Titania’ya göre, kıdemli siber güvenlik karar vericilerinin %40’ı, Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) 4.0 uyumluluğuna yönelik riskleri etkili bir şekilde önceliklendiriyor.
Çalışma, petrol ve gaz, telekomünikasyon, bankacılık ve finansal hizmetler kuruluşlarının, saldırılarını ölçeklendirmek için savunmasız ağ cihazı yapılandırmalarından yararlanan tehdit aktörleri için birincil hedefler olduğunu vurguluyor. Ayrıca, yalnızca %37’sinin ağlarının güvenliğini baltalayan uyumluluk risklerini ‘çok etkili bir şekilde’ kategorize edebildiğini ve öncelik sırasına koyabildiğini ortaya koyuyor.
Çoğu kuruluşta ağ yanlış yapılandırmaları fark edilmez
Kuruluşların %96’sı, yanlış yapılandırmaları kontrol ederken anahtarları ve yönlendiricileri analiz etmediğini ve kontrollerin genellikle yıllık olarak yapıldığını bildirdi. Ancak çoğu kişi, her güvenlik duvarı, yönlendirici ve anahtarın sürekli (günlük) risk değerlendirmesinin, ağların güvenliğini sağlamak ve uyumluluğu sürdürmek için en sağlam strateji olduğu konusunda hemfikirdir.
%80’i ayrıca kuruluşlarının güvenliği sağlamak için uyumluluğa güvendiğini kabul etti. Spesifik olarak, çoğu petrol ve gaz (%98) ve telekomünikasyon (%96) ile karşılaştırıldığında, tüm bankacılık ve finansal hizmetler sektörü katılımcıları kurumsal güvenlik ve harici uyumluluk gereksinimlerini karşıladıklarından emindir.
Bu veriler, ağ güvenliği ve uyumluluğu algısı ile gerçeklik arasındaki kopukluğu göstermektedir.
“Karmaşık ağlar, geniş müşteri tabanları ve uzun tedarik zincirleri, bu sektörleri saldırılara karşı oldukça duyarlı hale getiriyor. Çalışma, ağ güvenliğine yönelik mevcut kurumsal yaklaşımlar göz önüne alındığında, şirketlerin sürekli uyumlu olamayacağını ve sonuç olarak sistem ve verilerin gizliliğine, bütünlüğüne ve kullanılabilirliğine yönelik ölçülemeyen düzeylerde risk taşıdıklarını ortaya koyuyor.” dedi Titania CEO’su Phil Lewis.
“Kararlı bir saldırgan, bir ağa giriş elde edene kadar bir ağa erişmek için çeşitli yaklaşımların bir kombinasyonunu deneyecektir ve bilinen güvenlik açıkları veya yanlış yapılandırmalar içeri girmenin kolay bir yoludur. Şirketler, saldırı yüzeyini en aza indirmek için hem sıfır güven zihniyetini hem de ağ güvenliği en iyi uygulamalarını benimsemelidir. yanal hareketi engelleyin ve davetsiz misafirlerin hedeflerine ulaşmasını önleyin,” diye devam etti Lewis.
Güvenlik ve uyumluluk gereksinimlerini karşılamadaki zorluklar
Kuruluşların şu anda ağın belirtilen bölümündeki güvenlik açıklarını nasıl tespit edip hafiflettiklerini ve cihazların her zaman güvenli bir yapılandırmayı sürdürdüklerinden ne kadar emin olduklarını soran araştırma, şunları da ortaya çıkardı:
- Katılımcıların %100’ü, ağ güvenlik araçlarıyla uyumluluk risklerinin etkili bir şekilde sınıflandırıldığını ve önceliklendirildiğini bildirdi
- Petrol ve gaz şirketlerinin %74’ü, telekomünikasyon şirketlerinin %67’si ve bankacılık ve finansal hizmetler katılımcılarının %67’si, güvenlik ve uyumluluk gereksinimlerini karşılamada en büyük zorluk olarak riske dayalı iyileştirmeye öncelik verememeyi sıraladı
- BT bütçelerinin yalnızca %3,4’ü yanlış yapılandırmaları tespit etmek ve düzeltmek için ayrıldığından, artan bütçelerin ağlarda tespit edilen kritik hatalı yapılandırmaların hacmi üzerinde çok az etkisi vardır veya hiç etkisi yoktur
- %45’i, kritik ağ yapılandırması güvenlik risklerinin 1-3 gün içinde yanıt verdiğini ve çözüldüğünü bildirdi
- Bankacılık ve finansal hizmetler, Ticari CNI katılımcıları arasında %62 ile iki haftada bir ila altı ayda bir kategorisinde en sık kontrollerin yapıldığını bildirdi.
- Petrol ve gaz sektörü, önceki 12 ayda tespit edilen en yüksek hatalı yapılandırmaları bildirdi
- Telekomünikasyon, konfigürasyon güvenliği raporlamasında %100 otomasyona sahip olmayan tek sektördür.
Kuruluşlar PCI DSS gereksinimlerini karşılamakta zorlanıyor
PCI Güvenlik Standartları Konseyi kısa bir süre önce, 2004’ten bu yana standardındaki en önemli değişiklikleri yayınlayarak, etkin ağ bölümlemesini, sürekli bir süreç olarak güvenliği ve ticari işletmelerin azaltması gereken risklerdeki artışları ele almak için gelişmiş uyumluluk doğrulamasını teşvik ediyor.
Verizon’un raporuna göre, kuruluşların ‘güvenlik sistemlerini ve süreçlerini düzenli olarak test etmesini’ gerektiren PCI DSS 4.0 Gereksinimi 11, son 10 yıldır sürdürülebilir uyumluluk için en kötü performans gösteren bireysel gereksinim oldu. Kuruluşların yalnızca %60’ı bu gereksinimi tam olarak karşıladığını gösterebilmektedir.
Bu, “yanlış otomasyon” ve “riske dayalı düzeltmeye öncelik verememenin” tüm kuruluşların neredeyse yarısı için kurumsal güvenlik ve harici uyumluluk gereksinimlerini karşılamadaki ana zorluklar olduğunu da gösteren araştırma çalışmasının bulgularıyla tutarlıdır.