Görünüşe göre siber güvenliğin temelleri o kadar basit değil.
Temel savunmalar — kimlik ve erişim yönetimi, MFA, bellek açısından güvenli dilleryama ve güvenlik açığı yönetimi – siber güvenlik uzmanlarına göre ekonomi genelinde eksik veya yok.
“Bu basit şeyler,” Arktik Kurt CISO Adam Marre Black Hat’ta bir röportaj sırasında söyledi. “Yıldan yıla bu veri ihlali raporları çıkıyor, yıldan yıla çoğu saldırının gerçekleşmesiyle aynı şey çünkü sistemlerinize yama uygulamıyorsunuz ve kimlik bilgilerinize dikkat etmiyorsunuz.”
Aşırı uygulama ve hizmet arzı, kullanıma sunma çabalarını zorlaştırıyor kimlik avına dayanıklı MFA ve kimlik koruması. Ortalama büyük işletme kullanımları 367 yazılım uygulaması ve sistemi2022 Forrester araştırmasına göre.
Sanki bir hava yolu tamircisi, uçarken bir uçağın motorunu tamir etmekle görevlendirilmiş gibi. Rick Holland, Reliaquest’te Başkan Yardımcısı ve CISO.
Geçerli kimlik bilgisi uzlaşmaları şunlardan sorumluydu: tüm saldırıların yarısından fazlası Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın 2022 mali yılı yıllık risk ve güvenlik açığı değerlendirmesinde okudu.
Holland, kilit uygulamaları belirlemenin ve bir kuruluş genelinde bu hizmetlere uygun erişimi atamanın zorluklarla dolu olduğunu söyledi. “Genellikle insanlara ve sürece değil, teknoloji tarafına odaklanıyoruz.”
Kimlik korumasını artırmanın gerekliliği geniş çapta kabul görse de birçok CISO, MFA’yı düzgün bir şekilde kullanıma sunmanın 18 ay veya daha uzun sürebileceğini söylüyor. MFA’nın benimsenmesi de silo halinde kalır.
Sadece Microsoft kullanıcılarının %28’inde MFA etkindi Microsoft’un kimlik güvenliğinden sorumlu Başkan Yardımcısı Alex Weinert, bu yılın başlarında bir blog gönderisinde, 2022 sona ererken, güvenliği ihlal edilen hesapların %99,9’undan fazlasında MFA’nın etkinleştirilmediğini yazdı.
Ağır hasarlar, gevşek güvenlik kontrollerinden kaynaklanır veya etkinleştirilir. Bu karşılanmamış temel bilgiler, işler ters gittiğinde tekrar tekrar ortaya çıkar.
“Günümüzde bellek açısından güvenli olmayan dillerdeki güvenlik açıklarının üçte ikisi, bellek güvenliği güvenlik açıklarından kaynaklanmaktadır,” JCISA’nın kıdemli teknik danışmanı ack Cable, Black Hat’taki bir sunum sırasında söyledi.
Uzlaşmanın kralı olan kimlik avı, geçen yılki güvenlik olayları için en iyi ilk erişim vektörüIBM Security X-Force’un yıllık tehdit istihbarat raporunda incelenen tüm olayların 5’te 2’sinden fazlasını oluşturuyor.
Kademeli ilerleme hiç yoktan iyidir
Siber güvenlik, tasarım gereği santimlik bir oyun değil, zorunluluktur. Holland, “Tüm sorunları bir kerede çözemezsiniz” dedi.
Kuruluşlar, aşamalı da olsa ilerleme kaydetmeyi taahhüt etmelidir.
En iyinin iyinin düşmanı olmasına izin verme, AWS’de CISO Ofisi direktörü Mark RylandBlack Hat’ta Cybersecurity Dive’a söyledi.
“İnsanlar haklı olarak ‘hey, kimlik avına dayanıklı MFA kullanmalısınız’ diyor. Eski MFA jetonlarını kullanmayın’” dedi Ryland. “Buna tamamen katılıyorum, ancak seçiminiz hiçbir şey yapmamak veya bunu yapmaksa, bunu yapmalısınız çünkü hiç MFA’ya sahip olmamaktan çok daha iyidir.”
Bu cephelerdeki ilerleme, büyük ölçüde kültürel bir değişim ihtiyacına da bağlıdır.
Marrè, “Siber güvenliği, kapılardaki kilitler ve arabalardaki emniyet kemerleri olarak gördüğümüz bir noktaya gelmedik ve ulaşmamız gereken yer de bu,” dedi.
Temel bilgilerin büyük faydaları vardır
Temel tuzaklara atfedilen saldırıların yaygınlığı, özellikle yetersiz kimlik korumalarıyla ilgili olduğu için, kolektif bir zihniyet değişikliğine duyulan ihtiyacın altını çiziyor.
Saldırganlar “kimliğin bir tür boşluk olduğu beyaz bir alan buldu” Karşı Düşman Operasyonları başkanı Adam Meyers, Kalabalıke, Cybersecurity Dive’a söyledi. “Kimlik güvenliğini gerçekten düşünmeniz gerekiyor çünkü bu ortadan kalkmıyor ve başınızı kuma gömüp bunun size olmayacağını umamazsınız.”
Meyers’e göre, kimlik bilgisi hırsızlığı, satış ve tavizler için yeraltı ekosistemi gelişiyor.
Defans oyuncuları zayıf noktalarını biliyor. Kuruluşlar ve tehdit avcıları, izinsiz girişleri rutin olarak temel bir güvenlik kontrolünün sağlanamamasına bağlar.
Marrè, “Ne yapmamız gerektiğini biliyoruz,” dedi.
“Temelleri iyi yapmak sizi herkese karşı korur” dedi. “Sizi suçlulara karşı koruyacak, sizi düşük seviyeli bilgisayar korsanlarına karşı koruyacak ve ulus devletlere karşı koruyacaktır.”
Açıklama: Black Hat ve Cybersecurity Dive’ın her ikisi de Informa’ya aittir. Black Hat’in Cybersecurity Dive’ın kapsamı üzerinde hiçbir etkisi yoktur.