Güvenlik topluluğu her zaman bir sonraki şeye atlamak için baskı altındadır. Bu nedenle, bu ayın sonunda yapılacak 2023 RSA Konferansı’ndaki konuşmalara neyin hakim olacağını tahmin etmek kolay: jeopolitik olaylar/siber savaş ve ChatGPT’nin alçakça kullanımları. Bu konular ve güvenlikle ilgili çok şey oluyor ama bence aslan payını tüketmemeliler.
Bir topluluk olarak, hakkında yeterince konuşmadığımız ama konuşmamız gereken bir alana, yani endüstrinin durumuna odaklanmak için daha fazla zaman harcamayı tercih ederim. Başka bir deyişle, güvenlik pratisyenleri, uzmanları ve satıcılar olarak şu anda neredeyiz ve neyi daha iyi yapmamız gerekiyor.
İlerlemenin En İyi Yolunu Çizmek için Konferansı Kullanın
Saldırılar ve tavizler ortadan kalkmıyor. Bunun yerine, büyüyorlar ve daha maliyetli hale geliyorlar. Bu, defans oyuncuları olarak yaptığımız işte daha iyiye gitmediğimiz anlamına mı geliyor? Yoksa biz kendi deneyimlerimize veya akranlarımızdan ders almayarak aynı kalırken saldırganlar yaptıkları işte daha mı iyiye gidiyor? RSA gibi konferanslara katıldığımızda, konuşmamız gereken şey bu.
Önerilen bu konu, bu yılki konferans temasıyla bile uyumludur: “birlikte daha güçlü.” Bir sonraki konuya atlamak yerine, aynı türden tavizlerin devam ettiği bazı alanlara bakmak ve topluluk olarak nasıl daha iyi hale getirebileceğimizi tartışmak için yüz yüze görüşme fırsatından yararlanalım. İşte birkaç öneri.
Tedarik Zinciri Güvenliği
Tedarik zinciri saldırıları yeni bir şey değil; yıllardır ortalıktalar. 2015 yılında, anakartlarda zararlı mikroçipler bulunduğu tespit edilen donanım tedarik sorunları gördük. Ve birkaç yıl sonra, çok sayıda ülkedeki kullanıcıları etkileyen yönlendiriciler ve anahtarların güvenliği ihlal edildi. Yazılım tarafında, kısa bir süre önce, Accellion, Kaseya ve SolarWinds gibi şirketlerin yazılımlarına yönelik bir dizi tedarik zinciri saldırısı, aşağı akıştaki milyonlarca kullanıcıyı etkiledi. Kaynak koduyla ilgili olarak, yıllar içinde JavaScript, Log4j, Perl ve Python kitaplıklarının güvenliğinin ihlal edildiğini ve bunları tekliflerinin bir parçası olarak kullanan yazılım şirketlerini riske attığını görmeye devam ediyoruz.
Bu tür tavizler neden var olmaya devam ediyor? Tedarik zinciri güvenliğinin kritik olduğu mesajını alamıyor muyuz? Yoksa görmezden mi geliniyor? Hiç kimse, endüstrinin etkili olması için uygun araçları, süreçleri ve standartları devreye sokmadan, hükümetin devreye girip mantıklı olmayan şeyleri yasalaştırmasını istemez. Ancak olan tam olarak budur çünkü bu riskleri azaltma ihtiyacı kritiktir ve güvenlik topluluğu yeterince proaktif değildir.
Endüstriyel Kontrol Sistemleri Güvenliği
Endüstriyel kontrol sistemlerine (ICS) yapılan saldırılar bir başka klasik örnektir. 2010’da Stuxnet, Aralık 2015 ve Aralık 2016’da Ukrayna’nın elektrik şebekesine saldırılar ve ardından WannaCry ve ardından NotPetya ile tahminen 10 milyar dolarlık hasarla sonuçlanan daha fazla zarar veren başka bir dalga oldu. Pandemiden bu yana boru hatlarına, yiyecek ve su kaynaklarına ve diğer kritik altyapıya yönelik saldırılar gördük. Ve elektrik sistemleri ve telekom sağlayıcıları, Rusya’nın Ukrayna’yı işgalinden bu yana saldırıya uğradı.
ICS güvenliği için bilgisayarla bütünleşik üretim için bir referans veri akışı modeli olan Purdue Modeli’nin geliştirildiği 1990’lara kadar saldırılara zarar verme potansiyelini biliyorduk. O zamandan beri, kritik altyapı ağlarını ve sistemlerini güvence altına alma yeteneklerinde ek, önemli ilerlemeler kaydettik ve federal hükümetin yardımcı olacak çok sayıda kaynağı var. Ve yine de bu saldırılar devam ediyor.
Bulut Güvenliği
Tonlarca bulut güvenliği satıcısı vardır ve bulut sağlayıcılarının da gelişmeye ve değişmeye devam eden kendi güvenlik teklifleri vardır. Ancak yine de bir dizi faktörden kaynaklanan kesintiler görüyoruz: kötü yapılandırmalar, yetkisiz erişim ve güvenli olmayan arabirimler/API’ler bunlardan birkaçıdır. Şirket içinde olduğunu gördüğümüz şeye benzer; bu sorunları buluta taşıdık ve şimdi tüm veri ihlallerinin %45’i bulutta oluyor.
Tehdit aktörlerinin henüz aktif olarak yararlanmadığı, ancak ödüller yeterince büyük olduğunda kullanacakları birçok güvenlik açığı da vardır. Bulut sağlayıcıları çoğaldıkça, tüm bulutlar eşit yaratılmaz. Çeşitlilik, çeşitli sorunlar yaratır ve bu da bulut güvenliğini daha da zorlaştırır. Şu soruyu gündeme getiriyor: Bulut sağlayıcıları, kullanıcılar ve güvenlik satıcıları birbirlerinden öğreniyor mu?
Yüz Yüze Toplantılardan En İyi Şekilde Yararlanın
Konferanslara katılma ve yüz yüze görüşme hızına ancak son zamanlarda geri dönmeye başladık. Bu deneyimler yalnızca çevrimiçi etkinliklerden daha eğlenceli olmakla kalmaz, aynı zamanda daha açık iletişimi ve güçlü bağlantıları teşvik etme eğilimindedir. İlişkiler kurma fırsatını kullanalım ve mevcut tehditler ve insanların bu tehditler hakkında neler yaptığı hakkında daha fazla bilgi edinmeye başlayalım.
Siber güvenlik topluluğu üyelerinin en büyük buluşmalarından biri olan RSA Konferansı, çapraz tozlaşma için de bir fırsat sunuyor. Kendi sektörümüzün dışındaki insanlarla dikey olarak konuştuğumuzda ve ne yaptıklarını ve nelerle karşı karşıya olduklarını dinlediğimizde daha da fazla fikir edinebiliriz. Karşılaştıkları tehditler ve diğer sektör dikeylerinde kullanılmak üzere uyarlanabilecek güvenlik duruşlarını oluşturma yaklaşımları açısından pek çok örtüşme olabilir.
Yüz yüze görüşmeler, endüstrinin durumunu anlamanın inanılmaz derecede verimli bir yoludur. Bu nedenle, konferansın tadını çıkarın ve bunu şu anda daha iyi yapabileceğimiz şeylere odaklanmak için bir fırsat olarak kullanın.