ETSI’nin Siber Güvenlik konusundaki yıllık amiral gemisi etkinliği, ETSI Güvenlik Konferansı, gerçekleşti yüz yüze itibaren 16 – 19 Ekim 2023, içinde ETSI, Sophia Antipolis, Fransa, ve 200’den fazla kişiyi bir araya getirdik. Bu yıl etkinlik şu konulara odaklandı: Güvenlik Araştırması ve Küresel Güvenlik Standartları iş başında. Etkinlik ayrıca aşağıdaki gibi daha geniş yönleri de değerlendirdi: Yeni nesil siber güvenlik standardizasyonunun ilgisini çekmek profesyoneller ve KOBİ’leri destekliyoruz.
ETSI Güvenlik Konferansı 2023’te, yeni kurulan Naiga’nın kurucusu ve CTO’su ve eski Intel üyesi/BU CTO’su Dr. Claire Vishik ile konuştuk. Çalışmaları Yapay Zeka, donanım ve ağ güvenliği, Güvenilir Bilgi İşlem, gizliliği artıran teknolojiler, kriptografinin bazı yönleri ve ilgili küresel politika ve ticaret konularına odaklanmaktadır. Bu röportajda yeni ortaya çıkan trendleri, çığır açan teknolojileri ve siber güvenliğin geleceğini araştırıyoruz.
Yeni trendlerin nasıl ortaya çıktığına dair görüşlerinizi paylaşabilir misiniz? Siber güvenlik alanı geçtiğimiz yıllarda değişti mi?
Claire: Siber güvenlik çok dinamik bir alan, trendler değişiyor ve aynı kalıyor. Bu, siber güvenlik gibi karmaşık bir alan için alışılmadık bir durum değil. Son 5-6 yılda ortaya çıkan şey oldukça benzersiz ancak kökleri kesinlikle siber güvenlik alanının daha önceki tarihine dayanıyor. Örneğin hibrit bulutu ele alalım. Eskiden herkes ister genel ister özel olsun buluta taşınıyordu, ancak saldırıların çeşitliliği, verilerin kaynağa yakın olmasının önemi ve diğer bazı sorunlar nedeniyle artık bu bir kombinasyon haline geldi. Artık şirket içi bulut ortamlarının bir kombinasyonuna sahip olmak önemli; bu da mimariyi karmaşıklaştırırken aynı zamanda güvenliği de artırıyor. Pek olumlu olmayan bir diğer trend ise hizmet olarak sunulan siber güvenlikle ilgili her şeyin suç teşkil etmesi. Bu da yine yeni değil ama sıradanlaşacak kadar gelişti. Bunu ilk kez belki 15 yıl önce bir yenilikken duymuştum. Artık fidye yazılımını bir hizmet olarak alabilir, uyarıları bir hizmet olarak alabilirsiniz ve bu hizmetleri, her yerde mükemmel müşteri desteği ile göreviniz için özel olarak oluşturulmuş kötü amaçlı yazılımlardan satın alabilirsiniz. Aslında birkaç yıl önce Orta Doğu’da 18 yaşında genç bir adam tutuklandı. ABD’deki okul çocuklarına hizmet sağladı; sınava girmek istemedikleri zaman otomatik bir komut dosyası attı ve telefonla bomba alarmı verdi. Ve sonra herhangi bir test yapılmadı. Böylece, buluta geçiş, her şeyin hizmet olarak sağlanması, güvenlik saldırılarına yapay zekanın dahil edilmesi ve hem savunma hem de saldırgan etkinliklerinin büyük otomasyona geçirilmesiyle ilgili trendleri görebilirsiniz. Daha önce de oradaydılar, şimdilerde önemli ölçüde arttılar. Günümüzde yapay zeka, muhtemelen en yeni trendin yanı sıra, yazılım ve mimari ayak izine dayalı tehdit modelleri oluşturmak da dahil olmak üzere pek çok şeyin otomasyonudur. Birkaç yıl sonra bu tabloyu mutlaka değiştirecekler ve bu benim çok yakından takip ettiğim bir konu.
Sizce kısa ve uzun vadede siber güvenlik açısından özellikle hangi teknolojiler yıkıcıdır?
Claire: Uzun vadeyi görmek genellikle çok zordur çünkü teknoloji zamanına göre 10 yıl, evrim zamanına göre 10 milyon yıla benzer bir şeydir. Neredeyse her şey olabilir, ancak siber güvenlik açısından neyin yıkıcı olacağına baktığımızda akla muhtemelen kısa ve orta vadede birçok şey geliyor. Bunlar yeni teknolojiler, daha doğrusu bu noktada siber güvenlikte yıkıcı olma potansiyeline sahip şeyleri yapmanın yeni yollarını arayan bilimsel eğilimler. Bunlardan akla gelenlerden biri yaklaşık güvenliktir. Örneğin, yaklaşıklaştırma yapay zekada çok popüler olmuştur, çünkü genellikle görevin %80’ini yapmak çok az çaba gerektirir ve daha sonra çaba, görevin daha karmaşık olan %20’sine gider; biz kaynakları ve döngüleri korumaya çalışıyoruz. ve enerji. Yapay zekadan biyolojiye kadar birçok alanda yaklaşım son derece popüler ve çok yararlı hale geldi. Ancak güvenlik konusunda uzun süredir her şeyin tam olarak eşleştirilmesi gerektiğine inanılıyordu. Güvenlik teknolojileri hassasiyete dayanmaktadır. Mesela SHA gibi hash algoritmalarına baktığınızda bir baytlık fark tespit ediliyor. Dolayısıyla birçok durumda çok kesin olmak önemlidir ve kesin olmamak matematiksel olarak mümkün değildir. Ancak bunun enerji tüketimi açısından nasıl çalıştığına bakarsanız, ortalama bir sistemde güvenlik, kimsenin gözüne görünmese bile döngülerin %40’ı gibi bir şeyi tüketir. Bu nedenle, ihtiyaç duyulmayan durumlarda özellikle pahalı olan %20’nin ortadan kaldırılması önemlidir. Artık en azından araştırma laboratuvarlarında kriptografik şemalar ve başka güvenlik yaklaşımları var. Örneğin, Queen’s University Belfast’ta güvenlik için yaklaşık değer kullanılır. Yani bence yapay zekanın daha yaratıcı kullanımı, yaklaşım, ekonominin bir savunma mekanizması olarak kullanılması… Yıllar önce ekonomik caydırıcıların savunanlar ve saldıranlar arasındaki durumu nasıl değiştirebileceğini tartışıyorduk. Teknik olarak tanımlamak zor ama imkansız değil. Örneğin, tüm spam postalar ağırlıklı olarak Çin’den geliyordu. Ancak bir noktada orada yönetmelikte bir değişiklik oldu ve alan adı tescili çok daha karmaşık hale geldi. Bu gerçeğe dönüştükten sonra, spam alan adlarının sayısı önemli ölçüde azaldı ve bu yönden gelen spam postaların hacmi de azaldı. Pek çok durumda saldırı dürtüsünü ortadan kaldırmak için önleme yerine kesintiyi kullanma konusunda ilk başlarda tartışmalar vardı. Örneğin, saldırıya yaklaşan bir şey tespit ettiğinizde bant genişliğini daraltırsınız, böylece saldırganın herhangi bir şey yapmasını zorlaştırırsınız. Saldırganların motivasyonuna bakarsanız, ağırlıklı olarak, yalnızca değil, ağırlıklı olarak ekonomik olduklarını görürsünüz. Ekonomik engelleyici unsurlar iyi tanımlandığında ve teknolojiyle doğrudan bağlantılı olduğunda muhtemelen zaman içinde önemli bir fark yaratacaktır.
Siber güvenlik uzmanlarına olan talep artıyor. Gelecek vadeden bir siber güvenlik uzmanı, siber güvenlik alanında kariyer yapmaya nasıl hazırlanabilir? Toplum siber güvenlik becerileri eksikliğini gidermek için ne yapabilir?
Claire: Bu sadece siber güvenlik alanında değil, çip tasarımı ve üretimi gibi alanlarda da herkesin uğraştığı bir soru. Bununla nasıl başa çıkabiliriz? Her şeyden önce siber güvenlik konusundaki genel uygulama düzeyinin yükseltilmesi iyi bir fikirdir. Bugün okullarda birkaç istisna dışında hiçbir siber güvenlik pratikte öğretilmiyor. Ancak ilkokul öğrencileri için bile hackleme kampları düzenlediğimizde çok fazla ilgi oluyor ve nasıl saldıracaklarını ve mülklerini nasıl koruyacaklarını öğreniyorlar. Nasıl çalıştığını anlamaya başlarlar. Dolayısıyla, siber güvenlikte bugün olduğundan çok daha yüksek düzeyde uzmanlaşmış beceriler geliştirmeye başladığınız bir durum yaratmak, muhtemelen beceri eksikliğini giderecektir. Bu aynı zamanda pratik bir alan olduğu için de yapılabilir; birçok alanda, yalnızca değil, ağırlıklı olarak gereksinimlerin daha yaratıcı bir şekilde formüle edilmesiyle yapılabilir. ABD hükümetinde son zamanlarda pratik görevler üzerinde çalışan siber güvenlik profesyonelleri için diploma gereklilikleri kaldırıldı çünkü bu gerçekten pratik bir hazırlıktır ve dört yıllık bir diploma gerektirmez. Siber güvenliğin tohumlarını genel STEM eğitimine ekmek kesinlikle bir fark yaratacaktır. Çeşitli komitelerde daha fazla siber güvenlik uzmanı sağlamak için üniversitelerdeki eğitim sistemini nasıl değiştirebileceğimizi konuştuğumuzda çoğu kişi programlama ve güvenliği aynı anda eğitmeniz gerektiğini, makine mühendisliği ve güvenliği aynı anda eğitmeniz gerektiğini söyledi. ama gerçekçi olduğunu düşünmüyorum. Siber güvenlik oldukça karmaşıktır, yalnızca teknik disiplinleri kapsamaz. Daha gerçekçi olan, diplomanızı alırken bir çeşit rozet veya sertifika uygulamaktır. Bu noktada birçok ülkede beceriler yetersiz kalıyor, STEM alanlarında çevrimiçi olarak alabileceğiniz 6 ila 10 saat arası kısa kurslar var ve bunların belirli bir kısmı sertifikasyon sağlıyor. Yani iş bulmak için daha iyi bir fırsatınız var ve bir kez iş bulduğunuzda öğrenecek daha az şeyiniz oluyor. Şimdi, pratik beceriler kazanmadan önce erken bir sertifika almak bana iyi bir fikir gibi görünmüyor; bazı şeyleri ezberleyeceksiniz, ancak bunları yaratıcı bir şekilde kullanamayacaksınız. Daha fazlasını öğrenene kadar bekle derim.
Düşünen gençlere ne gibi tavsiyelerde bulunursunuz? Siber güvenlik alanında kariyer mi? Siber güvenlik alanında hangi farklı kariyerler mevcut?
Claire: Bu mükemmel bir soru. Siber güvenlik birçok şeyden oluşur; siber güvenliğe verilen tepkileri inceleyen bir psikolog veya siber güvenlikle bağlantılı bir gizlilik uzmanı olabilirsiniz veya düzenlemeler oluşturma veya siber güvenlik ürünlerinin sertifikasyonlarını yürütme alanında çalışabilirsiniz veya sıkı bir teknoloji uzmanı olabilirsiniz, bir kriptograf olabilirsiniz, bir güvenlik mühendisi olabilirsiniz, bir ağ güvenlik mühendisi olabilirsiniz. Bütün bunlar, temel mühendislik becerilerinizin yanı sıra özel beceriler de gerektirir. Peki güvenlik alanında kariyere hazırlanan gençlere ne diyeceğim? Pek çok şey var, mutlaka teknik olmanıza gerek yok, ancak bu bir teknoloji alanıdır, bu nedenle üniversitede temel teknoloji derslerini aldığınızdan veya bu dersleri bağımsız olarak çalıştığınızdan emin olun çünkü bu bilgiler işinize yarayacaktır. Aynı zamanda çok pratik bir alandır, uzmanlık pratikle birlikte gelir, bu yüzden başlamaktan korkmayın, kıdemsiz bir profesyonel olarak başlasanız bile, çünkü birkaç yıl içinde alanınızı herkesten daha iyi bilen bir uzman olacaksınız.
Startup’lar ve yeni şirketlerle ilgili olarak ne önerirsiniz veya onlara siber güvenliği nasıl dahil etmelerini önerirsiniz? yer yukarı mı?
Claire: Bence, birkaç istisna dışında tüm startuplar sistem kullanıyor; ev inşa etmeye, sıhhi tesisat yapmaya veya tarımın bazı alanlarına odaklanan bir şirket kurmaya karar verseniz bile, orada bilgi, veri, belge olacak. halletmeniz gereken, çalışanlarınız varsa vergi istihdamıyla ilgili alanlar olacaktır. Hepsi siber güvenlik ve gizlilik bilgisi gerektirir. Dolayısıyla, eğer bu bilgiye kendiniz sahip değilseniz, bu alanlarda faaliyet gösteren uzmanlar tarafından sağlandığından emin olun. Ancak teknoloji girişimlerinde operasyonel olabilmek için siber güvenliği en başından itibaren dahil etmeniz gerektiği bir gerçek haline geldi. Girişimlerimden biri, uzmanlık paylaşımı, röportaj eğitimi ve diğer birçok karmaşık hizmeti sunan bir çip topluluğudur. Birkaç hafta içinde bunun ilk versiyonunu yayınlayacağız. Gerçekten burada pek çok siber güvenlik alanı önemlidir; verileri ve bilgileri korumanız gerekir, hesapları korumanız gerekir, kullanıcılar için kimlik doğrulamayı ayarlamanız gerekir, güvenli ödeme sistemlerini dahil etmeniz gerekir ve verilerin güvenli olduğundan emin olmanız gerekir. pahalılığı göz önünde bulundurulur. Bu bir güvenlik girişimi değil ama yaptığımız her şeyin bir güvenlik bileşeni var ve bu hemen hemen her teknoloji girişimi için geçerli.
Siber güvenliğin çeşitli yönlerini tartıştık. Paylaşmak istediğiniz temel sonuç veya mesaj nedir?
Claire: Antik Romalı bir filozof şöyle demişti: Sorunun önemi çözümünde değil, o çözümü ararken edindiğiniz güçlerdedir ve bence siber güvenlik tam da budur. Varlıklarımızı ve kullanıcılarımızı siber güvenlik tehditlerinden koruyacak bu çözümü ararken pek çok keşif yapıldı ve bazen siber güvenlikle bile ilgisi olmayan pek çok yaratıcı çözüm ortaya çıktı. Bu benim paket servisim. Henüz mükemmel bir çözümümüz olmasa bile, bir çözüm aramak bir yolculuktur, ödüllendiricidir, önemlidir ve işleri daha iyi hale getirir.
