Otomasyona yönelmek, saldırı güvenliğini devreye sokmak ve sağlam bir siber güvenlik stratejisi oluşturmak için iş gerekçesi oluşturmak, güvenlik liderlerinin programlarını olgunlaştırmasına yardımcı olacaktır.
Cyderes CEO’su Robert Herjavec tarafından
Siber güvenlik tehdit ortamı çok geniş, karmaşık ve sürekli değişiyor. Sözde saldırı yüzeyinin – kurumsal ağlar, veriler, kablosuz sistemler ve kritik iş süreçleri – hem kamu hem de özel şirketlerde hız kesmeden genişlemeye devam edeceği kesin. Ancak her önlem için bir karşı önlem vardır ve bu nedenle ölümcül ciddi kedi-fare oyunu devam eder.
Değişmeyen tek şey, tehdit ortamında sürekli değişimi benimseme ihtiyacıdır. 2023’e girdik ve şimdiden siber güvenlik ve ekonomik manzarada güvenlik liderlerini etkileyen değişimler görüyoruz.
2022’de birkaç tahminin meyvesini verdiğini gördük:
Kimliklerin sürekli çoğalması: Çeşitli uç noktalar, kimlikler ve dahili ve üçüncü taraf erişim noktaları dahil olmak üzere dijital olarak dönüştürülmüş kurumsal ortamların karmaşıklığı, tehdit aktörleri için daha fazla güvenlik açığı ve fırsat yaratmıştır. Kimlik tavizi, düşmanların birincil saldırı modu olmaya devam ediyor.
Giderek daha sofistike saldırı teknikleri: Büyük av avcılığından (BGH), hizmet olarak fidye yazılımına (RaaS) ve veri sızıntısı sitelerine (DLS) kadar, veri gaspı tehdidi aktörleri yenilik yapmaya ve taktiklerini geliştirmeye devam ediyor. Geçen yıl Cyderes özel operasyon ekibi tarafından keşfedilen Exmatter gibi yeni taktikler, tehdit aktörlerinin aktif olarak verileri şifrelemek yerine tamamen yok etme yeteneğini hazırlama ve geliştirme sürecinde olduğunu gösteriyor.
Muazzam miktarda güvenlik uyarısı ve yetenek yarışması: Artan karmaşıklık ve siber saldırıların sıklığı, yönetilemez bir uyarı seli yarattı. Devam eden yetenek eksikliğiyle birleştiğinde, daha fazla kuruluş bu uyarıları yönetmek için dış sağlayıcılara yöneliyor ve bu sağlayıcılar, müşterileri için daha kapsamlı siber güvenlik desteği sağlamak üzere birleşiyor.
Sonra 2022’de tahmin edilemeyecek bazı olaylar var. Örneğin, Rusya’nın Ukrayna’yı işgali, siber savaş endişeleri ve Avrupa’ya ve ötesine yayılan kritik altyapıya yönelik saldırılar olarak siber güvenliği küresel konuşmaların ön saflarına yerleştirdi. İş dünyası liderleri ayrıca, tehdit aktörlerinin kaosun ortasında hedeflere daha fazla güç ve sıklıkta saldırmak için cesaretlenip cesaretlendirilmeyeceği konusunda spekülasyon yapmaya başladı.
Yılın ilerleyen saatlerinde, Uber’in eski CSO’su Joe Sullivan, adaleti engellemek ve bir ağır suçu gizlemekten suçlu bulunduğunda, güvenlik liderleri için yeni bir emsal oluşturuldu. Birdenbire CISO’lar, ihlallerden kişisel olarak sorumlu tutulabilecekleri gibi ek bir sonuçla karşı karşıya kaldılar.
Aslında, ekstra yönetişim katmanları ve siber risk gözetimi eklemeyi amaçlayan, artan sayıda yasa çıkıyor. Örneğin, SEC geçen yıl halka açık şirketlerin bir ihlali dört gün içinde ifşa etmesini gerektireceğini önerdi. Ve Beyaz Saray, ulusal güvenlik için kritik olduğu düşünülen endüstriler için düzenlemeleri ikiye katlıyor.
Liderlerin güvenlik inisiyatiflerini BT ile sınırlamak yerine yönetim kurulu düzeyinde benimsemesiyle, her büyüklükteki kuruluşta siber güvenlik algısının değiştiğini görmeye başlamıştık. Ancak 2022 olayları ve artan yönetişim bu değişimi hızlandırdı. Aslında, Ulusal Kurumsal Yöneticiler Birliği (NACD) artık yönetim kurullarında bilgi teknolojisi geçmişi olan en az bir üyenin bulunmasını önermektedir.
Gerçek şu ki, güvenlik liderleri artık sessiz değiller – artık masada çok önemli bir koltukları var. Ancak kuruluşlarında gerçekten etki yaratmak için, işe güvenlik odaklı bir yaklaşım benimsemeli, kaynakları daha stratejik bir şekilde odaklamalı ve kuruluş genelindeki liderlerle bağlantı kurmayı bir öncelik haline getirmelidirler.
Cyderes 2023 Siber Güvenlik Sohbetleri Raporu, güvenlik programınızı olgunlaştırmanıza ve gelişen tehdit ortamının bir adım önünde olmanıza yardımcı olarak tam da bunu yapmak için yönetici ekiplerinizle yapmanız önerilen tartışmalara ayrılmıştır:
SOC’nizi modernize etmek ve kaynakları daha stratejik çabalara odaklamak için otomasyona bakın: Devam eden dijital dönüşüm ve kitle bulutunun benimsenmesi, inanılmaz miktarda veriye odaklanan modern bir iş ortamı yarattı. Bu, bilgi güvenliği uzmanları için, bu kadar fazla gürültünün ortasında tehditlerin üstesinden gelmeye çalıştıkları için zorlu bir ortam yarattı. Otomasyonu benimsemek, kuruluşunuz için birkaç önemli sonuca yol açabilir. Güvenlik ekibiniz, sürekli artan sayıda uyarıyı yönetmeye çalışırken çıkmaza girmediğinde, çok büyük sonuçlar doğuran üst düzey görevlere odaklanabilir.
En büyük risklerinizi belirlemek ve güvenlik stratejinizin haritasını çıkarmak için saldırı güvenliğinden yararlanın: Önümüzdeki yıl, penetrasyon testi ve kırmızı/mor ekip saldırı güvenlik hizmetlerine olan talebin artmasını bekliyoruz. Bu, daha fazla kuruluşun, saldırı yüzeylerini gelişmiş tehditlere karşı savunmak için proaktif ve sürekli yöntemlere dönme ihtiyacını fark etmesiyle ortaya çıkıyor. Saldırgan Güvenlik, boşlukları kapatarak, kontrolleri iyileştirerek ve riski azaltarak kuruluşların kurumsal BT altyapısını daha iyi hazırlamasına ve korumasına olanak tanır. Ayrıca, siber güvenlik harcamalarının değerini belirlemek ve maliyetlerini yönetmek için gerekli olan riskin daha iyi ölçülmesini sağlar.
Yönetici liderlerinize sağlam bir güvenlik programı oluşturmak için iş gerekçesi yapın: Siber güvenlik programınıza yapacağınız herhangi bir yatırım için durumunuzu oluşturmanın ilk adımı, mevcut duruşunuzu değerlendirmek ve hangi alanların en kritik iyileştirme ihtiyacı olduğunu belirlemektir. Bugün nerede olduğunuzu, hangi güvenlik açıklarının bulunduğunu, en büyük risklerinizin neler olduğunu ve bu yüksek riskli alanları azaltmak için ne yapmanız gerektiğini belirleyin. Ardından, kuruluşunuzu etkilemesi muhtemel en önemli riskleri ölçün. İhlal durumunda belirli risklerin potansiyel etkisine karşılık gerçek dolar değerlerini koyabildiğinizde, yönetim kurulunuz bu girişimlerin kuruluşa nasıl değer kattığını daha iyi anlayacaktır.
Geçen yıl, beklenmedik zorluklarla ve güvenlik liderleri üzerindeki artan baskıyla dolu bir yıl oldu, ancak geçen yılın olayları bizi daha da güvenli, siber odaklı bir geleceğe götürüyor.
İşte bir (siber) kasa 2023’e.
yazar hakkında
Robert Herjavec, Cyderes’in CEO’sudur. Dünya çapında tanınan bir motivasyon, iş ve siber güvenlik lideridir. Robert, son 14 yıldır Shark’lardan biri ve Emmy ödüllü hit program Shark Tank’ın sorumlu yapımcısı olarak tanınmaktadır. Başarılı, çok satan bir yazar ve 50 ila 20.000 kişilik kalabalıklarla ve Tony Robbins ve Oprah gibi aydınlarla sahneye çıktı. Cyderes hakkında daha fazla bilgi için https://www.cyderes.com/ adresine gidin.