Tenable’a göre son iki yılda ortalama bir kuruluşun siber güvenlik programı, karşılaştığı siber saldırıların yalnızca %57’sini önleyici bir şekilde savunmak veya engellemek için hazırlandı.
Bu, onlara karşı başlatılan saldırıların %43’ünün başarılı olduğu ve olay gerçekleştikten sonra düzeltilmesi gerektiği anlamına geliyor.
Ankete katılanların %58’i, ilk etapta başarılı saldırıları önlemek yerine neredeyse tamamen başarılı saldırılarla mücadele etmeye odaklandıklarını söylüyor. Çalışma, bunun büyük ölçüde saldırılar gerçekleşmeden önce potansiyel risklerin azaltılamaması nedeniyle olduğunu ortaya koyuyor.
Siber profesyoneller, bu reaktif duruşun büyük ölçüde kuruluşlarının, bilinmeyen varlıklara, bulut kaynaklarına, kod zayıflıklarına ve kullanıcı yetkilendirme sistemlerine ilişkin görünürlük de dahil olmak üzere saldırı yüzeylerinin doğru bir resmini elde etme çabasından kaynaklandığını belirtiyor.
Önleyici siber güvenlik araçlarını yönetmek vasıflı bir iş gücü gerektirir
Birden fazla bulut sistemine, çok sayıda kimlik ve ayrıcalık yönetimi aracına ve web’e yönelik çeşitli varlıklara bağlı olan altyapının karmaşıklığı, yanlış yapılandırmalar ve gözden kaçan varlıklar için çok sayıda fırsat getiriyor.
Katılımcılar, bulut altyapısının kullanıcı ve sistem kimlikleri, erişim ve yetkilendirme verilerini ilişkilendirmeye çalışırken ortaya çıkardığı karmaşıklık göz önüne alındığında, çoğunlukla bulut altyapısıyla ilişkili risklerden endişe duyuyordu.
%75’i bulut altyapısını kuruluşlarının en büyük riske maruz kalma riski kaynağı olarak görüyor. Algılanan en yüksek riskler sırasıyla genel bulut (%30), çoklu bulut ve/veya hibrit bulut (%23), özel bulut altyapısı (%12) ve bulut konteyner yönetimi araçlarının (%9) kullanımından geliyor.
Önleyici siber güvenliği uygulamak için gereken birçok aracı yönetmek ve bu farklı veri kaynaklarından anlamlı risk raporları oluşturmak önemli miktarda insan kaynağı gerektirir.
Katılımcıların %75’i, düzeltme için güvenlik açıklarını önceliklendirirken kullanıcı kimliğini ve erişim ayrıcalıklarını dikkate aldıklarını söylerken, %50’si kuruluşlarının bu tür verileri önleyici siber güvenlik ve risk yönetimi uygulamalarına entegre etme konusunda etkili bir yöntemden yoksun olduğunu söylüyor.
%57’si, veri hijyeni eksikliğinin, güvenlik açığı yönetimi sistemlerinin yanı sıra kullanıcı ayrıcalığı ve erişim yönetimi sistemlerinden kaliteli veri almalarını engellediğini söylüyor. İş dünyası liderlerine kurumsal güvenlik altyapısının durumu hakkında rapor oluşturmak ayda ortalama 15 saat sürüyor.
İş açısından kritik sistem toplantılarının sıklığı
Kuruluşların %53’ünde iş açısından kritik sistemlerle ilgili toplantılar ayda bir yapılıyor, %18’i bu tür toplantıları yılda yalnızca bir kez yapıyor, %2’si ise bu tür toplantıları hiç yapmadığını söylüyor.
Bu veriler, bu yılın Aralık ayında yürürlüğe giren siber güvenlik risk yönetimi, strateji, yönetişim ve olay açıklamasına ilişkin SEC kurallarının yakın zamanda uygulamaya konulmasının ardından, halka açık şirketler için kritik bir zamanda geliyor. Halka açık şirketler tarafından maddi siber güvenlik olaylarının ifşa edilmesini zorunlu kılan yeni kurallar, aynı zamanda siber güvenlik tehditlerinden kaynaklanan maddi risklerin değerlendirilmesi, tanımlanması ve yönetilmesine yönelik süreçlerin ana hatlarını da belirlemeyi şart koşuyor.
Ayrıca, siber güvenlik risklerinin değerlendirilmesi ve yönetilmesinde yönetim kurullarının ve üst yönetimin gözetim süreçlerini vurgulamalarını da gerektirir. Bu en iyi uygulamalara ve süreçlere sahip olmayan kuruluşlar için önleyici güvenlik önlemleri operasyonlar için bir gereklilik haline gelecektir.
Tenable’ın güvenlik şefi ve araştırma başkanı Robert Huber, “Önleyici güvenlik artık risk yönetimine yönelik isteğe bağlı bir yaklaşım değil, bir ön koşuldur” dedi. “Güvenlik kuruluşlarının dağınık yangınla mücadelesi, özellikle buluta geçiş ve yapay zeka gibi eğilimlerin neden olduğu saldırı yüzeyinin ve maruz kalma noktalarının genişlemesiyle birlikte, başarısızlığın reçetesidir.
“Riski proaktif bir şekilde anlamanın ve azaltmanın önemi hakkında giderek daha fazla kuruluşla konuşuyoruz ve bu araştırma, birçoğunun bunu sezgisel olarak bildiğini, ancak çoğu zaman kontrolleri dışında olan ters rüzgarlarla mücadele ettiklerini vurguluyor. Uygulamalarını basitleştirmek ve daha hızlı önceliklendirme ve iyileştirme için gerçekte ihtiyaç duydukları risk verilerine ulaşmak amacıyla paydaşlar arasında daha işbirlikçi tartışmaları teşvik etmeyi umuyoruz” diye sözlerini tamamladı Huber.