Yorum
Siber güvenlik acımasız, acımasız ve yenilemez bir ırktır. Örgütlerin ceylanların ve tehdit aktörlerinin çita olduğu bir savan. Önce gelmek için bir ödül yok, en hızlı için kupa yok. Aslında basit: koş ya da yenil. Sert? Evet. Ama bu gerçeği görmezden gelmek sizi kurtarmayacak. Seni en yavaş ceylan haline getirecek.
Bilgisayar korsanlarını kaybetmiyorsun – rahatlığı kaybediyorsun
Hacker’ları ihlaller için suçlamaktan kaçınma işaretidir. Evet, acımasız ve çoğu şirketin savunduğundan daha hızlı yenilik yapıyorlar, ancak sistemlerinizin tamamen açık olmasının nedeni değil. Bu senin için!
Gerçek düşmanınız gönül rahatlığıdır. Bu, sahip olduğunuz eski araçlara güvenme kararıdır, çünkü yükseltme “çok yıkıcı” hisseder. “Vardiya-sol güvenlik“Geliştiricileri bu şekilde hareket etmeleri ve işe yaramadığını söylemek için güçlendirmeden. Bu mükemmel olmakla ilgili değil. En kolay hedef olmakla ilgili. Ve şu anda çok fazla kuruluş çok kolaylaştırıyor.
“Sol Sol” demişti mi?
Vardiya-sol güvenlik, modernin kurtarıcısı olarak AppSec. Söz? Düzeltme ve hiçbir risk oluşturmadıkları en ucuz olduklarında geliştirme döngüsünün başlarında güvenlik açıklarını yakalayın. Gerçek? Çoğu kuruluş bunu yanlış uyguluyor ya da hiç uyguluyor.
Dürüst olalım: En son ne zaman bir geliştiricinin gönüllü olarak güvenlik istediğini kodlarını gözden geçirmesini istediniz? Geliştiriciler, kod yazmak ve hızlı teslim etmek için sürekli baskı altındadır. Güvenlik genellikle bir müttefik değil, bir engel olarak görülür. Sonuç? Güvensiz kodu üretime neden olur ve Shift-sol başka bir terim haline gelir.
Vardiya solunun çalışması için görünmez ve otomatik olması gerekir. Geliştirici iş akışlarına sorunsuz bir şekilde entegre edilmesi gerekir. Daha az her şey sadece arzulu düşünme ve geliştirici ekiplerinizi yabancılaştırmanın kesin bir yoludur.
Çirkin Gerçek: Şirketler eski güvenlik açıklarıyla ihlal ediliyor
Acı verici gerçek şu ki, birçok kuruluş avına tanımlanan güvenlik açıklarından yararlanan siber saldırılar. Bu güvenlik açıkları yıllar önce yamalı olmalıydı. 2024 itibariyle, sadece 2024’te 40.000’den fazla yenisi açıklanan 200.000’den fazla güvenlik açığı tespit edilmiştir ve acımasız bir yukarı yönlü eğilim işaret eder.
Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA’lar) odaklanırken bile Bilinen sömürülen güvenlik açıklarıgerçek dünya saldırılarında aktif olarak kullanılan yaklaşık 1.250 güvenlik açığının bir listesi olan endüstrinin yanıtı korkunç bir resim çiziyor. Verizon’a göre “2024 Veri ihlali araştırmaları raporu“Şirketlerin sadece% 15’i bu güvenlik açıklarını bu kritik listeye dahil edilmelerinin ilk 30 günü içinde yamalıyor ve% 8’i bir yıl sonra bile araştırılmamış.
Bu sofistike sıfır gün istismarları ile ilgili değil. Saldırganlar genellikle en az direniş yolunu alır ve kanıtlanmış bir başarı kaydıyla karşılaşmamış, iyi belgelenmiş güvenlik açıklarını hedefler. Sorun, aşırı yüklenmiş güvenlik ekipleri, kısıtlanmış kaynaklar ve giderek daha karmaşıklaşan BT altyapıları tarafından birleşiyor, bu da hepsi zamanında yamayı zorlaştırıyor.
Eğer daha yavaşsanız, ihlal edileceksiniz. Bunu engellemiş olabilirsiniz, ancak gönül rahatlığı, yanlış yerleştirilmiş öncelikler veya her yıl açıklanan çok sayıda güvenlik açıkına ayak uyduramama nedeniyle, yapmadınız.
Öyleyse, neden koşuyorsun?
Yarış yenilemezse, anlamı nedir? Mesele şu ki: Yarışın sizin için çalışmasını sağlayabilirsiniz. Hayatta kalmak mükemmellikle ilgili değildir. Öncelikleme ile ilgilidir. Bu, saldırganların ortamınızda sömürebileceği ve kuruluşunuzu önemli ölçüde etkileyebileceği güvenlik açıklarına odaklanmakla ilgilidir. Burada çabalarınızı yoğunlaştırmak sizi daha zor bir hedef haline getirerek saldırganları daha kolay av için hareket etmeye zorlayabilir.
Bu her şeyi düzeltmek için bir yarış değil; Neyin önemli olduğuna odaklanmak için bir yarış. Akıllı önceliklendirme sizin kenarınızdır.
Kazanabileceğiniz bir yarış (kazanmayı yeniden tanımlarsanız)
İşte iyi haber: Bu yarışı geleneksel anlamda “kazanamasanız” olsa da, içinde başarılı olabilirsiniz. Kazanmak, her güvenlik açığını düzeltmek veya her saldırıyı durdurmakla ilgili değildir. Riski etkili bir şekilde yönetmek ve saldırganların başarılı olmasını zorlaştırmakla ilgilidir.
Savanna acımasız olabilir, ancak esnek, uyarlanabilir ve en önemli şeylere odaklanan organizasyonları ödüllendirir. Gerçek ulaşılabilirliklerine, sömürülebilirliğine ve etkisine dayanarak sizin için kritik riskler olan güvenlik açıklarına girerek, tehditlerin hacmi tarafından boğulmadan sonuçlar verebilirsiniz.
Evet, siber güvenlik zordur ve oranlar size karşı istiflenir. Ama güçsüz değilsin. Dayanıklılığı benimseyerek, kritik güvenlik açıklarına öncelik vererek ve ekipler arasında işbirliğini teşvik ederek yarışın sizin için çalışmasını sağlayabilirsiniz.
Bu savanda, en hızlı ceylan olmanıza gerek yok. En yavaş olmayı göze alamazsın. Yani, akıllı çalıştırın. Güçlü koş. Neyin önemli olduğuna odaklanın. Ve ne yaparsan yap – durma.