının yol açtığı üstel dijital bağlantı, güvenlik paradigmasını değiştirmiş. Artık birçok çalışan hibrit ve uzak ofislerden çalışıyor. CISO için daha az görünürlük ve yerinde kontrollerle korunacak daha fazla saldırı alanı var. Bu nedenle, daha hassas verilerin bilgisayar korsanlarına maruz kaldığı ve açılacağı sonucuna varmak mantıklıdır.
Tehditler sürekli şekil değiştirdiğinden, yeterli koruma kavramı yanlış bir adlandırmadır. Tek gereken kurnaz bir kimlik avı, bir yanlış yapılandırma veya bir ihlal fırsatı sağlamak için bir boşluk için zamanında yama yapmamak. Son olarak, birçok CISO, sınırlı bütçeler ve kalifiye siber personel ile çalışmak zorunda kalmıştır. Belki de bu koşullar altında elde edebilecekleri güvenlik düzeyine ilişkin daha düşük beklentileri vardır.
Ekonomik gerileme güvenlik bütçelerini zorlarken, CISO’lar siber güvenlik risklerini etkili bir şekilde yönetmek için kaynaklarını nasıl optimize edebilir?
CISO’lar, kaynakları en iyi şekilde optimize etmelerini sağlamak için takip edebilecekleri sektörlerine ve büyüklüklerine göre ihtiyatlı bir risk yönetimi stratejisini yürürlüğe koymalıdır. İyi bir risk yönetimi stratejisi, korunacak dijital varlıkları ve verileri tanımlayan bir güvenlik açığı çerçevesi oluşturacaktır. Bir risk değerlendirmesi, siber güvenlik açıklarını hızlı bir şekilde tanımlayabilir ve öncelik sırasına koyabilir, böylece kritik varlıkları kötü niyetli siber aktörlerden korumak için çözümleri hemen devreye alabilir ve genel operasyonel siber güvenliği hemen iyileştirebilirsiniz. Bu, finansal sistemler, e-posta değişim sunucuları, İK ve satın alma sistemleri gibi kurumsal kurumsal sistemlerin yeni güvenlik araçları (şifreleme, tehdit istihbaratı ve tespiti, güvenlik duvarları, vb.) ve politikalarla korunmasını ve yedeklenmesini içerir.
Güvenlik açığı çerçevesinde maliyeti engelleyici olmayan önlemler vardır. Bu önlemler, çalışanlar için güçlü parolaların zorunlu kılınmasını ve çok faktörlü kimlik doğrulamanın zorunlu kılınmasını içerebilir. Güvenlik duvarları kurulabilir ve CISO’lar en hassas verilerini segmentlere ayırmak için planlar yapabilir. Şifreleme yazılımı da uygun fiyatlı olabilir. Bulut ve hibrit bulutların kullanımı, dinamik ilkelerin uygulanmasına, daha hızlı şifrelemeye olanak tanır, maliyetleri düşürür ve erişim kontrolü için daha fazla şeffaflık sağlar (iç tehditleri azaltır). İyi bir bulut sağlayıcısı, bu güvenlik kontrollerinden bazılarını makul bir maliyet karşılığında sağlayabilir. Bulutların doğası gereği riskli değildir, ancak CISO’lar ve şirketler, hayati verilerini korumak için sağlayıcı politikalarını ve yeteneklerini kapsamlı bir şekilde değerlendirmeleri gerektiğini anlamalıdır.
Bir CISO, altlarında derin bir BT ve siber güvenlik ekibi olmadan küçük veya orta ölçekli bir işletmeyi korumaktan sorumluysa ve bulut maliyetleri ve yönetimi konusunda dikkatliyse, dışarıdan yönetilen güvenlik hizmetlerini de düşünebilir.
Kuruluşlar, yüksek çalışan sirkülasyonu sırasında hassas bilgilerini nasıl daha iyi koruyabilir?
Bu, sıfır güven stratejisinin özüne gider. Sıfır güven (ZT), savunmaları statik, ağ tabanlı çevrelerden kullanıcılara, varlıklara ve kaynaklara odaklanacak şekilde değiştiren gelişen bir dizi siber güvenlik paradigması için kullanılan terimdir. Kuruluşların ağa, cihazlara ve insanlara bağlı olan her şeyi bilmesi gerekir.
Kimlik erişim yönetimi veya IAM çok önemlidir. IAM, bir sistem içinde kimin hangi kaynaklara eriştiğini kontrol eden teknolojiler ve politikalar için kullanılan etikettir. Bir CISO, kimin hangi verilere ve neden erişebileceğini belirlemeli ve bilmelidir. Bir çalışan ayrılırsa ayrıcalıkları derhal iptal etmeli ve kuruluştan hassas hiçbir şeyin kaldırılmadığından emin olmalıdır. Piyasadaki satıcılardan edinebileceğiniz birçok iyi IAM aracı vardır.
Elbette, çalışan devri ile ilgili etik ve güven unsurları vardır. Çalışanlara yönelik içeriden gelen tehditlerin tespit edilmesi ve yönetilmesi zordur. Bunların bir kısmı, ilgili yasal parametrelerin bir çalışan tarafından anlaşılmasıyla iş sözleşmelerinde önceden ele alınabilir, hassas verilerle kaçma olasılığı daha düşüktür.
Artan CISO tükenmişliği ve kişisel sorumlulukla ilgili endişeler gördük.
Evet, tükenmişlik, CISO’ların operasyonları yürütmek ve büyüyen siber tehditleri hafifletmeye yardımcı olmak için çok fazla sorumluluğa, çok az bütçeye ve çok az çalışana sahip olmasının doğrudan bir sonucudur. Şimdi, Solar’s Wind’in CISO’suna karşı açılan toplu dava ve fidye yazılımı ödemelerini gizlemek için Uber’in CISO’suna karşı açılan dava ile örneklenen kişisel sorumluluk faktörleri riski artırdı. Halihazırda gerekli sayıda siber güvenlik lideri ve teknisyeninin bulunmadığı bir sektörde, CISO’lara rollerinde mükemmelleşmeleri için yalnızca araçların değil, gerekli korumaların da verilmesi gerekiyor. Aksi takdirde tükenmişlik ve sorumluluk sorunları daha fazla şirketi ve kuruluşu daha büyük risk altına sokacaktır.
Bu zorluklar, CISO’ların rollerindeki genel etkinliğini nasıl etkiliyor ve bunları ele almak için hangi önlemler alınabilir?
Saldırılarla ilgili daha fazla sıklık, karmaşıklık, ölümcüllük ve sorumluluk eğilimlerine rağmen, sektör yönetimi çoğunlukla hazırlıksız ve daha siber güvenli hale gelme konusunda yavaş hareket ediyor. Yeni bir araştırmaya göre, bir Gartner anketi, Yönetim Kurullarının (BoD’ler) %88’inin siber güvenliği bir teknoloji riski yerine bir iş riski olarak gördüğünü ve Yönetim Kurullarının yalnızca %12’sinin yönetim kurulu düzeyinde özel bir siber güvenlik komitesine sahip olduğunu ortaya çıkardı.
Risk ve Güvenlik Araştırma Başkanı Paul Proctor, “BT dışındaki yöneticilerin, işletmenin güvenliğini sağlama sorumluluğunu üstlenme zamanı geldi” dedi. “2021 boyunca görülen ve birçoğu operasyon ve görev açısından kritik ortamları hedef alan fidye yazılımı ve tedarik zinciri saldırılarının akışı, güvenliğin yalnızca BT’nin çözmesi gereken başka bir sorun değil, bir iş sorunu olduğu konusunda bir uyarı olmalıdır.”
CISO’ların yalnızca C-Suite’teki masada bir koltuğa ihtiyacı yoktur, aynı zamanda kişisel sorumluluklarını sınırlayan diğer üst düzey yönetimlerle karşılaştırılabilir sigorta korumasına da ihtiyaçları vardır. Mükemmel siber güvenlik için her derde deva bir ilaç yoktur. İhlaller, tehlikeli dijital ortamımızda herhangi bir şirket veya kişinin başına gelebilir. CISO’nun bu işi tek başına halletmesi ne adil ne de iyi bir iş. Benzer bir bağlamda, siber güvenlik artık işletmeler veya kuruluşlar için bir maliyet kalemi olarak görülmemelidir. Operasyonların sürekliliğini sağlayabilen ve itibarı koruyabilen bir ROI haline geldi. Hem şirkete hem de CISO’nun tazminatına ve gerekli görev portföyüne yatırım ileriye dönük bir öncelik olmalıdır.
Tedarik zinciri riski yinelenen bir öncelik olmaya devam ederken, CISO’lar siber güvenlik stratejilerinin bu yönünü özellikle kısıtlı bütçeler altında nasıl daha iyi yönetebilir?
Tasarım, imalat, üretim, dağıtım, kurulum, işletme ve bakım unsurları dahil olmak üzere tedarik zincirinin ihlal edilmemesini sağlamak tüm şirketler için zorlu bir görevdir. Siber saldırganlar her zaman en zayıf giriş noktasını arayacaktır ve üçüncü taraf riskini azaltmak siber güvenlik için kritik öneme sahiptir. Tedarik zinciri siber saldırıları, ulus devlet düşmanları, casusluk operatörleri, suçlular veya bilgisayar korsanları tarafından gerçekleştirilebilir.
CISO’lar, belirlenmiş politikalar ve izleme ile birlikte tedarik zincirindeki tüm satıcıların görünürlüğünü gerektirir. ABD Ticaret Bakanlığı’nın düzenleyici olmayan bir kurumu olan NIST, hem hükümetten hem de endüstriden sağlam kılavuzlar sağlayan, tedarik zinciri güvenliği için önerilen bir çerçeveye sahiptir.
NIST şunları önerir:
- Siber tedarik zinciri risk yönetimi süreçlerini belirleyin, oluşturun ve değerlendirin ve paydaş mutabakatı sağlayın
- Tedarikçileri ve üçüncü taraf tedarikçi iş ortaklarını belirleyin, önceliklendirin ve değerlendirin
- Kuruluşunuzun tedarik zinciri risk yönetimi hedeflerini ele almak için tedarikçiler ve üçüncü taraf ortaklarla sözleşmeler geliştirin
- Denetimleri, test sonuçlarını ve diğer değerlendirme biçimlerini kullanarak tedarikçileri ve üçüncü taraf ortakları rutin olarak değerlendirin
- Tedarikçilerin ve üçüncü taraf sağlayıcıların hizmet kesintisine yanıt verebilmesini ve bu kesintiden kurtulabilmesini sağlamak için eksiksiz testler
Tedarik zincirindeki faaliyetleri izleyen, uyaran ve analiz eden yeni teknolojilerin satın alınmasıyla başka hafifletme çabaları yapılabilir. Yapay zeka ve makine öğrenimi araçları, görünürlük ve tahmine dayalı analitik sağlayabilir ve stenografik ve filigran teknolojileri, ürün ve yazılımların izlenmesini sağlayabilir.