[By Venky Raju, Field CTO, ColorTokens]
Günümüzün oldukça dijitalleşmiş ve işbirliğine dayalı iş ortamında, siber güvenlik ihlalinin olasılığı, olup olmayacağı değil, ne zaman olacağı meselesidir. Haberlerde bildirilen neredeyse her yüksek profilli ihlal, güvenlik duvarları, anti-virüs, kimlik doğrulama ve uç nokta tespiti gibi çevre güvenliğine nüfuz eden bir siber saldırının sonucudur.
Ne yazık ki, bu ihlaller önemli iş kesintilerine, milyonlarca dolarlık mali kayıplara, itibar kaybına ve daha fazlasına neden oldu. Örneğin, Change Healthcare'e yönelik son fidye yazılımı siber saldırısı, 6 terabaytlık verinin çalınması, ülke çapında reçete işleme kesintileri ve olası hasta davaları da dahil olmak üzere son yılların en yıkıcı saldırılarından biri oldu. Bunun önümüzdeki aylarda tıbbi sağlayıcılar üzerinde dalgalı etkileri olacak.
Ortak Vektörler, Gelişen Taktikler
Kötü aktörlerin sisteme sızmasının birkaç farklı yolu vardır. FBI'ın 2022 İnternet Suç Raporuna göre, tüm siber suç kayıplarının dörtte birinden fazlasını oluşturan, kimlik avı veya iş e-postasının ele geçirilmesi gibi başka yollarla kullanıcıların güvenliği ihlal edilebilir. Alternatif olarak, sistemdeki bir zayıflıktan yararlanarak internete bağlı uç cihazlara sızabilirler veya kötü amaçlı yazılım yoluyla cihazın kendisini tehlikeye atabilirler. Başka bir giriş noktası, bir cihazın donanımına veya yazılımına yerleştirilen kötü amaçlı yazılımlar gibi üçüncü taraf riski yoluyla olabilir. Son olarak, çalışanların kasıtlı veya kasıtsız olarak şirket içi verileri sızdırması nedeniyle içeriden gelen tehditler tüm sektörlerdeki işletmeler için önemli bir risk olmaya devam ediyor.
Üretken yapay zekadaki son teknolojik gelişmelerle birlikte bilgisayar korsanları bundan yararlanıyor ve kuruluşlara yönelik saldırılar başlatmak için daha karmaşık stratejiler geliştiriyor. Saldırıların sayısı artmaya devam ediyor – 2023 tarihli bir rapor, güvenlik liderlerinin dörtte üçünün siber saldırılarda bir artışa tanık olduğunu ve %85'inin bu artışı üretken yapay zekadan yararlanan bilgisayar korsanlarına bağladığını ortaya çıkardı.
Şirketler Neyi Yanlış Yapıyor?
Kuruluşlar şu anda kendilerini bu siber saldırılara karşı korumak için MFA, güvenlik duvarları ve EDR gibi çevre güvenliği çözümlerine yatırım yapıyor ancak bunlar ne yazık ki gelişmiş bilgisayar korsanları için %100 kusursuz değil. Yine de birçok işletme yanlışlıkla bu çözümlere güveniyor ve bunu kabul edilebilir bir risk olarak görüyor çünkü yapabileceklerinin en iyisi olduğuna inanıyorlar. CISO ve BT liderlerinin her durumda %100 haklı olması gerekirken, saldırganın yalnızca bir kez haklı olması gerekir. Bilgisayar korsanları bu güvenlik önlemlerini aştığında ciddi hasara neden olabilirler. Bu nedenle kuruluşların kendilerini proaktif bir şekilde savunmak ve eninde sonunda saldırıya uğrayacakları varsayımıyla faaliyet göstermek için geleneksel çevre siber güvenliğinin ötesine geçmeleri gerekiyor. Kontrol edebilecekleri tek şey, saldırganın sisteme girip zarar verip veremeyeceğidir.
“İhlallere Hazır Olun”
Güvenlik ekiplerinin “ihlallere hazır” olmaları için maruz kaldıkları her saldırının bir ihlale neden olacağı varsayımına sahip olmaları gerekir. Sonuç olarak işletmeler, Sıfır Güven güvenlik modeline dayanan derinlemesine bir savunma stratejisiyle proaktif bir şekilde hazırlanmalı. Sıfır Güven güvenlik zihniyetini uygulamak için kuruluşların, çevrenin iyi korunmasını sağlamak amacıyla mümkün olan her yerde örtülü güveni ve erişim izinlerini kaldırması gerekir. Ancak bu, sorunun yalnızca yarısını çözer. Güvenlik liderlerinin, başarılı bir saldırı karşısında bile dayanıklılığı koruyabilmeleri için bir acil durum “B planı” sağlamak üzere ek önlemlere sahip olmaları gerekir. Bu şekilde kuruluşlar kontrolü ele alır ve bir ihlalin etkisini %90'ın üzerinde azaltabilir.
Mikrosegmentasyon, bu boşluğu gideren proaktif bir siber savunma stratejisidir. Otomatik olarak bir ihlalin meydana geldiğini varsayarak EDR, güvenlik duvarı ve anti-virüs savunma çözümlerinden farklılık gösterir. Mikro bölümleme, kurumsal ağdaki her varlığın etrafında bir mikro çevre oluşturarak ve yanal hareketi önleyerek bir ihlal sonrasında kötü amaçlı yazılım veya fidye yazılımının yayılmasını durdurur. Güvenlik ekiplerinin hangi varlık gruplarının iletişim kurması gerektiğini ve bunların iş süreçlerindeki amaçlarını tanımlamasına olanak tanır. Bir saldırgan tespit edilmeden bir cihaza başarılı bir şekilde ihlal ettiğinde, hasarın boyutu saldırganın bir sonraki adımda nereye hareket edebileceğine göre belirlenecek. Mikro bölümleme, uygulama korumasını, ayrıntılı trafik kontrollerini ve tehdit azaltma politikalarını kullanarak fidye yazılımlarını ve diğer kötü amaçlı yazılımları büyük hasarlar oluşmadan önce durdurur.
Mikrosegmentasyon Darboğazları
Mikrosegmentasyonun benimsenmesi, zorlukları ve yanlış anlamaları olmadan gerçekleşmez. Bu güvenlik stratejisini uygulamak, güvenlik liderlerinin üstleneceği büyük bir projedir. Kuruluşunun güvenliğini sağlamakla görevlendirilen bir CISO'nun ilk öncelikleri MFA, güvenlik duvarları, API güvenliği ve e-posta güvenliği çözümlerini uygulamaktır. Bunlar diğer ekiplerin çok az katılımını gerektirir, paydaşların katılımını gerektirmez ve çalışanlar için minimum düzeyde iş kesintisine neden olur. Mikro bölümleme tüm sunucu ortamını izole etmeyi ve her uç noktanın güvenliğini sağlamayı içerdiğinden, bu genellikle her çalışanı doğrudan etkiler.
CIO'lar aynı zamanda çeşitli ekiplerin katılımını ve desteğini gerektirdiği için mikro bölümleme yolculuklarına başlamakta da tereddüt ediyorlar. Uygulama açısından büyük bir darboğaz, CISO'lar ve CIO'lar arasındaki temel insan sorunudur. CIO'lar iş sürekliliği ve teknoloji ROI'sine odaklanırken CISO'lar güvenlik riskini azaltmaya odaklanır. CIO'lar, mikro bölümleme gibi karmaşık güvenlik önlemlerinin uygulanmasına karşı önyargılı düşüncelere ve dirence sahip olabilir. Erişim politikalarını uygulamadan önce farklı ekipler arasında onay almanın da zorluğu vardır. Her seviyedeki çalışanların işbirliğini gerektirecektir.
Ek olarak, birçok şirket birden fazla tedarikçide çeşitli siber güvenlik sistemleri kullanıyor. Bu, pazarın aşırı doyması nedeniyle güvenlik liderlerinin kafa karışıklığına neden olabilir ve birden fazla çözüm kullanan kuruluşlar için yanlış bir güvenlik duygusu yaratabilir. Diğer şirketler ise atlatılan güvenlik önlemlerini kullanıyor ve mikro segmentasyonu benimseme yükünü çözmek için her şeyi kapsayan bir güvenlik çözümü bekliyor.
İlerisini planlamak
Kuruluşların “ihlal hazırlığı” için öncelikle kendilerini hazırlaması ve güvenlik yığınlarındaki boşlukları belirlemesi gerekir. Saldırılara ve yanal harekete karşı proaktif savunma sağlamak için çözümlerin geleneksel çevre siber güvenliğinin ötesine geçmesi gerekiyor. Güvenlik liderleri, Sıfır Güven güvenlik modeline dayanan derinlemesine bir savunma stratejisi benimsemelidir. Artımlı ağ bölümleme, politikaları kademeli olarak uygulayarak, gereksiz ayrıcalıkları kaldırarak ve bir ihlal olduğunda güvenlik ekiplerini uyararak mikro bölümlemeyle ilgili bazı tereddütlerin giderilmesine yardımcı olabilir. Bu süreçte işletmeler gerekirse ek politikalar uygulayabilir. Bu, bir ihlal durumunda sistemleri izole ederek işlerin daha fazla aksamasını, mali kayıpları ve itibarın zarar görmesini önleyecektir.
Reklam