BLACK HAT AVRUPA 2023 – Londra – Modern siber güvenlik çözümleri, saldırganların artan yeteneklerine ayak uyduracak kadar iyi olmadığından, tehdit aktörlerinin yeterli sonuçlar olmadan faaliyet göstermesine olanak tanıyor.
Bu, Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin (NCSC) baş teknoloji sorumlusu Ollie Whitehouse’a göre. İçinde açılış konuşması Black Hat Europe’un bugün Londra’daki toplantısında Whitehouse, sektörün karşı karşıya olduğu ve ele alması gereken bir dizi zorluk ve fırsatın altını çizdi.
Satıcılar Güvenlik Sorunlarını Teşvik Ediyor
Whitehouse, bu zorluklar arasında “asimetrik” tehdit aktörlerini, yüksek düzeyde teknik borcu ve tüm sorunları çözen tek bir güvenlik çözümüne yönelik yanlış yönlendirilmiş isteği, genel iş güvenliği açısından en önemli endişeler olarak nitelendirdi. Ama Whitehouse – kim NCSC’ye katıldı Eylül ayında ve daha önce NCC Group danışmanlık şirketinde CTO olarak ve BlackBerry ve Symantec için araştırma görevlerinde bulunarak, özellikle güvenlik tedarikçisi ürünlerindeki boşluklardan ve daha siber güvenli bir dünya hedefine aykırı çalışan davranışlardan kaynaklanan bir dizi sorunu vurguladı.
Örneğin, özellikle ürün telemetrisine erişim seçeneğinin bulunmadığı “kapalı ekosistemler” konusunda temel bir zorluk olduğunu söyledi. Whitehouse bunun “satıcılar için harika bir şey olduğunu çünkü bundan para kazandıklarını” söyledi. [threat intelligence] ve kendi duvarlı bahçelerini yaratıyorlar”, ancak savunmayı güçlendirmek ve güvenlik öncelikleri konusunda bilinçli seçimler yapmak isteyen kuruluşlar için o kadar da iyi değil.
Ek olarak, güvenlik artışlarının “en üzücü” satıcının başarısızlığı olduğunu vurguladı. Özellikle hizmet olarak yazılım (SaaS) söz konusu olduğunda, güvenlik korumalarının derinliğinin katmana bağlı olduğunu belirtti; ne kadar çok para harcanırsa, o kadar güvenli olur.
“Bu, 2023’te affedilemez görünüyor” dedi ve ekstra maliyetlerin birçok işletme için “sürdürülebilir olmadığını” da sözlerine ekledi.
Whitehouse ayrıca satıcılardan, özellikle de hem şirket içi hem de SaaS ürünleri satan satıcılardan daha fazla şeffaflık elde etme fırsatı bulunduğunu söyledi. Çoğu zaman bir satıcı, şirket içi bir çözümdeki bir güvenlik açığını açıklar ancak ürünün SaaS sürümü için bunu yapmaz.
“Bunun olup olmadığı konusunda tamamen şeffaf olmadıklarını öneririm. [vulnerability] SaaS sürümlerini etkiledi ve istismar edilip edilmediği ve ne kadar süreyle kullanıldı” dedi ve bunun genel olarak BT ve ağ altyapısı sağlayıcılarını rahatsız eden bir sorun olduğunu ekledi.
“Burada SaaS satıcıları ve diğerleri adına daha dürüst olabilecekleri bir dizi davranış var” dedi.
Ve son olarak ileriye dönük olarak güvenlik sağlayıcılarını endüstriyel kontrol sistemlerine (ICS) yönelik saldırılara daha fazla dikkat etmeye çağırdı. Son zamanlarda meydana gelen saldırılar Su arıtma tesisleri Örneğin ABD’de “bize orada bir sorun olduğunu hatırlatın, ancak bu fidye yazılımı gibi her gün karşımızda değil. Ancak potansiyel olarak yöneldiğimiz dünyanın bu olduğuna gerçekten dikkat etmemiz gerekiyor.”
Tehditler konusunda telaşlanmaya gerek olmadığını ancak gelişmiş tehdit aktörlerinin bu tür saldırılara hazırlandığını, “bu yüzden bizim de hazır olmamız gerektiğini” sözlerine ekledi.
Temel Güvenlik İçin En İyi Uygulamaları Uygulayın
Bireysel satıcılar tarafından rehin tutulmadan güvenliğin nasıl destekleneceği konusunda Whitehouse, kuruluşlar tarafından ele alınmasını istediği temel güvenlik meyvelerinin birkaç öğesinin altını çizdi. Bunlar arasında, “yeni ve gösterişli olana odaklanma konusunda iyi olduğumuz” için eski teknolojinin güvenliğini sağlamanın yanı sıra daha iyi şifre hijyeni sağlama, varlık keşfi ve envantere odaklanma ve desteklenmeyen platformlardan kurtulma yer alıyor.
Odaklanması kolay bir diğer öğenin Web güvenliği olduğunu belirtti ve şunu ekledi: “Siteler arası komut dosyası oluşturma ve SQL enjeksiyonunu nasıl çözeceğimizi biliyoruz güvenlik açıkları“
Ve son olarak insan unsuru var. Çok faktörlü kimlik doğrulamanın (MFA) ve WebAuth’un zaten mümkün olduğu göz önüne alındığında, “kimlik avını geçmişte bırakmaya” ihtiyaç var biraz çöz bir kısmını söyledi. “Bu mücadelede yasal olarak kat etmemiz gereken uzun bir yol olduğu açık” olsa da, kullanıcı farkındalığına odaklanmanın yanı sıra hangi araçların mevcut olduğu da kullanılmalıdır.