Bir güvenlik uzmanı olarak, yeterli kaynaklarla siber saldırganlar üzerinde eşitlik veya hatta göreceli hakimiyet durumuna ulaşabileceğimize inanmak cazip gelebilir. Sonuçta, ideal bir duruma ulaştıysak – son derece yetenekli uzmanlardan oluşan tam kadrolu ekipler, en iyi savunma araçlarını satın almak için yeterli fon ve tamamen olgun bir savunma operasyonu – neden ideal bir “güvenli” duruma ulaşamayalım? Yeterince makul görünüyor.
Ancak siber saldırganların gerçekten “önünü almak” – saldırıları tam etkilerini önleyecek kadar erken tahmin etmek ve engellemek – çeşitli nedenlerle ölçekte imkansızdır. Daha iyi yaklaşım, kaçınılmaz saldırılar karşısında caydırma ve dayanıklılığa odaklanmaktır.
“Öne geçmeye” çalışmak
Siber güvenlik uzmanları, savunmalarındaki açığı kapatarak ve bir sonraki tehdide hazırlanarak saldırganlara karşı avantaj elde etmeye çalışırlar. Sorun şu ki, kötü aktörlerin “önüne geçmek”, işimizi yeterince iyi yaparsak, planlarına bir göz atabileceğimiz veya gerçekleşmeden önce faaliyetlerini bozabileceğimiz anlamına gelir. Bunun elde edilememesine dair birkaç neden vardır.
1. Savunmanın doğası
BT kuruluşları, işletmeyi devam ettirmek için sayısız işlevi yerine getiren sistemler tasarlamak, uygulamak, işletmek ve sürdürmek zorundayken, siber suçluların tek bir amacı vardır: bu sistemleri bozmak. Bu adil bir rekabet değil – biz son derece karmaşık teknoloji yığınlarını yönetirken, bilgisayar korsanları onları bozmaya odaklanmış durumda. Şüphesiz ve ezici bir çoğunlukla, olasılıklar saldırganın lehine; biz her zaman %100 doğru yapmalıyız, oysa onlar sadece bir kez doğru yapmaları gerekiyor.
2. Teknolojinin evrimi
Çünkü teknolojiler, özellikle siber saldırganların istismar ettiği BT türü, o kadar hızlı gelişiyor ki, onları korumada zaten sürekli geride kalıyoruz. Bilinen ve keşfedilen güvenlik açıklarını yamamaya, güvenli yapılandırmaları uygulamaya ve kullanmaya kadar, savunucular her zaman yanıt veriyor; bu, doğası gereği tepkisel bir model ve dolayısıyla doğası gereği “geride”.
3. Sınırlı kaynaklar ve ödünler
Riski yönetmek, riski ortadan kaldırmakla ilgili değildir, azaltmak, paylaşmak, hafifletmek ve nihayetinde bazı risk seviyelerini kabul etmekle ilgilidir. Kıt kaynaklar ve “ışıkları açık tutma” zorunluluğu nedeniyle, her zaman gerçek bir güvenlik nirvanası durumunu engelleyecek kadar gizli risk olacaktır. Her zaman önlemek, yanıt vermek, kurtarmak vb. için mücadele edeceğiz.
4. İnsanın sınırlamaları
İnsanlar birçok bilinen nedenden ötürü en büyük güvenlik açığını oluştururlar: en büyük saldırı yüzeyi olmaya devam ediyoruz (örneğin; sosyal mühendislik, insan hatası, içeriden gelen tehditler), güvenlikle ilgilenmiyoruz veya bunu elverişsiz buluyoruz ve siber güvenlik hakkında temel bilgilere bile ulaşmak zor.
Çoğu zaman keşfet ve yama yap, tespit et ve azalt, hisset ve tepki ver gibi bitmeyen bir oyunun içindeymişiz gibi hissediyoruz.
Tepkiden dayanıklılığa
Bu nedenle geleceğe yönelik bir siber savunma, öne geçmekle ilgili değildir, ancak bileşenler veya diğer sistemler tehlikeye girdiğinde, ki kaçınılmaz olarak er ya da geç, işlev görme olasılığı daha yüksek olan sistemler inşa etmekle ilgilidir. Mevcut sistemlerimizin nasıl inşa edildiğine ve nasıl tehlikeye girebileceklerine dikkat ederek, bu sistemlere en baştan daha fazla dayanıklılık inşa edebiliriz. Bu, algılama ve yanıt verme bağımlılığını azaltır.
Ticari uçaklar, uçuş kontrolleri gibi kritik işlevler için birden fazla, bağımsız, yedekli sistem aracılığıyla bu duruma ulaşmıştır. Trafik ışıkları “güvenli” olarak kırmızıya dönerek, sistem herhangi bir nedenle durduğunda çarpışma risklerini azaltır. DevSecOps’taki “sola kaydırma” kavramı, güvenliğin yazılım geliştirme döngüsüne daha erken entegre edilmesini gerektirir, böylece güvenlik ve dayanıklılık “yerleşik” olur. Özellikle kritik altyapıdaki BT sistemleri, bu dayanıklılık ilkelerine göre dağıtılabilir.
Yapay zeka ve robotikte dayanıklılık
Makinelerin (üretken yapay zekadan robotlara kadar) daha yaygın hale gelmesi ve günlük insan aktivitelerinde daha kritik görevler üstlenmesiyle birlikte bu zihniyet ve yaklaşımın dikkate alınması önemlidir; bu makinelerde dayanıklılık oluşturmak birkaç temel aktiviteyi içerir.
GenAI veya “aptal” robotlar olsun, hizmet ettikleri insanlar, kontrolü hızlı ve kolay bir şekilde yeniden ele geçirme yeteneğini koruyarak efendiler olarak kalmalıdır. Bu, yaşam veya uzuv için bir tehdit oluşturuyorlarsa makineleri değiştirmeyi veya hatta sonlandırmayı içerir.
Kritik altyapı için bağımsız, yedekli sistemler düşünülmelidir. Bu maliyetli olabilse de, bu yaklaşımın toplu elektrik şebekesi veya hücresel iletişim ağları gibi sistemlerde uzun süreler boyunca güvenilir olduğu kanıtlanmıştır.
Sonuç olarak, gelecekteki riskler bilinemez. Bu nedenle, dayanıklılık yalnızca risklere göre sistemler tasarlamak anlamına gelmez. hakkında bilgi edinmekancak bileşenler ve diğer ilgili veya entegre sistemler riskler nedeniyle arızalandığında sistemlerin dayanıklı olmasını sağlamak henüz bilmiyoruzBaşka bir deyişle, tetiklenebilen ve yine de genel sistemin tasarlandığı temel işlevleri yerine getirmesini sağlayan hata önleme katmanları olmalıdır.
Tehdit modellemesi ve savunma planlaması önemli olmaya devam ederken, teorik riskler hayal gücünden yoksun olma eğilimindedir, esas olarak yakın deneyime dayanır (ve bu nedenle, henüz keşfedilmemiş gelecekteki risklere değil). Bu nedenle, gelecek için dayanıklılık oluşturmak, nedene bakılmaksızın bozulmaya uğraması beklenen sistemleri tasarlamak ve temelde hala çalışmasını sağlamak anlamına gelir.
GenAI ve robotlardan kurumsal BT sistemlerine kadar, kullandıkları çok sayıda saldırgan ve yöntemle herhangi bir eşitliğe yaklaşmak giderek zorlaşıyor. Keşfetme ve yama, algılama ve yanıtlamanın sonsuz döngüleri giderek daha hızlı ve sürdürülmesi daha zor hale geliyor. Tasarıma göre dayanıklılığa odaklanan bir güvenlik stratejisi değişikliği, planlamacıların gelecekteki bilinmez risklere hazırlıklı olmak için atabilecekleri önemli adımlardan biridir.