Siber güvenlik efsaneleri dijital yabani otlar gibidir: birini çekin ve diğeri hızla onun yerine filizlenir. Muhtemelen onları daha önce duymuşsunuzdur: Mac’ler virüs almaz, hedef olamayacak kadar küçüküz veya şifreleri değiştirmek genellikle bizi daha güvenli tutar. Uzmanlar bu mitleri yıllardır yakıyorlar, ancak insanlara yanlış bir güvenlik duygusu verirken hala etrafta dolaşıyor ve kötü stratejiler şekillendiriyorlar.
Efsane 1: AI güvenlik ekibinizin yerini alabilir
AI’nın şu anda ne kadar siber güvenliği salladığı önemli değil, hala sadece arkasında bir insana ihtiyaç duyan bir araç. Elbette, rutin görevleri otomatikleştirerek ve tehditleri daha hızlı yakalayarak işleri hızlandırır, ancak yine de yanlış alarmlar atabilir.
Bu yüzden insanların neyin gerçek ve neyin gerçek olmadığını iki kez kontrol etmeleri ve bulmaları için hala ihtiyacımız var, bu yüzden aşırı tepki vermiyoruz ve gerçek sorunlara odaklanabiliriz.
Cloud Security Alliance ve Google Cloud tarafından yapılan bir ankete göre, güvenlik uzmanlarının sadece% 12’si AI’nın rollerinin yerini alacağına inanıyor.
Appfire, Doug Kersten, “Yapay zeka, yerini almak değil, insan yargısına yardımcı olmak için tasarlanmıştır. Güvenlik perspektifinden, insan gözetimi olmadan otonom AI operasyonunun güvenlik duruşunda kasıtsız boşluklara yol açmasına izin vermek, insan işbirliği olmadan bağımsız olarak çalışması pek olası değildir” dedi.
Efsane 2: Siber güvenlik uzmanlarının büyük bir kıtlığı var
Yıllardır sadece adayları bekleyen milyonlarca siber güvenlik işini duyduk. Bu doğru olsaydı, sertifikası olan herkes şimdiye kadar bir işi olurdu. Bazı özel alanlarda kıtlık olsa da, daha geniş pazar ‘milyonlarca iş’ mitinin önerdiği kadar açık değil.
Karışıklıkların bir kısmı karışık sinyallerden gelir. Bir gün personel kıtlığı hakkında manşetler, bir sonraki büyük şirketlerde işten çıkarma haberi. İkisi de nasıl doğru olabilir?
Cevap, bazı rollerin doldurulmasının daha zor olmasıdır. Uzaktan yerine yerinde çalışmayı gerektiren bir pozisyon, taşınması gereken adayları geri çevirebilir. Bazı şirketler bir rolün yeni başlayanlar için çok hassas olduğuna ve yıllara dayanan deneyimi olan birini aradığına karar verir. Bu, birçok giriş seviyesi başvuru sahibini kenarda, sertifikalara bırakır.
Bazı siber güvenlik uzmanları bu iddiaya zaten meydan okudu ve başkalarını iki kez düşündürdü.
Efsane 3: Deepfes sadece eğlence içindir
Deepfores genellikle sadece sosyal medyada paylaşılan bir eğlence biçimi veya film endüstrisinde kullanılan bir araç olarak görülür. Bununla birlikte, uluslar arasındaki dezenformasyon savaşlarında bir silah olarak da görülebilirler.
Bununla birlikte, DeepFake teknolojisi zararsız eğlence durumunu aştı ve siber suçluların elinde bir araç haline geldi.
İnsanlar genellikle derin dobesları gerçekte olabildiğince daha iyi tespit edebileceklerine inanıyorlar. DeepFakes’ı tespit etmenin bu kadar zor olması, çoğumuz için yeni bir beceri olması. Haber ve önyargı konusunda şüpheci olmayı öğrenirken, bir görüntünün gerçek olup olmadığını sorgulamak beynimizin doğal olarak nasıl çalıştığı konusunda karşıya gelir.
Bir durumda, sosyal mühendislik ile birleştiğinde bir DeepFake video konferansı görüşmesi, çok uluslu bir şirketin 25 milyon dolardan fazla kaybetmesine neden oldu. Yani, DeepFes sadece Tiktok veya YouTube’da gördüğümüz komik videolar değil.
X-Phy CEO’su Camellia Chan, “Diğer siber tehditler gibi derin dişleri tedavi edin ve sıfır tröst zihniyeti uygulayın. Bu, sadece bir şeyin sadece göründüğü veya ikna edici göründüğü için gerçek olduğunu varsaymayın,” diye tavsiye etti X-Phy.
Efsane 4: Siber Sigorta, herhangi bir ihlal için bir güvenlik ağıdır
Siber sigorta, her olayın ele alınacağına dair bir garanti değildir. Çoğu politika artık MFA, uç nokta tespiti ve yanıtı ve kapsam başlamadan önce bir olay müdahale planı gibi belirli güvenlik önlemlerinin kanıtını gerektirir. Bu kontroller yapılmadan iddialar reddedilebilir.
Kapsam da sınırlıdır. Birçok politika, ulus-devlet aktörleri, bilinmeyen güvenlik açıklarının neden olduğu olayları veya üçüncü taraf hizmet sağlayıcılarını içeren ihlallerin neden olduğu saldırıları hariç tutar. Bir talep kabul edildiğinde bile, ödeme beklenenden daha az olabilir. Örneğin Sinclair Broadcast Group, 2021 fidye yazılımı saldırısından sonra sigorta şirketlerine dava açıyor çünkü sunulan ödeme şirketin tahmini kayıplarının çok altındaydı.
Allianz Commercial için küresel siber iddialar başkanı Michael Daum, “Veri ihlali riskleri, güçlü erişim kontrolleri, veritabanı ayrımı, yedekleme, yama ve eğitim dahil olmak üzere iyi siber hijyen ile en iyi şekilde hafifletiliyor” dedi.
Efsane 5: MFA tüm hesap devralmalarını durdurur
MFA güvenliği artırırken, sofistike saldırılara karşı güvenli değildir. Saldırganlar, kullanıcıların bir tane kabul edene kadar onay talepleriyle bombalandığı, SMS kodlarını kesme için değiştirildiği ve gerçek zamanlı olarak kimlik doğrulama belirteçlerini yakalayan ortadaki kimlik avı teknikleri olan MFA yorgunluk saldırıları gibi MFA’yı atlamaya devam ediyor.
Fido güvenlik anahtarları bile, belirli saldırı senaryoları altında güvenlik açıkları göstermiştir. 2024’te araştırmacılar, Yubico’nun Fido merkezli Yubikeylerinde bir kriptografik güvenlik açığı belirlediler ve saldırganların cihazları potansiyel olarak klonlamasına izin verdiler. Saldırgan fiziksel cihaza ve özel ekipmana sahipse bu kusur yetkisiz erişim sağlayabilir.
Acronis, ürün yönetimi başkan yardımcısı Candi Wüest, “Bir MFA baypası, hepsi bir anahtar unsur nedeniyle mümkün olan çeşitli stratejilerle gerçekleştirilebilir” diye uyardı.