Bu Help Net Security röportajında, Nokia Siber Savunma Merkezi Başkanı Pedro Cameirão, 2024 için ortaya çıkan siber güvenlik trendlerini tartışıyor ve kuruluşlara hazırlık stratejileri konusunda tavsiyelerde bulunuyor.
Cameirão, siber güvenlik alanındaki en parlak beyinlerden bazılarını bir araya getiren bir konferans ve sergi olan Dubai'deki GISEC Global 2024'te konuşacak.
İşletmeler 2024'te ortaya çıkan siber güvenlik trendlerinden hangilerinin farkında olmalı ve bu yeni tehditlere nasıl hazırlanmalı?
Tehdit aktörlerinin, güvenlik önlemlerinden kaçmak ve güvenlik açıklarından benzeri görülmemiş bir oranda yararlanmak için yeni teknik ve teknolojilerden giderek daha fazla yararlandığını gözlemliyoruz. Gelişmiş kalıcı tehditlerin (APT'ler), hizmet olarak kimlik avının, hizmet olarak fidye yazılımı modellerinin ve ulus devlet destekli siber saldırıların yükselişi, tehdit ortamının karmaşıklığını daha da artırıyor. Yapay zeka ve makine öğrenimi gibi yeni gelişen teknolojiler artık daha hassas, otomatik ve karmaşık saldırıları gerçekleştirmek için kullanılıyor.
Örneğin, yalnızca çok faktörlü kimlik doğrulamaya (MFA) güvenmek, ağ erişimi için kimlik hırsızlığını önlemede yeterli olmayabilir. MFA'nın artık ek koşullu erişim politikalarıyla desteklenmesi gerekiyor.
Artan kullanıcı farkındalığını aşmak ve e-posta sistemi filtrelerini atlatmak için yeni kimlik avı taktikleri de (örn. susturma) kullanılıyor.
Kuruluşların hızlı bir şekilde uyum sağlaması, güvenlik açığının giderilmesini hızlandırmak için tehdit istihbaratı programları uygulaması ve dinamik tehdit ortamının gelişimine göre uyarlanmış uygun güvenlik kontrollerinin devreye alınması çok önemlidir.
Yapay zeka ve makine öğrenimi teknolojilerinin yükselişi siber güvenlik ortamını nasıl etkiliyor ve bunlar işletmeler için hangi yeni riskleri ve fırsatları sunuyor?
2023'te yapay zeka (AI) ve makine öğrenimi (ML), moda sözcüklerden geniş çapta erişilebilir teknolojilere dönüştü. Siber suçlular artık kurbanların BT sistemleri, güvenlik açıklarının varlığı hakkında bilgi edinmek, tespit yöntemlerini atlatmak ve benzeri görülmemiş hız, ölçek ve hassasiyetle otomatik saldırılar başlatmak için yapay zekayı yaygın olarak kullanıyor.
Güvenlik ve olay müdahalesine yönelik geleneksel yaklaşımlar artık yeterli değildir. Savunmacılar ayrıca tehditleri tahmin etmek, güvenlik duruşunu geliştirmek ve algılama ve olay müdahale yeteneklerini otomatikleştirmek için yapay zeka ve makine öğreniminden yararlanmalıdır.
Tedarik zinciri saldırıları artıyor. İşletmeler tedarik zincirlerini güvence altına almak ve bu tür saldırıların risklerini azaltmak için hangi adımları atmalıdır?
2020'de ortaya çıkan SolarWinds siber güvenlik olayı, tedarik zinciri saldırılarının yaratabileceği devasa etkiyi ortaya çıkardı. Bu saldırının yansımaları bugün de devam ediyor ve hafifletme önlemlerinin tam olarak uygulandığını düşünmek hiçbir zaman imkansız olacak. Bu olay, birçok kuruluş için tedarik zinciri saldırılarının olası sonuçlarına ilişkin bir uyandırma çağrısı görevi gördü.
Siber güvenlik programları, tedarik zinciri saldırılarını, yalnızca tedarikçilerden devralınan riskler açısından değil, aynı zamanda teslim edilen ürün ve hizmetlerde ortaya çıkan güvenlik açıklarının müşterilere yönelik potansiyel alt etkileri açısından da önemli bir risk kaynağı olarak değerlendirecektir.
Tedarik zinciri saldırılarından kaynaklanan riski azaltmak için kuruluşların, siber güvenlikle ilgili en iyi uygulamalara, düzenlemelere ve endüstri standartlarına uygunluklarını değerlendiren tedarikçi ve üçüncü taraf değerlendirme programları uygulaması gerekir. Bilinmeyen veya yeterince kontrol edilmeyen riskleri olan satıcılar, risklerin azaltılmadığı tespit edildiğinde reddedilmelidir.
Ayrıca, açık kaynak ve üçüncü taraf yazılımların kullanılması, tedarik zinciri saldırılarına ilişkin önemli riskler doğurur. Uygun kontroller, üçüncü taraf yazılımların güvenilirliğini doğrulamalı ve bunların düzenli güncellemeler ve yamalar almasını sağlamalıdır. Güvenlik değerlendirmeleri, yazılım geliştirme yaşam döngüsünün (SDLC) tüm aşamalarına ve uygulama ve ürünlerin CI/CD işlem hatlarına entegre edilmelidir.
Yukarıdakilerin hepsinin, düzenli risk değerlendirmeleri, sağlam erişim kontrolleri, sistem sağlamlaştırma, düzenli yamalama ve güvenlik açığı iyileştirme, çalışan eğitimini içermesi gereken etkili BT güvenlik programlarıyla tamamlanması gerekir. Tehdit istihbaratı, olay tespiti, müdahale ve iyileştirme ile desteklenen sürekli güvenlik izleme, aynı zamanda etkili bir güvenlik programının temel bileşenleridir.
Gelişen veri gizliliği düzenlemeleriyle birlikte şirketler, ihlallere karşı koruma sağlarken uyumluluğu sağlamak için siber güvenlik stratejilerini nasıl uyarlamalıdır?
Geçtiğimiz yıllarda, ortaya çıkan tehditleri ele almak ve veri korumasını geliştirmek için dünya çapında birçok yeni siber güvenlik düzenlemesi uygulamaya konuldu. Siber tehditler geliştikçe, düzenlemelerin daha katı hale gelmesini, mali cezaların daha yüksek olmasını ve düzenleme yükümlülüklerini yerine getirmeme konusunda kurumsal yöneticilerin potansiyel olarak cezai olarak sorumlu tutulmasını bekleyebiliriz.
Siber tehditler geliştikçe, BT güvenliği yasal düzenlemelerine bağlılık, dijital operasyonlarda güveni, bütünlüğü ve yasallığı korumak için çok önemli hale geliyor.
Kapsamlı bir siber güvenlik programı uygulayarak kuruluşlar, gelişen düzenleme ortamına uyum sağlamaya daha iyi hazırlanabilirler. Riskleri proaktif bir şekilde azaltabilir, siber tehditlere karşı dayanıklılığı artırabilir ve dijital varlıklarını ve itibarlarını koruyabilirler.
İçeriden gelen tehditler işletmeler için önemli bir endişe kaynağı olmaya devam ediyor. Kuruluşlar içeriden gelen tehditleri etkili bir şekilde tespit etmek ve önlemek için hangi önlemleri uygulayabilir?
Tüm şirketler aynı değildir ve içeriden tehdit riski farklılık gösterir. İçeriden gelen tehditleri etkili bir şekilde yönetmenin ilk adımı, çalışanların suiistimallerinin düzenli iş operasyonlarını kesintiye uğratabileceği veya BT sistemlerini tehlikeye atabileceği tüm potansiyel alanları belirlemek için kapsamlı bir değerlendirme yapmaktır.
Belirlenen riskleri azaltmak için uygun BT güvenliği ve İK kontrolleri tasarlanmalıdır. Güvenlik politikaları, şirketin özel iç tehdit risk iştahına uygun özel güvenlik önlemlerini içermelidir. Bunlar arasında hassas rollere sahip çalışanlar için kapsamlı inceleme süreçleri, en az ayrıcalıklı erişimin sistematik olarak uygulanması, ayrıcalıklı yönetim sistemlerinin tanıtılması, ağ ayrımı, veri kaybı önleme (DLP) ve güvenlik izleme ve diğerleri yer alabilir.
Üçüncü taraf risk yönetimi de aynı derecede önemlidir. Ayrıcalıklı sistem erişimine sahip alt yükleniciler ve satıcılar önemli bir risk kaynağını temsil etmektedir. Üçüncü tarafların düzenli olarak değerlendirilmesi önemlidir ve üçüncü taraf tedarikçilerin şirketin güvenlik politikalarına uymasını sağlamalıdır.