Aynı zamanda, küresel bir durgunluk, teknoloji endüstrisinde toplu işten çıkarmalara neden oldu. Sonuç olarak, siber güvenlik departmanları giderek yetersiz kalıyor ve tükeniyor.
Yeni bir yılın hemen eşiğindeyken, birçok siber güvenlik uzmanı geçen yıl içinde karşılaştıkları zorlukları düşünüyor ve 2023’te nasıl gelişeceklerine dair dersler çıkarıyor.
ESET’in küresel siber güvenlik danışmanı Jake Moore, Ukrayna’daki savaş ve toplu işten çıkarmalar gibi olayların siber güvenlik uzmanları için en büyük öğrenme fırsatlarını sunduğuna inanıyor.
“2022 için, infosec profesyonellerinin çoğunluğunun, direncin yalnızca siber güvenlikte kullanılan bir terim olmadığını, aynı zamanda bir bütün olarak tüm sektördeki iniş ve çıkışları tanımlamak için kullanılan bir terim olduğunu fark ettiğini düşünüyorum” diyor. “Rusya’dan çıkan bir siber savaşın etkisini azaltmak için birlikte çalışmaktan, çok önemli güvenlik departmanları da dahil olmak üzere birden fazla kuruluşta teknik işten çıkarmalara kadar.”
Birçoğu aşırı gergin departmanlarda çalışan siber güvenlik uzmanlarının, artan belirsizlik ve sürekli gelişen siber saldırılar karşısında “dikkate değer bir dayanıklılık” sergilediğini söylüyor.
Bunu akılda tutarak, en büyük dersi “her zamankinden daha fazla beklenmeyeni beklemek”. “Bu sektördeki hiçbir şey önceden tahmin edilemez, ancak öğrenme, geleceğin başarısının anahtarıdır” diyor.
Popüler bulut uygulamalarına her zaman güvenmeyin
Netskope EMEA baş bilgi güvenliği sorumlusu Neil Thacker’a göre, insanlar popüler bulut uygulamalarının her zaman güvenilir olmadığını ve siber suçlular tarafından ihlal edilebileceğini hatırlamalıdır.
2022’de kötü amaçlı yazılım ve komuta ve kontrol (C2) hizmetlerini dağıtmak için OneDrive, GoogleDrive, GitHub, Box ve Dropbox gibi uygulamaları kullanan birçok siber suçlu örneği gördü.
“Çok sayıda kuruluş, bunların ne zaman kullanıldığını ve kötü amaçlı olup olmadığını belirlemek için herhangi bir satır içi güvenlik denetimi sağlamadan bu hizmetlere doğrudan erişime izin vermeye devam ediyor” diyor.
“Buradan alınacak ders, hem bulut uygulamalarına gelen hem de bulut uygulamalarından gelen trafiğin [software as a service] ve bulut altyapısı [infrastructure as a service] Bu tür bir saldırı vektörünü belirlemek ve riskleri azaltmak için güvenlik altına alınmalı ve denetlenmelidir.”
Kimlik avı e-postanın ötesine geçiyor
Thacker’dan alınacak bir başka ders de, kuruluşların kimlik avı saldırılarını azaltmak için yalnızca simülasyon alıştırmalarına ve e-posta güvenliğine güvenmemeleri gerektiğidir. Bu iki yöntemin tek başına yeterince etkili olmadığını söylüyor.
Bunun nedeni, siber suçluların çalışanları sahte oturum açma sayfalarına yönlendirmek ve onları kandırarak kullanıcı adlarını, parolalarını ve MFA bilgilerini girmeleri için giderek daha fazla gerçek bulut uygulaması bağlantıları kullanmasıdır. Siber suçlular, birçok çalışanı “sahte uygulamalar” aracılığıyla verilere erişim sağlamaya bile ikna ediyor.
Thacker, “Buradan çıkarılan ders, kimlik avının artık e-posta güvenliğiyle sınırlı bir sorun olmadığıdır” diyor. “Google Docs ve Microsoft OneDrive gibi yasal hizmetlerin yanı sıra arama motorları, sosyal medya ve blog siteleri, kimlik avı kampanyalarında kullanılan platformlardır.
“Bu nedenle, kullanıcı eğitiminin ilk tıklama noktasında başlaması ve ‘tam zamanında’ gerçekleşmesi çok önemlidir. Kimlik avı simülasyonları ve e-posta güvenliği, kimlik avı saldırılarının nasıl tespit edilip rapor edileceğine ilişkin mesajı uygulamak için kullanılabilir, ancak 2022 ve sonrasında yeni kimlik avı yöntemlerinin eğitimi ve bunlarla mücadele edilmesi söz konusu olduğunda her şeyi kapsayıcı değildir.”
Modern ağ ve güvenlik mimarilerine yatırım yapın
Geçen yıl boyunca Thacker, çok sayıda kuruluşun “yüksek enflasyon, kıt yetenek ve küresel tedarik zinciri kesintilerine” yanıt olarak ağ güvenliği ve dönüşüm projelerini hızlandırdığını da fark etti.
“Üçlü sıkıştırma [inflation, talent shortages and supply chain issues] 2022, kuruluşların verimlilik elde etmek için eski ağlarını ve güvenlik ekipmanlarını birleştirmeye ve birleştirmeye zorlandığı anlamına geliyordu” dedi.
“Şirketler küresel bir durgunluğa ve ekonomik zorluklarla birlikte gelen ek risklere hazırlanırken, ağ ve güvenlik harcamalarını ölçeklendirebilmek veya azaltabilmek önemlidir.”
Thacker, buradan çıkarılması gereken dersin, kuruluşların Secure Access Service Edge (SASE) gibi modern ağ ve güvenlik mimarilerini kullanarak ağ ve güvenlik dönüşümü girişimlerine yardımcı olabileceği olduğunu söylüyor.
“Bu, özellikle belirsiz bir ekonomik ortamda riski azaltmayı, çalışanlar arasında üretkenliği artırmayı ve maliyet etkinliklerini artırmayı içerebilir” diye ekliyor.
Temel bilgileri doğru alın
Forrester kıdemli analisti Tope Olufon’a göre, tehdit aktörleri sürekli olarak kuruluşlara ve bireylere yönelik siber saldırılar başlatmak için yeni ve karmaşık yöntemler geliştiriyor ve belki de bu, birçok siber güvenlik uzmanının “önemli güvenlik açıklarına odaklanmasına” yol açtı.
Ancak bunun, varlık yönetimi, yama yönetimi ve denetimler gibi siber güvenlik temellerinden ödün verilmemesi gerektiğine inanıyor. 2022’deki en büyük dersi, temelleri doğru yapmanın “etkin siber risk yönetiminin temeli” olduğudur.
Ayrıca, siber güvenlik uzmanlarını yeni teknolojilere ilişkin anlayışlarını artırmaya teşvik ederken, güvenlik tasarımında duygu, kültür ve kişiliğin daha da büyük bir rol oynaması gerekiyor.
Olufon ayrıca güvenlik uzmanlarının BT departmanındaki meslektaşları ve işletme genelindeki diğer kişilerle daha fazla çalışmasını önerir. “Ağ mühendisi Jamie muhtemelen sizde olmayan içeriğe sahip ve dinlemek hayatınızı kolaylaştıracak” diyor.
Gizlilik önemlidir
Gizlilik her zaman siber güvenliğin çok önemli bir parçası olmuştur, ancak uyumluluk uzmanı ISMS.online’ın siber güvenlik analizi başkanı Rebecca Harper bunun “bilgi güvenliğinin tek geleceği” olduğuna inanıyor.
“Çok sayıda ülkenin daha katı veri gizliliği düzenlemeleri benimsemesiyle, gizliliğe öncelik veren bir yaklaşıma geçiş hızla bir zorunluluk haline geliyor” diyor. “Örneğin, Google, 2023’te üçüncü taraf tanımlama bilgilerini aşamalı olarak kaldırıyor, Apple ise iOS 14.5’teki Uygulama İzleme Şeffaflığından bu yana gizlilik koruma özellikleri geliştiriyor.”
2023’te, gizlilik mevzuatının dünyanın dört bir yanındaki işletmelerin ve hükümetlerin bilgi güvenliği stratejileri üzerinde daha da büyük bir etkiye sahip olmasını bekliyor.
Harper’ın dersi, mahremiyetin “tüketici güvenini yeniden inşa etmek için elzem” olduğudur. “Gizlilik talebi arttıkça, mahremiyeti ihlal etmenin sonuçları da artıyor” diyor. “Yalnızca yeni yasalardan kaynaklanan para cezaları değil, aynı zamanda marka algısı – ve dolayısıyla potansiyel satışlar – mahremiyet her ihlal edildiğinde risk altındadır.”
Tükenmişlikle mücadele
Siber saldırıların sayısının ve karmaşıklığının her zaman arttığı düşünüldüğünde, BT güvenlik uzmanlarının kendilerini nasıl stresli ve tükenmiş hissedebilecekleri anlaşılabilir.
EY siber güvenlik lideri Rick Hemsley, iş liderlerinin siber güvenlik profesyonellerinin karşılaştığı baskıyı ve bunun günlük yaşamları üzerindeki etkisini anlamaları gerektiğini söylüyor.
“Ekiplerin yalnızca stres ve tükenmişlik vakalarına yol açan tehditleri izleyip ölçebilmeleri değil, bunun yerine bunları proaktif olarak belirleyip yönetecek araçlara sahip olmaları gerekiyor” diyor.
Hemsley ayrıca en iyi güvenlik liderlerinin departmanlarının işletim modellerini daha iyi anlamak ve geliştirmek için adımlar atacağına inanıyor.
“Ekiplerinin nasıl yapılandırıldığını, uygun personel seviyelerinin ne olduğunu, yetenek geliştirmeyi ve kurum içinde, ortak ve dış kaynak olarak nasıl teslim edeceklerini düşünüyorlar” diyor.
“Bu güvenlik liderleri aynı zamanda C-suite ve paydaşlarla daha fazla veriye dayalı görüşmeler yapmaya başlıyor, tehdit istihbaratını iş stratejisiyle uyumlu hale getiriyor, bu da onların güvenilir değişim için bir katalizör olmalarını sağlıyor.”
Hemsley, sürdürülebilir ve hızlı bir şekilde yenilik yapmak isteyen işletmelerin siber güvenliği tüm dijital dönüşüm girişimlerinin merkezine koymaları gerektiğini savunuyor. “BT ekipleri ile C-suite arasındaki bu yeni diyaloğun açılmasının ileriye dönük olarak kritik olacağını” açıklıyor.
Siber dayanıklılığı iyileştirme
Siber saldırı yüzeyi büyüdükçe, kuruluşların BT güvenlik savunmalarını güçlendirme ve siber saldırılara karşı dayanıklılıklarını artırma ihtiyacı da artıyor.
SentinelOne teknoloji stratejisti António Vasconcelos, kuruluşların siber saldırıları verimli bir şekilde kontrol altına alabilmesi, en aza indirebilmesi, hafifletebilmesi ve bunlardan kurtulabilmesi gerektiğini söylüyor.
“Bu dayanıklılık, kişisel tanımlayıcı bilgiler ve IP gibi en değerli varlıklarınızı korumayı, tedarik zinciri kesintilerini azaltmayı ve itibarınızın zarar görmesini yönetmeyi içerir.”
Ancak Vasconcelos, işletmeleri siber dayanıklılığı kolayca satın alamayacakları konusunda uyarıyor. Bunun yerine, bu kazanmaları gereken bir şey.
“Farklı kuruluşlar için farklı anlamlara gelse de, birkaç temel ilke doğrudur” diyor. “Bu, daha yüksek değerli varlıkları yaygın olanlardan ayırmayı ve bölümlere ayırmayı, en az ayrıcalık ilkesini benimsemeyi veya her zaman güven protokolünden önce doğrulamayı ve bölümlere ayrılmış güvenlik silolarını kırmayı içerir.
“ZTNA ve XDR gibi çerçeveler, kuruluşların bugünün ve yarının tehditleriyle mücadele etmek için ihtiyaç duydukları siber dayanıklılığa ulaşmak için doğru yolda yürümelerini hızlandırıcı ve kolaylaştırıcı unsurlardır.”
2022 yılı tüm siber güvenlik endüstrisi için zorlu geçti ve Ukrayna savaşı ve küresel ekonomik çalkantı yakın zamanda yavaşlama belirtisi göstermediğinden, 2023’ün siber güvenlik profesyonelleri için benzer zorluklar yaratacağı açık. Bununla birlikte, umarız, bu dersler ileriye dönük savunmalarını güçlendirmelerine yardımcı olabilir.