Yazan: Ambarish Kumar Singh, Godrej & Boyce Bilgi Güvenliği Müdürü (CISO)
Sıfır Gün terminolojisi Siber Güvenlik dünyasında çok popüler ve çoğumuz Sıfır Gün güvenlik açığından yararlanıldığında ne olacağı konusunda gerçekten korkuyoruz. Bellekte/kayıt defterinde/işlemlerde/görevlerde vb. yapılan modele/değişikliklere dayalı olarak sıfıra yakın gün veya bir tür sıfır gün güvenlik açıklarını ele aldığını iddia eden güvenlik teknolojileri vardır.
Birçoğumuz bu tür teknolojilere çok yatırım yaptık, çoğumuz planlama yapıyor ve bu maliyetli sözde yeni nesil teknolojileri karşılayamayanlar, her zaman yönetimi bunun için yeterli fon sağlamamakla suçluyor.
Sıfır Gün Hakkında Ne Hissediyorum
Bence Zero Day’i ele almak için çok özel bir hazırlık yapmamıza gerek yok. Düşüncem, bilinmeyen bir şeye ne kadar, ne kadar hazırlanabileceğimize ve başarı ihtimalinin sıfıra yakın olduğu basit bir varsayıma dayanıyor. Peki neden önce onlara zaman ve kaynak ayırmalıyız? Yapmamız gereken, Siber savunma da dahil olmak üzere temelleri güçlü tutmaktır.
Düşüncelerimi Destekleyecek Bazı Örnekler
1) COVID-19, sıfır gün güvenlik açığının istismar edilmesine mükemmel bir örnektir. Bugün dünya olarak hiç şüphesiz tıp alanında büyük ilerlemeler kaydettik ve çoğu ülke bu imkanlara sahip.
Gelişmiş ülkelerde tıbbi tesislerin ve sağlık ekosisteminin durumu nispeten daha iyidir. Ancak gelişmiş ülkelerde ve gelişmekte olan ülkelerde Kovid-19 kaynaklı ölüm ve enfeksiyon vakalarına ilişkin gerçekler önümüzde.
Bu bize, teknolojiye/araştırmalara ne kadar yatırım yaparsanız yapın, sıfırıncı gün güvenlik açığından yararlanılacağını ve bunun bir etki yaratacağını söylüyor. Etkinin derecesi, doğası gereği çok temel olan belirli önlemlerin alınmasıyla azaltılabilir.
COVİD-19’a karşı ellerin sık sık temizlenmesi, dezenfektan kullanılması, hapşırırken ağzın kapatılması gibi çok basit ama aynı zamanda çok etkili temel önlemlerin hepimiz farkındayız.
2) Ne kadar egzersiz yaparsak yapalım, ne kadar sağlıklı beslenirsek yiyelim, sağlıklı bir yaşam tarzı sürdürürsek, hiç kimse herhangi bir hastalığa yakalanmayacağımızın garantisini veremez. Dünyanın her yerinde çok sayıda ünlü şahsiyetin yaşamı tehdit eden hastalıklar nedeniyle erken yaşta öldüğünü gördük ve birçoğu da şu anda acı çekiyor.
Bütün paraya ve kaynaklara sahiplerdi/sahiplerdi ve hala bu tür hastalıklardan muzdaripler.
Ne yapabiliriz?
Benim düşünceme göre, Sıfır Gün zayıf noktalarımızdan yararlanabilecek yaşamı tehdit eden herhangi bir hastalıkla baş etmeye hazır olmak için neler yapabiliriz, düzenli egzersiz yaparak, sağlıklı beslenerek, düzenli tıbbi kontroller yaptırarak, düzenli bakım yaparak sağlığımıza dikkat edebiliriz. iş-hayat dengesi, sağlık sigortası yaptırmak ve hayata karşı olumlu bir tutum sergilemek. Aynı şekilde Siber Güvenlik açısından da aşağıda belirtildiği gibi temel güvenlik kontrollerine odaklanmalı ve bunu belirli bir süre içinde olgunlaştırmalıyız:
- Kimlik ve Erişim Yönetimi (İnsan + Teknoloji)
- Risk Yönetimi (Süreç)
- Güvenlik Açığı Yönetimi (Teknoloji)
- Uç nokta güvenliği (Teknoloji)
- Çevre Güvenliği (Teknoloji)
- Düzenli değerlendirmeler (Süreç + Kişiler)
- Kırmızı ekip oluşturma (Teknoloji + İnsanlar)
- Proaktif izleme (SOC) (Teknoloji + İnsanlar + Süreçler)
- Üçüncü Taraf Yönetimi (Süreç)
- Güvenli SDLC (Teknoloji + Süreçler + İnsanlar)
- Güvenlik müjdelemesi (İnsanlar)
- Olay Müdahalesi (Kişiler)
- Veri Koruma (İnsan + Teknoloji + Süreçler)
- Hata Ödülü vb. ve daha fazlası ………
İnsanların, Süreçlerin ve Teknolojilerin birbirini tamamlamasını sağlamalı ve güvenlik olgunluğu iğnesini ilerletmek için her gün yeterli önlemlerin alındığından emin olmalıyız. Bu sayede sıfır gün saldırılarının etkisini sınırlandırabileceğiz. NIST Siber Güvenlik Çerçevesinin bilinen tüm temellerine, yani Tanımlama, Koruma, Tespit Etme, Yanıt Verme ve Kurtarma’ya dengeli güvenlik yatırımları yapmamız gerekiyor.
Siber güvenliğin kolektif bir sorumluluk olduğunu ve kuruluşlardaki tüm kullanıcıların buna sahip çıkması ve Duraklatmak, Düşünmek ve harekete geçmek için sorumlu bir şekilde hareket etmesi gerektiğini lütfen unutmayın.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.