Risk Azaltma Konusunda Proaktif Olma Zamanı
IONIX CEO’su Marc Gaffan tarafından
2023’ün ilk çeyreğine tekil bir tema hakim: Riski yeniden düşünmek. Tüm zamanların en çok beklenen durgunluğuyla karşı karşıya olduğumuz yıla girdik. Federal Rezerv, faiz oranlarını öfkeli bir hızla artırıyor. Bu, özellikle konut piyasası olmak üzere ekonomi üzerinde amaçlanan etkisini gösteriyor. “Fed ile Savaşmayın”, Wall Street stratejistlerinin toplanma çığlığıydı. Bunun yerine, piyasa Ocak ayında bir roket gibi yükseldi. Ayın sonunda Ayılar zayıflıyordu ve birçoğu pes ediyordu. Bir şeyi kaçırma korkusu (“FOMO”) güçlü bir şey.
Birkaç hafta sonra kazanımlar gitti. Yatırımcılar, yılın geri kalanı için stratejilerini tekrar gözden geçiriyor. Bir ribaund için mi yoksa bir bacak daha düşüş için mi gidiyoruz? Daha büyük risk nedir, mitingi kaçırmak mı yoksa Fed ile savaşmak mı?
Teknoloji sektöründe, Ulusal Siber Güvenlik Stratejisi’nin (“NCS”) yayınlandığı Mart ayının başlarında riskin doğasında sismik bir değişiklik meydana geldi. En büyük önceliği, “siber güvenlik yükünü bireylerden, küçük işletmelerden ve yerel yönetimlerden alıp hepimiz için riskleri azaltmak için en yetenekli ve en iyi konumlanmış kuruluşlara kaydırarak siber uzayı savunma sorumluluğunu yeniden dengelemekti. ”
Peki, bu uygulayıcılar için ne anlama geliyor? Stratejiye göre, “Güvenli geliştirme uygulamalarını teşvik etmek için yazılım ürünleri ve hizmetleri için sorumluluğun değiştirilmesi.” Bu doğru. Yazılım geliştirirseniz veya yazılımı bir hizmet olarak sunarsanız, güvenliğinden siz sorumlusunuz. Bu, yazılım geliştirme ve uygulama güvenliğinde birçok değişikliğe yol açacaktır. Görünüşe göre DevSecOps tartışması daha yeni başlıyor.
Riski yeniden düşünmenin bir başka örneği de Silicon Valley Bank’ın ani çöküşüdür. Paranız bankada güvende mi? Bu, riskin nihai olarak yeniden değerlendirilmesidir. Endişe dolu hafta sonundan bir anekdot, ne kadar birbirimize bağlı ve savunmasız olduğumuzu eve götürdü. Silikon Vadisi Bankası ile hiçbir bankacılık ilişkisi olmayan küçük bir işletme sahibiydi. Maaş bordrosu yapamayacaktı. Neden? Maaş bordrosu firması bankanın müşterisiydi ve bordro fonları dondu. Canaccord Genuity’nin Baş Pazar Stratejisti Tony Dwyer’ın yatırımcılara yazdığı bir notta dediği gibi, “Risk, görebildiklerinizde değil, göremediklerinizdedir.”
Kuruluşunuzun güvenliğini sağlama söz konusu olduğunda, şu anda risk hakkında nasıl düşünmelisiniz? Neyi görmüyorsun? Anlaşılması gereken ilk şey, riskin kuruluşunuzun varlıklarının çok ötesine uzandığıdır.
Dijital dönüşüm büyümeyi tetikliyor. Aynı zamanda siber riski de arttırır. Kuruluşunuz üçüncü taraf altyapıdan ve SaaS uygulamalarından yararlandıkça ve daha bağlantılı hale geldikçe siz de daha savunmasız hale gelirsiniz. Onların güvenliği artık sizin probleminiz. O küçük işletme sahibi ve maaş bordrosu satıcısıyla benzer bir konumdasınız.
Şimdi risk azaltma konusunda proaktif olma zamanı. Riski azaltmak için yapabileceğiniz en etkili şeylerden biri, genişletilmiş saldırı yüzeyinizi yeniden değerlendirmektir. Tehdit aktörlerini hayal kırıklığına uğratmak ve kuruluşunuzun karşı karşıya olduğu riski azaltmak için yapabileceğiniz üç proaktif şeyi burada bulabilirsiniz.
- Kuruluşunuzu tehlikeye atan dış risklerin haritasını çıkarın. Her zaman şu soruyu yanıtlamaya hazır olun: orada hangi varlıklara sahibiz ve bunlar neye bağlı veya neye bağlı? Ardından, bunlardan herhangi biri bir saldırı yolu oluşturursa engelleyin.
- Kullanılmayan ve terk edilmiş varlıklar, siber saldırganlar için bir saldırı yüzeyi altın madenidir. Genellikle bu varlıkların hassas sistemlere ve verilere erişimi vardır. Artık kullanılmadığında veya gerekli olmadığında varlıkları mümkün olan en kısa sürede kaldırmak en iyi uygulamadır.
- En iyi uygulamalardan bahsetmişken, altyapınıza yama uygulamak kaçırılmış bir fırsat olmaya devam ediyor. Aynı zamanda hafifletilmesi gereken en basit güvenlik açıklarından biridir.
Hepimiz şu anda risk hakkında düşünüyoruz. Siber güvenlikten sorumlu olanlar için zorluklar çoktur. Gerçek genişletilmiş saldırı yüzeyinizi anlayarak, riski azaltmak için bu proaktif adımları atabilirsiniz.
yazar hakkında
Marc Gaffan, Attack Surface Management’ın lideri olan eski adı Cyberpion olan IONIX’in CEO’sudur. Şirketler kurmaya ve ölçeklendirmeye odaklanan Marc, yeni başlayanların dünya çapında binlerce müşteriyle sektör lideri olmalarına öncülük etti. Marc, en önemlisi Incapsula’yı kurarak şirketi 100 milyon $’a çıkaran ve Imperva tarafından satın alınan 20 yıllık siber güvenlik deneyimine sahiptir. Marc’a https://www.linkedin.com/in/marc-gaffan/ adresinden veya şirketimizin web sitesi https://www.ionix.io adresinden ulaşılabilir.