Bu Help Net Security röportajında, CDW Güvenlikten Sorumlu Başkan Yardımcısı Stephanie Hagopian, karmaşık siber saldırılar karşısında saldırı stratejilerini ve sıfır güven modelinin rolünü tartışıyor. Konuşmada ayrıca saldırı sonrası reaktif bir siber güvenlik stratejisi için gerekli adımlar da ele alınıyor ve şeffaflık ve hazırlıklı olunması vurgulanıyor.
Ayrıca, özellikle maliyet verimliliği ve kriz yönetimi açısından proaktif bir siber güvenlik yaklaşımı benimsemenin faydalarını inceliyor ve saldırgan güvenlik testlerinin uyumluluk ve sıfır gün müdahalesi üzerindeki etkisini araştırıyoruz.
Kuruluşlar saldırı amaçlı siber güvenlik stratejilerine mi yoksa savunma amaçlı siber güvenlik stratejilerine mi daha fazla odaklanmalı?
Cevap Evet. İdeal bir dünyada, sağlam bir saldırı stratejisi, çok fazla eylem halinde savunma ihtiyacını ortadan kaldıracaktır, ancak çoğu kuruluş gerekli yatırımları yapamaz ve yeni araç ve süreçleri yeterince hızlı veya ağırlığı değiştirecek anlamlı bir şekilde uygulamaya koyamaz. Her ikisi de bir kuruluşun siber dayanıklılık duruşunu güçlendirmek açısından eşit derecede önemlidir.
Yaratıcı GenAI mühendisliği, hibrit altyapıları yönetmenin doğasında var olan karmaşıklıklarla birleştiğinde, siber saldırıların daha karmaşık ve tehlikeye atılma riski taşıyan çok sayıda veriyle daha sık hale gelmesine neden oldu. Güvenlik liderleri bu dijital dönüşümle boğuşurken, küresel tehdit ortamında gördüğümüz büyüklüğün katıksız gücü tarafından ezilmemeleri için bireysel tehditlere daha az, kapsamlı risk azaltmaya daha fazla odaklanarak saldırgan stratejilere yöneliyorlar.
Siber güvenliğe sıfır güven yaklaşımı, birçok kuruluş için tercih edilen model haline geldi çünkü bu yaklaşım, olası her tehdit vektörünü güzel bir şekilde katmanlayan bir çerçeveyi benimsiyor. 2022 itibarıyla şirketlerin %97’si sıfır güven girişimini uygulamaya koydu veya önümüzdeki 18 ay içinde bunu yapmayı planladı; bu oran 2019’da %16’ydı. Sıfır güven, bir kuruluşun ağının içindeki ve dışındaki tüm kullanıcıların kimliğinin doğrulanmasını, yetkilendirilmesini gerektirir. uygulamalara ve verilere erişim izni verilmeden önce güvenlik yapılandırması ve duruşu açısından sürekli olarak doğrulanır. Geleceğe hazırlanmak için kuruluşların sürekli izleme ve test yoluyla büyük ölçekli sistemik siber saldırılara karşı korunmaları, mevcut yazılımları optimize etmeleri ve sıfır güveni iş stratejilerinin bir parçası haline getirerek güvenlik araçlarına yönelik fonları artırmaları gerekecek.
Bir siber saldırının ardından, reaktif bir siber güvenlik stratejisinde uzun vadeli hasarı en aza indirmeye yardımcı olabilecek kritik adımlar nelerdir?
Reaktif siber güvenlik stratejisindeki kritik adımlardan biri şeffaflıktır. Paydaşlarla açık iletişim her zaman önemli olsa da, ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) yakın zamanda kamu şirketlerinin siber güvenlik yönetişim yeteneklerini açıklamasını zorunlu kılan yeni kurallar belirledi; bu da kuruluşların önemli siber güvenlik olaylarını nasıl doğru bir şekilde tanımlayacaklarını ve ifşa edeceklerini bilmelerini hayati önem taşıyor.
Bir siber saldırı durumunda şirketlerin, saldırı sırasında hangi kontrollerin mevcut olduğu, hangi verilerin açığa çıktığı veya etkilendiği ve kritik güvenlik açıklarının ne kadar hızlı yamalandığı hakkındaki kritik soruları yanıtlayabilmesi gerekir. Paydaşların endişelerini giderecek proaktif bir plana sahip olmak, çalışanlar, yatırımcılar, müşteriler ve ortaklar arasında güven oluşturulmasına yardımcı olabilir ve ilgili herkesin daha fazla zarar görmesini en aza indirebilir.
Şirketler, bir siber saldırı veya veri ihlali sonrasında alınması gereken iyi tanımlanmış eylemlerin yer aldığı bir olay müdahale taktik kitabı oluşturarak bu gibi sorulara hazırlıklı olmayı sağlayabilir. Bir Yİ taktik kitabına sahip olmak, çalışanların bir kriz durumunda rollerini ve sorumluluklarını anlamalarını sağlayabilir, müdahale süresini kolaylaştırabilir ve bir siber olayın etkisini azaltabilir. Çoğu zaman kuruluşların minimum yaşayabilirlik durumlarının ne olduğu konusunda bir fikre sahip olmadıklarını görüyoruz; bu da maddi bir mali etki yaratabilecek eksik bir Yİ planı riski yaratıyor.
Ek olarak, hem teknik hem de idari personel için senaryoları simüle eden masa üstü alıştırmalar, IR taktik kitabıyla birlikte tüm ekibin iş işlevselliğini yeniden sağlamak için hangi adımların gerekli olduğunu bilmesini sağlamaya yardımcı olabilir. Çalışanlar, bir masaüstü alıştırması aracılığıyla, herhangi bir boşluğu tespit etmek ve stratejilerinin etkinliğini değerlendirmek için olay müdahale planlarını test edebilir.
Bir şirketin tüm çabalarına rağmen, saldırganlar yöntemlerini geliştirmeye devam ettikçe siber saldırılar yine de meydana gelebilir. Bununla birlikte, kuruluşların güçlü bir siber dirençli stratejisi varsa, hasarı en aza indirebilir ve bir ihlal durumunda hızla geri dönebilirler.
Özellikle maliyet verimliliği ve kriz yönetimi açısından proaktif bir siber güvenlik stratejisi benimsemenin en önemli faydaları nelerdir?
Proaktif bir siber güvenlik stratejisinin benimsenmesi, kuruluşların olumsuz sonuçları azaltmak için risk önceliklendirmesi ve kaynak tahsisi konusunda veriye dayalı kararlar almasına zaman ve alan sağlar. Kuruluşlar, sistemik siber riski ortadan kaldırmak için sıfır güven planı oluşturmak (potansiyel giriş yollarının azaltılması ve gerekli olmayan bağlantıların ortadan kaldırılması dahil) gibi önleyici eylemler uygulayabilir.
Buna karşılık, bir siber saldırı durumunda şirketler, diğer maliyetlerin yanı sıra plansız kesintileri, itibar maliyetlerini ve düzenleyici cezaları önleyerek kuruluşlara milyonlarca dolar tasarruf sağlayabilir.
Güvenlik konusunda proaktif bir zihniyete sahip olmak, kuruluşların potansiyel güvenlik açıklarını ortaya çıkmadan önce belirlemesine ve ele almasına yardımcı olacak, potansiyel veri açıklarına ilişkin görünürlüğü artırabilecek ve kriz zamanlarında şirket içi BT ekiplerinin üzerindeki yükü hafifletebilecektir.
Saldırgan güvenlik testleri, sıfır gün müdahalesini ve uyumluluk gereksinimlerini iyileştirerek kuruluşlara nasıl fayda sağladı?
Saldırgan güvenlik testleri, bir şirketin kurumsal ortamındaki teknik ve yapılandırma açıklarını belirlemek için kullanılabilir. Bu güvenlik açıkları tespit edildikten sonra risk, kuruluş genelinde ölçülebilir ve bu da şirketlerin nereye yatırım yapacakları ve kaynakları tahsis edecekleri konusunda daha bilinçli kararlar almasına olanak tanır. Ek olarak, güvenlik testleri kuruluşların uyumluluktaki potansiyel boşlukları belirlemesine yardımcı olabilir ve ileride düzenleyici ceza riskini azaltabilir.
Saldırgan siber güvenlikte kullanılan en önemli araçlardan bazılarını ve bunların bir kuruluşun güvenliğini artırmadaki rollerini tartışabilir misiniz?
Varlık keşfi ve veri sınıflandırması, riskin azaltılmasında iş sürekliliği açısından derin bir etkiye sahip olabilecek önemli araçlardır. Verileri ve cihazları güvence altına almak için şirketlerin, verinin nerede yaşadığını, kimin erişime sahip olduğunu ve güvenlik açıklarını tespit etmek amacıyla bu sistemlerde ne tür verilerin bulunduğunu bilmesi gerekir. Saldırı Yüzeyi Yönetimi, potansiyel saldırı vektörleri için hem iç hem de dış varlıkları sürekli olarak tanımlamak, izlemek ve yönetmek için tehdit ve güvenlik açığı yönetimini altyapıyla bir araya getirmenin bir yoludur.
Ayrıca liderler, gelen tehditlerin manuel incelemesini ve analizini azaltmak için mevcut güvenlik çözümlerinde yapay zeka uygulamaları aracılığıyla otomasyondan giderek daha fazla yararlanmaya çalışıyor. Ancak otomasyonun, güvenlik ve risk programlarının farklı yönlerine bağlanabilecek güvenilir bir danışmanla uygulanması gerekir.