Siber güvenlik asla durmaz. Bir hafta yapay zeka ile çalışan saldırılar, bir sonraki yeni bir veri ihlali, düzenleme veya bütçe kesintisi. Tüm bu gürültü ile dikkati dağıtmak kolaydır. Ancak günün sonunda hedef aynı kalır: işi koruyun.
Cisos, daha sıkı kaynaklar, daha fazla yönetim kurulu süresi ve değişmeye devam eden tehditlerle daha fazla dengelemeleri isteniyor. İşte şimdi dikkatinizi hak eden ve ilerleyen beş alan.
Görünürlük alın ve maruz kalmanızı azaltın
Temel bilgilerle başlayın ve neyi savunduğunuzu bilin. Varlık stokları gerçek zamanlı ve eksiksiz olmalıdır. Bu, Gölge IT, yönetilmeyen cihazlar, SaaS uygulamaları ve üçüncü taraf hizmetleri içerir. Mümkün olan yerlerde keşfi otomatikleştirin ve varlık verilerini risk süreçlerinize bağlayın.
DirectDefense VCISO Services başkanı David Doyle, “Görünürlük genellikle ilk şeydir” dedi. “Kuruluşunuzun bulut yerli mimarilerini kucakladığı veya akıllı cihazları birbirine bağlamaya başladığında, görünürlük kaymaya başlar. Takımlar kaynakları döndürür, yeni satıcıları ekler ve güncellemeleri çoğu envanter izleyebileceğinden daha hızlı iter. Gölge ve yönetilmeyen API’ler artık teorik riskler değildir, günlük gerçekliklerdir.”
Doyle, görünürlüğün “veri hareketi, model sahipliği, şifreleme anahtarları ve her üçüncü taraf temas noktasını içerecek şekilde donanımın ötesinde” genişlemesi gerektiğini vurguladı. Bu olmadan kuruluşlar “göz bağı açık” riski yönetiyorlar.
Sadece görünürlük yeterli değildir, bu yüzden pozlamaya odaklanın. Çok fazla ekip, neyin gerçekten ulaşılabilir veya acil olduğunu bilmeden güvenlik açığı verilerine gömülür. Sömürülebilirlik, varlık değeri ve iş riskine göre öncelik verin. Yanlış yapılandırılmış bulut hizmetleri, genel depolama kovaları ve unutulan yönetici portalları genellikle yüksek CVSS puanlarından daha önemlidir.
Kimliği yeni çevre olarak ele alalım
Çoğu saldırı, güvenlik duvarlarını değil, kimliği hedefler. Kimlik avı, kimlik bilgisi hırsızlığı ve oturum kaçırma hala çalıştıkları için yaygındır. MFA önemlidir, ancak yeterli değildir. Erişimi inceleyin ve şüpheli girişler için izleyin. Kimlik yönetişimini günlük operasyonların bir parçası olarak ele alın.
“Kimlik ve erişim yönetimi onlarca yıldır siber savunmanın temel sütunları olmuştur, ancak genel olarak hem yazılım geliştirme hem de siber güvenliğin artan karmaşıklığı, özellikle dağıtılmış işletme ortamlarında, doğru olmanın zorlaşmasını zorlaştırıyor” dedi.
Güvenlik programlarının modernize ve etkili kalmasını sağlamak için CISO’larla yakından uyumlu CTO’ların önemini vurguladı. “Başlamak için iyi bir yer, tasarımla iç güvenli bir girişimde anlamlı bir girişimde bulunmaktır. Bu, yazılımları en başından beri güvenli bir şekilde oluşturmak, geliştirici güvenlik becerilerini doğrulamak ve sürekli olarak geliştirmek ve tomrukçuluk ve izleme, temerrüt ve erişim kontrolü etrafında akıllı seçimler yapmak için sağlam bir temeldir.”
İnsanlar cephe hattıdır. Onları sosyal mühendisliği tespit etmek ve raporlamayı kolaylaştırmak için eğitin. Yöneticiler ve yüksek riskli kullanıcılar, özellikle derin dişler ve sesli kimliğe bürünme ile ekstra desteğe ihtiyaç duyarlar. Kimliğin korunması aynı zamanda hesapların arkasındaki insanları korumak anlamına gelir.
Sistemler, ekipler ve tedarikçiler arasında esneklik oluşturun
Her ihlali durduramazsınız, ancak birine hazırlanabilirsin. Bu, çalışan planlara sahip olmak ve onları test etmek anlamına gelir. Masa üstü egzersizler rutin olmalıdır. Sadece güvenlik ekibinden daha fazlasını ekleyin. Yasal, iletişim, İK ve yöneticilerin rollerini bilmeleri gerekir.
Doyle, “Güvenlik bir boşlukta inşa edilemez” dedi. “Çoğu zaman, tek başına gelişmiş risk ve güvenlik programları gördüm, daha sonra işletmeye çok az bağlamla teslim ettim. Bu nadiren çalışıyor. İş liderleri daha fazla politika istemiyorlar; güvenliğin hedeflerini desteklemesini istiyorlar.”
Oraya ulaşmak için güvenlik ekipleri “kuruluş genelinde güçlü ortaklıklar kurmalıdır. Satın alma, mühendislik, yasal ve operasyonlarla erken bağlantı kurun. Riski birlikte tanımlayın. Mülkiyet ve kabul edilebilir maruziyet konusunda anlaşın.” Doyle’a göre, güvenlik ortak bir sorumluluk olduğunda, “kontrollerin yapışma olasılığı daha yüksektir ve baypas etme olasılığı daha düşüktür.”
Dahili sistemlerin ötesinde düşünün. Satıcılarınız ve bulut sağlayıcılarınız esneklik planınızın bir parçası olmalıdır. Bir şey başarısız olursa çalışmaya devam edebilirler mi? Yapabilir misin? Yedeklemeler, fazlalık ve tedarikçi incelemeleri geleneksel savunmalar kadar önemlidir.
Dayanıklılık ayrıca iletişimi de içerir. Kriz sırasında düzenleyiciler, müşteriler veya çalışanlarla kim konuşuyor? Bir olay gerçekleşmeden önce bu rolleri tanımlayın.
AI’yı akıllıca kullanın ve ona karşı savunmaya hazırlanın
AI, savunucular ve saldırganlar için günlük güvenlik operasyonlarının bir parçası haline geliyor. Tehdit algılama, günlük triyajı ve otomatik erişim incelemeleri gibi gerçek kullanım durumları vardır. Ancak bunlar sadece sorumlu bir şekilde konuşlandırılırlarsa yardımcı olur. AI araçlarınızın hangi verileri kullandığını bilin ve sonuçların açıklanabileceğinden emin olun. Yeni kör noktalar tanıtmaktan kaçının.
Tehdit tarafında, daha ikna edici kimlik avı, sahte sesler ve derin dişler bekleyin. Bu araçlar saldırıları daha hızlı ve daha zor hale getirir. Ekibinizi tanımak için eğitin. Tespit oyun kitaplarınızı güncelleyin ve AI tarafından oluşturulan tehditleri genel risk modelinizin bir parçası olarak ele alın.
Madou, tasarımla güvenli olanı ekledi, yazılım satıcılarından “radikal şeffaflık” çağrısında bulundu. “Tasarım taahhüdünü güvenli hale getiren ve güvenlik girişimlerinin üçüncü taraf yazılım tedariki sırasında da bir avantajı olmalı.” Kuruluşları “güvenliği sizin kadar önemseyen satıcıları seçmeye ve mümkün olduğunca çok yazılım tedarik zinciri riskini ortadan kaldırmaya” teşvik etti.
Ayrıca, kimlik güvencesini geliştirmedeki verilerin rolünü vurguladı: “Hassas kimlik ve erişim yönetimi, kod taahhüt etmek için minimum güvenlik bilgi gereksinimlerini karşılayan veya aşan bireyleri tanımlayabilen geliştirici kıyaslama araçlarından veri bilgileri yardımcı olabilir.”
Yığınları basitleştirin ve işletmenin dilini konuş
Güvenlik yığınları genellikle çok karmaşıktır. Çok fazla araç, yeterli entegrasyon değil. Bu takımları yavaşlatır ve neler olduğuna dair görüşünüzü kırar. Şimdi basitleştirme zamanı. Gerçek sorunları çözen araçları saklayın ve gerisini emekliye ayırın.
Aynı zamanda, risk hakkında nasıl konuştuğunuzu geliştirin. Kurullar, iş için neyin önemli olduğunu bilmek ister: kesinti, gelir etkisi, düzenleyici risk, marka hasarı. Teknik jargondan kaçının ve iş açısından güvenlik için dava açın.
Doyle’ın söylediği gibi: “Uyarıları artırmak veya güvenlik açıkları hakkında konuşmak yeterli değil. Riskin neden önemli olduğunu açıkça belirtmelisiniz. Gelirleri etkileyecek mi? Bir ürün lansmanını geciktirir mi? Erode Müşteri Güven?” Tehdit modellerini iş sonuçlarıyla hizalamak “bir engelleyiciden güvenliği bir iş sağlayıcısına dönüştürür ve bu sizi etkileyen şey budur”.
Güvenlik liderlerinden daha fazla görünürlük ve hesap verebilirlik gerektiren SEC kuralları, Dora ve NIS2 gibi düzenlemelerin önünde kalın.