Bu yardımda net güvenlik görüşmesinde, ATT & CK değerlendirmeleri Direktörü William Booth, CISOS’un düzenleyici uyumluluğu proaktif risk yönetimine nasıl entegre edebileceğini, tehditle bilgilendirilmiş değerlendirmelere dayalı harcamalara öncelik verebileceğini ve Gölge BT ve yazılım tedarik zinciri riskleri gibi göz ardı edilen güvenlik açıklarını ele alabileceğini tartışıyor.
Cisos artan düzenleyici basınçla karşı karşıya. Kuruluşlar uyumluluk gereksinimlerini sadece uyumluluğun ötesine geçen proaktif siber güvenlik önlemleriyle nasıl dengelemelidir?
Uyum kritik bir temeldir, ancak nihai hedef değil, bir kuruluşun siber güvenlik stratejisi başlangıç noktası olmalıdır. Bir ‘kontrol kutusu’ yaklaşımı düzenleyici gereksinimleri karşılayabilir, ancak güvenlik yanılsamasını da yaratabilir. Sadece düzenleyici uyum sağlayan kuruluşlar, kesinlikle zorunlu alanların dışındaki güvenlik açıklarından yararlanan sofistike saldırılara maruz kalmaktadır. Etkileri olmadan önce tehditleri tahmin etmek, adapte etmek ve hafifletmek proaktif bir yaklaşım benimsemek önemlidir.
CISOS, yasal işleri daha geniş bir siber güvenlik stratejisine dahil etmeli ve genel iş öncelikleri ve risk toleransı ile uyumlu olmasını sağlamalıdır. Gerekli uyumluluk gereksinimleri karşılandığında, mevcut savunma duruşunuzu stoklayın. Güvenlik kontrolleri, boşlukları belirleyerek ve kuruluşların ortaya çıkan tehditlerin önünde kalmasını sağlayan gerçek dünya saldırılarına eşlenmelidir.
Son olarak, düzenli, titiz testlere yatırım yapmak esastır. Rakiplerin yapmadan önce zayıflıkların ortaya çıkarılması, esnek bir güvenlik duruşunun temelini oluşturur. Cisos’a yardım edecek birçok ücretsiz kaynak var. Haritalama için bkz. Exporting Explorer. Düzenli, titiz testler için bkz. MITER CALDERA gibi araçlar.
CISOS, en uygun risk azaltma sağlamak için siber güvenlik harcamalarına nasıl öncelik vermelidir?
Sürekli kısıtlanmış siber güvenlik bütçeleri döneminde tehditle bilgilendirilmiş ve riske dayalı bir yaklaşım çok önemlidir. Kuruluşun taç mücevherlerini değerlendirerek başlayın – hassas müşteri verileri, fikri mülkiyet, finansal kayıtlar veya temel altyapı. Bu varlıklar kuruluşun değerinin özünü temsil eder ve korumadaki en yüksek önceliği talep etmelidir.
Daha sonra, bir risk değerlendirmesi en olası ve etkili tehditleri ayırt etmelidir. Her kuruluş ulus devlet düşmanları ve üretken ceza gruplarıyla karşılaşmayacaktır ve fidye yazılımı daha olası bir tehdit olabilir ve kaynakların stratejik tahsis edilmesine izin verir. Bu hedeflenen yaklaşım, harcamaların en önemli tehditleri azaltmaya odaklanmasını sağlar.
Son olarak, performans metriklerini izleyen düzenli değerlendirmeler neyin geliştiğini vurgulamaktadır. Kaynak sınırlı kuruluşlar veya mevcut güvenlik ekiplerini desteklemek isteyen kuruluşlar için, yönetilen güvenlik hizmetleri yetenekleri artırmak ve genel güvenlik duruşunu artırmak için uygun maliyetli bir yol sunmaktadır.
Bir kuruluşun saldırı yüzeyinde kuruluşların sıklıkla göz ardı ettiği en yaygın kör noktalar nelerdir?
Kuruluşlar, Gölge IT olarak da adlandırılan yönetilmeyen cihazlardan ve yazılım tedarik zincirlerinde sık sık hafifletir. Üçüncü taraf yazılımlara ve kuruluşa gömülü kütüphanelere güvenmek ve şirket içi uygulamalar derinleştikçe, saldırı yüzeyi gizli güvenlik açıklarına sahip sürekli değişen bir manzara haline gelir.
Yönetilmeyen cihazlar ve yetkisiz uygulamalar eşit derecede sorunludur ve beklenmedik ve önemli riskler getirebilir. Bu kör noktaları ele almak için kuruluşlar titiz satıcı risk yönetimi programları uygulamalı, varlıkları izlemeli ve uygulama kontrol politikalarını uygulamalıdır. Sık sık gözden kaçan bu unsurlar, saldırganların mevcut güvenlik önlemlerinin kaçırabileceği güvenlik açıklarından yararlanmasına izin veren kritik kör noktalar yaratır.
T-Mobile ve Microsoft gibi kuruluşlar son zamanlarda önemli güvenlik yatırımları yaptı. CISO’lar bu büyük ölçekli güvenlik revizyonlarından hangi dersleri öğrenebilir?
T-Mobile ve Microsoft inanılmaz dinamik ve sofistike tehditlerle karşı karşıya. Güvenlik yatırımları, kuruluşların karşılaştığı riskler ve tehditler, gitmeyen tehditler hakkında konuşuyor. Güvenliği tekil bir çizgiden ziyade sürekli, gelişen bir manzara olarak görmenin gerekliliğinin altını çiziyorlar. CISOS bu yatırımları sürekli iyileştirme için gerekli ve proaktif taahhütler olarak görmelidir. CISOS, kuruluşlarının sürekli gelişen siber tehditler karşısında çevik ve esnek kalmasını sağlamak için güvenlik programlarında düzenli incelemeler ve güncellemeler yapmalıdır.
Tehdit aktörleri giderek daha sofistike hale geliyor. 2025 yılında güvenlik ekiplerinin hazırlaması gereken en çok ortaya çıkan tehditler nelerdir?
Eğilimlerden bağımsız olarak, CISO’lar kuruluşlarına göre belirli tehditleri değerlendirmeli ve temel güvenlik önlemlerinin mevcut olmasını sağlamalıdır.
Bulut odaklı saldırılardan artan bir tehdit görüyoruz. Artan bulut benimsenmesi yeni vektörler ve saldırılar için yüzey ortaya çıkarır.
Ayrıca, fidye yazılımı manzarası gelişmeye ve uyum sağlamaya devam ediyor, saldırılar giderek daha fazla hedefleniyor ve karmaşık hale geliyor. Özellikle, şifrelemeden önce veri açığa çıkma eğilimi çekiş kazanmak ve fidye yazılımlarını çift tehdit gasp şemasına dönüştürmektir.