Check Point’e göre küresel siber saldırılar son birkaç yılda keskin bir artış göstererek 2022’de %38 arttı. Bunu, 2022’de ABD’de ortalama 9,44 milyon dolar ve küresel olarak 4,25 milyon dolar olacak şekilde artan veri ihlali maliyetiyle birleştirirseniz, siber saldırıları önlemek 2024’e girerken herkesin ilk aklına gelen konu olacaktır.
Ağustos ayı başlarında Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Siber Güvenlik Çerçevesine (CSF) ilişkin bir güncelleme paylaştı. Yeni taslak, siber saldırıların maliyetini ve sıklığını azaltmak için risk yönetimine yönelik kapsayıcı ve duyarlı tavrını yansıtıyor. Bir siber güvenlik programı oluşturmak ve siber riski azaltmak için altın standart olan CSF 2.0, siber saldırıların ön saflarında yer alan Fortune 500 şirketlerinden gelen geri bildirimleri içerir.
Kuruluşların sürekli gelişen siber tehdit ortamına ayak uydurmasına yardımcı olmak için NIST, risk yönetimi üzerinde doğrudan ticari etkileri olan aşağıdaki dört ana temayı vurgulamaktadır. Baş bilgi güvenliği görevlileri (CISO’lar), 2024’te kuruluşlarının güvenliğini sağlamaya ve siber güvenlik riskini azaltmaya yardımcı olmak için çalışırken aşağıdaki ilkeleri akılda tutmalıdır.
Sürekli ve Niceliksel Risk Değerlendirmesini Vurgulayın
Sürekli risk değerlendirmesi, sağlam bir siber güvenlik programının temel taşıdır. Risk duruşunu iyileştirmek, kuruluşların en kritik BT varlıklarını, bunları etkileyen tehditleri, güvenlik zayıflıklarını ve bu zayıflıkların kötüye kullanılma olasılığını anlamalarını sağlamak açısından çok önemlidir. Ayrıca Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşların güvenlik duruşlarını daha iyi anlamak için düzenli olarak siber risk değerlendirmeleri yapmalarını tavsiye ediyor. Bu düzenli değerlendirmelerin faydaları arasında siber dayanıklılığın artırılması ve siber sigorta gerekliliklerinin karşılanması yer alabilir.
Gerçek zamanlıya yakın risk değerlendirmesi uygulamak isteyen kuruluşlar için otomasyon ve yapay zeka (AI) tabanlı araçlar, yüksek risk hacmine ayak uydurmak açısından kritik öneme sahiptir. Kötü aktörler yapay zekayı zarar vermek için kullanmaya başladıkça, onu iyilik için nasıl kullanacaklarını öğrenmek kritik önem taşıyor. Bu tür araçlar, kuruluşların varlıkları keşfetmesine, güvenlik açıklarını önceliklendirmesine ve saldırı yüzeyi geliştikçe bile risklerin kuruluşlara yönelik olasılığını ve potansiyel etkisini tanımlamasına olanak tanır.
NIST’in güncellenmiş çerçevesindeki bu öneri, CISO’ların siber güvenlik risk ölçümüyle ilgili karmaşıklıklara ilişkin derinlemesine anlayışını daha da geliştiriyor. Ancak sürekli risk değerlendirme süreci yalnızca CISO’ya bağlı değildir; yatırımlar ve satın almalar organizasyonun tüm departmanlarını kapsamalıdır. Kuruluşun tamamı bunu, aldığı verileri daha iyi kullanmanın bir yolu olarak görmelidir.
Sürekli İyileştirmeye Öncelik Verin
Sürekli iyileştirme kültürü yaratmak bir kavramdan daha fazlasıdır. Siber güvenliğin olmadığını vurguluyor Sadece NIST tarafından önerilen bir sonraki artımlı kategorinin veya alt kategorinin uygulanması hakkında; organizasyon çapında destekle bütünsel bir duruş benimsemeye yönelik bir yolculuktur. Örneğin, dün yamaladığınız ve güvenliğini sağladığınız yazılım, bugün yeni bir saldırıya açık olabilir. Bu nedenle, tüm yüzeylerinizi bir anda ortaya çıkabilecek saldırılardan uzak tutmak için sürekli adaptasyon ve iyileştirme çok önemlidir.
NIST’in güncellenen taslağı, Tanımlama işlevine yeni bir İyileştirme kategorisi ekleyerek bu tutumu benimsiyor. Taslak ayrıca uygulama katmanlarının tanımlarına ilişkin güncellemeleri ve siber güvenlik risk yönetimi, yönetişim ve üçüncü taraf riskleri dahil olmak üzere ek faktörleri de içeriyor. Bu, risk yönetimine daha bütünsel bir yaklaşım sergiliyor.
Tedarik Zinciri Risk Yönetimini Güçlendirin
Tedarik zincirine yönelik saldırılar son birkaç yıldır kötü aktörlerin odak noktası haline geldi. SolarWinds saldırısı ve Log4j istismarından başka bir yere bakmayın. Ayrıca Gartner, 2025 yılına kadar küresel kuruluşların %45’inin bir tedarik zinciri saldırısından etkileneceğini öngördüğü için herhangi bir yavaşlama belirtisi de yok. Bu saldırılar, çoğu kuruluşun kendi sistemleri için bir yazılım malzeme listesi (SBOM) oluşturmakta zorlandığını kanıtlıyor. korumada bir boşluk yaratan kullanımdaki uygulamalar.
Güncellenen taslakta NIST, organizasyonları çeviklik ve doğruluğun önemli olduğu konusunda uyararak tedarik zinciri risk yönetimini ele alıyor. Taslak, tedarikçilerden bir SBOM olarak da tanımlanabilecek bir bileşen envanteri sağlamalarını ve sürdürmelerini sözleşmeye bağlı olarak talep eden bir örnek içermektedir. Kuruluşunuzun operasyonlarının büyük bir kısmı tedarik zincirinin sağlam kalmasına bağlı olduğunda, gelen herhangi bir saldırının önünde daha iyi kalabilmek için risk yönetiminde hassasiyeti ön plana çıkarmalısınız.
Uygulama Örneklerini Geliştirin
NIST çerçevesinin ilk taslağı önerilen bazı uygulama örneklerini içerse de yeterli değildi. Ek örnekler ekleyerek, siber güvenlik rehberliği için NIST’e başvuran kuruluşlar, çerçevede belirtilen en iyi uygulamaları uygulamak için ek kaynaklara sahip olur. Mümkün olduğu kadar çok sayıda pratik uygulama örneğine sahip olmak, CISO’lara ve diğer güvenlik liderlerine daha iyi güvenlik önlemleri uygulamak için net, eyleme dönüştürülebilir adımlar sağlar.
Güncellenen taslakta yer alan ek örnekler, en iyi uygulamaları uygulamak için siber güvenlik konusunda rehberlik almak üzere NIST’e başvuran kuruluşlara güç verebilir. Ek uygulama açılarının dahil edilmesi, NIST’in daha işlevsel, gerçek anlamda ve duyarlı bir siber güvenlik yönetimi süreci oluşturmakla ilgilendiğini gösteriyor.
Artan karmaşıklık ve araçların yayılması, sürekli genişleyen saldırı yüzeyi ve artan düzenleyici baskılar nedeniyle, tek bir cam görünüm sağlayan otomatikleştirilmiş ve yapay zeka destekli araçlar kritik hale gelecektir. Bu güncellenmiş çerçeve, CISO’lara organizasyonlarını 2024 ve sonrası için siber güvenlik ortamının dinamik doğasına uyarlamaları ve daha iyi hizalamaları için uygulanabilir adımlar sunuyor.