Bu yardımda net güvenlik röportajında, Sophos’taki yönetmen ve küresel alan CISO Chester Wisniewski, değişen fidye yazılımı manzarasını, kuantum şifre çözme tehditlerinin ortaya koyduğu riskleri ve satıcı güvenlik doğrulamasının rolünü tartışıyor.
Wisniewski, siber esnekliğin sadece savunmadan daha önemli olduğunu, AI’nın tehditlerin yönetilmesinde kilit bir rol oynadığını ve devam eden iyileştirmeler, şeffaflık ve proaktif önlemler çağrısında bulunduğunu belirtiyor.
Fidye yazılımı ödemeleri azaldıkça, bazı siber suçlular sadece şifrelemeden ziyade veri merkezli gasplara doğru kaymaktadır. Şirketler olay müdahalesini ve iş sürekliliği planlamalarını bu değişimi ele almak için nasıl ayarlamalıdır?
Başlamak için, verilerin fidye ödemelerinde bu kadar net olduğundan emin değilim. Baktığım veriler, ödeme yapan kuruluşların yüzdesinde küçük bir azalma gösteriyor, ancak ne kadar ödediklerinde önemli bir artış gösteriyor. Doğru olsun ya da olmasın, stratejiler aynı kalmalıdır. Algılama süresini ve yanıt verme süresini azaltmaya odaklanmalıyız. İster gasp veya şifreleme söz konusu olsun, maliyetler artar ve ödeme baskısı zamanla artar.
Koruma, tespit ve yanıt arasındaki dengeyi bulmak zordur, ancak organizasyon büyüklüğünün spektrumunun her iki ucunda da dengesiz görüyorum. Küçük kuruluşlar önleme konusunda aşırı güvenilir ve erken tespit ve planlanan yanıtlara yeterince odaklanmazlar.
Öte yandan, işletmeler genellikle bazı uç nokta güvenlik satıcılarından aldatmaca ve kırık vaatlerle hayal kırıklığına uğramış ve bu araçların çoğunun iyi yapılandırılmış ve konuşlandırılmış olması durumunda sunduğu avantajları her zaman en üst düzeye çıkarmamaya yol açmıştır. Tüm kuruluşların, büyüklükten bağımsız olarak, devam eden olaylar keşfedildiğinde 7/24 izleme ve eğitimli ekiplere sahip olmalıdır.
CTO’lar, tehdit aktörlerinin kuantum hesaplama olgunlaştıktan sonra şifresini çözmek için bugün şifrelenmiş verileri çaldığı “şimdi hasat, daha sonra şifresini çöz” saldırıları riskini nasıl değerlendirmelidir?
Çoğu durumda bu, kendi ülkelerinin ulusal güvenliği için önemli olacak verileri işleyen kuruluşlar için bir risktir. Çoğu siber suçlu madeni para amacıyla ve çoğu zaman kripto para biriminde hızlı bir ödeme arıyor ve uzun oyunu oynamıyor.
Bu, olabildiğince, aynı siber suçlular, gelecekte yetenek kazanırlarsa, muhtemelen şifrelenmiş yedeklemeler gibi şeyleri çalmaya ve hala kullanmaya çalışmaya çalışacağımız en kısa sürede kuantum dirençli kriptografiye göç etmememiz gerekmez. gasp.
Quantum sonrası şifreleme (PQC) son yıllarda büyük adımlar attı ve şimdi göç etmeye başlayacak kadar olgun. Kriptografik yazılım kütüphanelerinin çoğunluğu artık bazı PQC algoritmaları içeriyor ve şimdi yazılım uygulamalarına eklenebilir.
Önümüzdeki 24 ay içinde bunu yazılım tedarik süreci sırasında satıcıların bir gereksinimi haline getirmeye başlayacağım. Daha önce TLS için SSL’yi kullandığımızda veya MD5’ten SHA-1’e ve şimdi SHA-256’ya taşındığımızda olduğu gibi daha önce yeni kriptografik şemalara taşındık. Bu sürece geri dönmemiz ve RSA’nın artık kesmeyeceği gün geldiğinde hazırlıksız yakalanmak istemiyorsak, daha hızlı ve evrensel olarak yapmakta daha gayretli ve ısrar etmeliyiz.
Birçok yüksek profilli ihlal üçüncü taraf güvenlik açıklarından kaynaklanmıştır. Teknoloji liderliği bakış açısından, CTO’lar operasyonel darboğazlar getirmeden satıcıların daha etkili güvenlik doğrulaması ve izlenmesi nasıl oluşturabilir?
Bu inanılmaz derecede zor ve geçen yıl gördüğümüz şeyle, sadece araçlara veya SOC 2 sertifikasına güvenmek bazı görev açısından kritik tedarikçiler için yeterli değil. Tedarik ekiplerini, güvenlik ekibini tedarik sürecinin başlarında, tercihen değerlendirme aşamasından önce, uzlaşma veya hatta sadece kullanılabilirlik eksikliği nedeniyle kuruluş için potansiyel güvenlik risklerini değerlendirmeye yardımcı olmaya teşvik ediyorum.
Güvenlik maruziyetinin yüksek kabul edildiği satıcılar için sadece satıcının sahip olabileceği sertifikaları değerlendirmekle kalmayıp, aynı zamanda kuruluşun güvenlik kültürü hakkında biraz araştırma yapmanız gerekir. Güvenlik kültürünü nasıl ölçüyorsunuz? Bunun için kolay bir cevap yok, ama oturduğum yerden, siber güvenlik ciddiyetini gösteren en önemli değerlerden birinin şeffaflık olduğunu düşünüyorum.
Tedarikçi, önceki siber güvenlik olaylarının temel bir neden analizi yayınladı mı? Beklenmedik kesintileri veya güvenlik olayları olduğunda müşterilerle kamu iletişimleri ne kadar açık ve dürüst? Güvenlik yamaları ve düzeltmeleri sağlarken sürüm notları ne kadar ayrıntılı? Bir hata ödül programı var mı ve güvenlik araştırmacılarından gelen raporları karşıladıkları görülüyor mu? Tüm bu göstergeler, bir tedarikçinin operasyonlarındaki veri güvenliğine ve şeffaflığa yönelik tutumunun bir yansımasıdır.
Gerçek zamanlı tehdit istihbarat verilerinin artan hacmi ile CTO’lar, güvenlik ekiplerini uyarı yorgunluğu ile ezmeden eyleme geçirilebilir bilgiler nasıl önceliklendirebilir?
Küçük ve orta ölçekli firmalar, triyajda derin uzmanlığa sahip yönetilen tespit ve yanıt (MDR) satıcılarına ve veri okyanuslarında tehdit aktör kalıplarını tespit etmektedir. Bazı işletmeler bile, olaylar keşfedildiğinde kendi yanıt eylemlerini yürütmek isteseler bile dış yardımı tercih ederler.
Açıkçası bunu ölçeklendirmek için otomasyon gerektirir ve bu alandaki herkes her iki dünyanın sonuçlarından en iyi şekilde ulaşmak için döngüyle yapay zeka araçlarını kullanmak istiyor. Sıkıcı, büyük ölçekli veri işleme için AI kullanarak, bu analistlerin tehdit avlarına daha fazla odaklanmasına ve yorgunluğu ve yanmayı azaltmasına izin vermelidir. Bunun önümüzdeki yıl SOC operasyonlarına dikkat çekici faydalarla standart uygulama haline geldiğini görmeye başlamayı umuyoruz.
Siber tehdit evriminin hızı göz önüne alındığında, kuruluşlar sadece siber savunmadan daha fazla siber esnekliğe odaklanmalı mı?
Kesinlikle! Deneyimlerime göre, çok yönlü güvenlik yaklaşımları daha iyi sonuçlar veriyor. İşin hedeflerine ulaşmasını engellemeden elimizden gelenin en iyisini yapmalıyız. Mükemmel güvenlik imkansızdır, ancak esnekliğe odaklanmak, siber güvenlik kararları alırken yöneticilerin tartılması gereken rakip faktörler arasında iyi bir denge kurabilir.
En önemli şey sürekli tekrarlamaktır. Hiçbir plan bitmedi ve öğrenilen revizyonlar ve dersler sürekli iyileştirme yolculuğuna yardımcı olacaktır. Temel bilgileri iyi yapın, bir plan yapın, deneyimlerden öğrenin, tekrarlayın. Göründüğünden çok daha zor, ama iyi bir şekilde dövülemez.