BLACK HAT USA – Las Vegas – 9 Ağustos Çarşamba — Siber güvenlik ve sigortacılık, bu hafta iki sektörün birlikte çalışabilecekleri en iyi yöntemleri iyileştirmeye devam ettiği bir Black Hat “mini zirvesinde” garip dansına devam etti.
Siber sigortacılık konusunda düzenlenen zirvede siber sigortaya ihtiyaç olup olmadığı, nasıl değerlendirildiği ve CISO’ların nasıl kullanılabileceği ele alındı. Alternatif olarak, sigortacılığın modern siber güvenlik tehditlerine ve eğilimlerine ayak uyduramadığı veya hatta federal hükümetin şirketleri, sigortacıları ve ekonomiyi yaygın, yıkıcı bir siber saldırının etkisinden nasıl (veya neden) koruyabileceğine dair iddialar var.
Tartışılan noktalar malum: Siber sigorta primleri nasıl hesaplanıyor ve hangi unsurlar dikkate alınıyor? Sigorta savunucuları, siber sigortaya sahip olmanın bir CISO’yu bir saldırının mali etkisi hakkında çok fazla endişelenmekten alıkoyduğunu iddia ediyor.
Bununla birlikte, Black Hat zirvesindeki uzmanlar, olay sonrası adli tıp incelemeleri, kesinti süresi ve kredi izlemenin ek masrafları da dahil olmak üzere bir saldırının temizleme maliyetlerinin de dikkate alınması gerektiğini söyledi. Applied Materials’a yapılan son fidye yazılımı saldırısının şirkete 250 milyon dolara mal olduğu tahmin ediliyor.
Coalition’ın iddia başkanı Catherine Lyle, aksi yöndeki tüm göstergelere rağmen, özellikle bir saldırı veya ağ ihlalinden sonra, avukatların bile şirketinizin güvenliğini önemsediğini söyledi. “Aktif sigorta, meydana geldiğinde gemiyi düzeltmek için oradadır” dedi.
Lyle, tehdit aktörleri giderek daha karmaşık hale geldikçe, İngilizceyi anlamalarının ve bilgilerinin de arttığını, bunun da İngilizce konuşmayan tehdit aktörlerinin şirketin mali kayıtlarını içeren klasörleri bulmasına yardımcı olduğunu söyledi. Lyle, “Neye harcadığınızı ve çekleri kimin imzalama yetkisine sahip olduğunu biliyorlar,” diye ekledi.
Saldırıların çoğu kimlik avı yoluyla etkinleştirildiğinden, fidye yazılımı olayları, iş e-postalarının ele geçirilmesi ve para transferi dolandırıcılığı artıyor. Bununla birlikte, paranın gönderildiği herhangi bir saldırı daha zorludur, çünkü bir fidye yazılımı saldırısında gerçek fidye maliyetlerini düşürmek için bir müzakere süreci olabilir. Lyle dedi.
Ayrıca, tehdit aktörlerinin bir ağda daha uzun süre, ortalama olarak 2022’de 42 gün, bir önceki yıla göre ortalama sürenin iki katı kadar uzun süre kalacağını da belirtti.
İş e-postası gizliliği, fidye yazılımı ve fon transferi dolandırıcılığının bir sigorta poliçesini büyük ölçüde etkilediği belirtildi. Siber sigorta komisyoncusu Assured’in kurucu ortağı Ed Ventham. “BEC ve fidye yazılımı, sigorta şirketlerinden en sık yapılan iki siber sigorta ödemesidir” diye ekledi. “Sigortacıların sorduğu teknik soruların çoğu, bu saldırıları önlemek için hangi kontrollerin yürürlükte olduğunu bulmakla ilgili. Hangi uç nokta koruması uygulanıyor? Sistemler nasıl izleniyor ve ne kadar hızlı yama yapılıyor?” Bu faktörler müşteriden müşteriye büyük ölçüde değişir.
Lyle, sigortanın daha büyük zararları önlemeye yardımcı olmak için var olduğunu ve siber sigorta maliyetlerinin düşürülmesi için güvenlik duruşunuzu iyileştirmek için atılabilecek adımlar olduğunu söyledi. Bunlar, çok faktörlü kimlik doğrulama (MFA) ekleme, olay müdahalesi için prova ekleme ve hasar öncesi yardım ile sigorta şirketi yardımını içerir.
CISO’dan Görünüm
Triden Group Başkan Yardımcısı ve CISO’su John Caruthers, sigorta satın alma fikri bir zamanlar tuhaf görünse de, 2023’te bazı nüanslara rağmen herkesin siber sigortayı ve amacını anladığını söyledi.
Ayrıca siber sigortanın güvenlik için mi, uyum için mi yoksa hiçbiri için mi olduğunu yüksek sesle merak etti. “Bu, bir siber güvenlik programının yerine geçmeyecek, ancak daha iyi siber güvenlik programları oluşturmak için bir motive edici” dedi.
Caruthers, siber sigorta girişimlerini tıp ve otomobil sigortası endüstrileriyle karşılaştırdı ve siber güvenlikte tarihsel veri olmadığını, bu nedenle siber güvenlik olgunluğuna ulaşmak için minimum zorunlu gereksinimlerin bir listesinin oluşturulduğunu söyledi. Bunlara MFA, olay müdahale planları ve yedeklemeler dahildir, ancak yama yönetimi, uzaktan erişim kontrolleri, tedarik zinciri yönetimi ve farkındalık eğitimi de dikkate alınmaya değerdir.
Ventham ayrıca, kullanım ömrü sona eren yazılımların sigortacılar için daha yüksek bir risk olarak değerlendirildiğini de kaydetti; desteklenmeyen yazılımlar da ilgili bir sorundur ve hem sigortacılar hem de müşteriler için benzer bir zorluktur.
Ventham, “Desteklenmeyen yazılımlardan yararlanmak en yaygın saldırı yüzeylerinden biridir ve doğal olarak kullanım ömrünün sonu bunu artırır” dedi. Sigortacılar değerlendirmelerini yaparken, işletmelerin bu desteklenmeyen yazılım için sahip olduğu tespit ve izleme yeteneklerini göz önünde bulundururlar. Yazılımın ne için kullanıldığını, internete dönük olup olmadığını ve ağın geri kalanından ayrılmış olup olmadığını bilmek isteyeceklerdir.”