Varun Uppal, kurucusu ve CEO’su Shinobi Güvenliği
Hafta sonu boyunca, teknoloji tedarikçilerinden birinin havayolu sistemleri aracılığıyla dalgalanan bir siber saldırısından sonra Avrupa’daki havaalanları kaosa atıldı. Yolcular saatler süren kuyruklarla, kaçırılan bağlantılara ve yaygın bozulmalarla karşılaştılar.
Gezginler için bu sinir bozucu bir rahatsızlıktı, havacılık endüstrisi için, güvenliğinizin sadece en savunmasız tedarikçiniz kadar güçlü olduğu başka bir uyarıydı.
İlk tepkim endişe duyuyordu, ama sürpriz değildi. Havacılık, eski sistemlerden oluşan bir patchwork ve üçüncü taraf satıcıların ekosistemi tarafından desteklenen kötü şöhretli karmaşık bir endüstridir ve bu birbirine bağlı olma, onu saldırganlar için çekici bir hedef haline getirir. Bir tedarikçinin ağındaki tek bir dayanak, birden fazla ülkede operasyonel felç haline gelebilir.
Bunun havaalanlarının kendilerine doğrudan bir saldırı olmadığını belirtmek önemlidir. Bu bir tedarik zinciri saldırısıydı – sistemleri kritik hizmetleri destekleyen güvenilir bir ortağın ihlali. Bu olaylar, siber güvenliğin artık bir BT sorunu olmadığı zor bir gerçeğin altını çizmektedir, gerçek dünyadaki sonuçlara sahip bir iş riskidir.
Zayıf bağlantı sorunu
Çok sık, büyük kuruluşlar kritik hizmetleri dış kaynaklardan temin eder, ancak kendi güvenlik standartlarını bu satıcılara genişletemezler. Üçüncü taraflara olan güven doğal olarak pervasız değildir – hiçbir modern iş tek başına faaliyet göstermez – ancak sağlam gözetimin olmamasıdır. Temel bir işlevi dış kaynak kullanırsanız, bu sağlayıcının güvenlik duruşunu, siğillerini ve hepsini etkili bir şekilde devralırsınız.
Bu, satıcı anketlerinin ve güvene dayalı sözleşmelerin artık yeterli olmadığı anlamına geliyor. Kuruluşların sağlayıcılarının düzenli, bağımsız penetrasyon testi talep etmeleri, gerçek zamanlı izleme için sözleşme yükümlülüklerinde ısrar etmeleri ve her üçüncü tarafın sonunda hedefleneceğini varsaymaları gerekir. “Sıfır güven” yaklaşımı – ortak sistemlerin erişimini sadece kesinlikle ihtiyaç duydukları şeyle sınırlamak – esastır.
Dayanıklılık eşit derecede önemlidir. Havaalanları daha önce varsayılan olarak, sistemleri karardığında manuel check-in’e girmişti, ancak bozulma ölçeği bu beklenmedik durum planlarının amaca uygun olmadığını gösteriyor. İşletmeler sadece önleme planlayamazlar; Ayrıca başarısızlık planlamalı ve çekirdek operasyonların siber baskı altında nasıl hareket ettirileceğini prova etmelidirler.
Bu önlenebilir mi?
Daha titiz bir saldırgan güvenlik programının bu saldırıda sömürülen zayıflıkları ortaya çıkarması büyük olasılıkla. Geleneksel yıllık penetrasyon testleri yüksek değerli hedefler için yeterli değildir, çünkü modern yazılım geliştirme hızı ve saldırganların yaratıcılığı sürekli test, kırmızı takım ve simüle edilmiş tedarik zinciri saldırıları gerektirir.
Bu varsayımsal değil. Saldırganlar zaten yöntemlerini otomatikleştiriyor, insan çabalarının çok ötesine geçen araçlar ve AI sistemleri ile büyük saldırı yüzeylerini araştırıyorlar. Bu arada savunucular, genellikle gürültü üreten ancak sürdürülemez bir dengesizlik olan kritik sorunları kaçıran nadir manuel testlere ve eski güvenlik açığı tarayıcılarına bağlı kalırlar.
Çıtayı yükseltmek
İşletmeler bu hafta sonu bir ders öğrenmelidir, yani siber güvenliği bir uyum egzersizi veya yılda bir kez işaretlemek için bir kutu olarak ele alamazlar. Tedarik zinciri riski, hassasiyet ve gerçekçilikle sürekli olarak yönetilmelidir. Bu, sadece teknik kusurlar için değil, günlük operasyonları destekleyen iş mantığı boşluklarını da araştıran gerçek saldırganların savunulması anlamına gelir.
Bu zorluğu karşılamak için yapay zeka güdümlü penetrasyon testi de dahil olmak üzere yeni yaklaşımlar ortaya çıkıyor. Takımları yanlış pozitiflerde boğan eski tarayıcıların aksine, AI sistemleri, vasıflı saldırganların akıl yürütmesini ve taktiklerini ölçekte taklit edebilir ve haftalar yerine günler içinde gerçek sömürülebilir zayıflıkları ortaya çıkarabilir. Aşırı gerilmiş güvenlik ekipleri için, bu değişim hem rahatlama hem de esnekliği temsil eder – daha hızlı içgörü, daha az dikkat dağıtıcı ve modern iş ritmiyle eşleşen sürekli kapsam.
Bir uyandırma çağrısı
Havaalanı kesintileri yakında manşetlerden kaybolabilirken, altta yatan ders olmamalıdır. Havacılık, finans, perakende veya sağlık hizmetlerinde olsun, her kuruluş üçüncü taraf sağlayıcıların bir kafesine güvenir ve bu ilişkilerin her biri saldırganlar için potansiyel bir giriş noktasıdır.
Kurullar, BT bütçesindeki bir satır öğesi değil, siber esnekliği operasyonel sürekliliğin çekirdek olarak ele almaya başlamalıdır. Satıcıların daha yüksek standartlarda tutulması ve işletmeler günümüzün tehdit manzarasının gerçeklerini yansıtan test ve izleme uygulamalarını benimsemelidir.
Kritik altyapı üzerine siber saldırılar sadece teknik olaylar değildir; Bunlar ekonomiler ve toplumlar arasında dalgalanan aksamalardır. Bu hafta sonu bize bir kez daha bu sistemlerin ne kadar kırılgan olabileceğini gösterdi. Şimdi soru, işletmelerin saldırganların tekrar vurulmasından önce çıtayı yükseltme fırsatını alıp almayacağı.
Yazar hakkında
Varun Uppal siber güvenliği devrim yapmak için AI destekli hackerlar inşa ettiği Shinobi Security’nin kurucusudur. Shinobi’ye başlamadan önce, Baş Bilgi Güvenliği Görevlisi (CISO) olarak görev yaptı ve yıllarca etik bir hacker olarak geçirdi ve ona saldırgan güvenlik ve savunmada derin, uygulamalı uzmanlık verdi.