Birçoğu muhtemelen bu sorunun cevabının beyinsiz olduğunu düşünecektir. Ne de olsa, siber saldırılara hazırlanmakla ilgili hatırlatmalar, çevrimiçi olarak yayınlanan sonsuz siber güvenlikle ilgili içerik akışının bir parçasıdır. Tehditleri ele alan reklamlar da her yerde mevcuttur. Proaktif güvenliğin çevrimiçi olarak serbestçe paylaşılmasıyla ilgili fazlasıyla yeterli bilgi var.
Bununla birlikte, mevcut tehdit ortamında siber güvenlik yönetimi basit ve anlaşılır olmaktan uzaktır. Birçok profesyonel ve deneyimli siber güvenlik uzmanı, güvenlik duruşlarından emin olmadıklarını kabul ediyor. Bir çalışma, şirketlerin yüzde 50’sinin bir fidye yazılımı saldırısını durdurmaktan emin olmadığını gösteriyor.
Siber tehditlerle başa çıkma yöntemlerini optimize etmek ve modernize etmek, özellikle şu anda siber saldırıların hızla gelişen ve giderek daha agresif doğası göz önüne alındığında çok zor olabilir. Yine de, aşağıdaki ipuçlarının yardımıyla zorlukların üstesinden gelmenin ve daha iyi tehditlere maruz kalma yönetimi elde etmenin yolları vardır.
Sürekli tehdide maruz kalma yönetimini uygulayın
Gartner’ın 2022 Hype Cycle’ı, sürekli tehdide maruz kalma yönetimi (CTEM) ihtiyacından bahseder. Bu, öncelikli iyileştirme mekanizmalarını gerektiren güvenlik doğrulama teknolojileri aracılığıyla risk düzeylerini sürekli olarak planlamak, izlemek ve azaltmak için tasarlanmış beş aşamalı bir programdır. Gartner, bu CTEM programının kuruluşların güvenlik ihlallerine yenik düşme olasılığını önemli ölçüde azaltacağını umuyor.
Sürekli tehdide maruz kalma yönetiminin beş döngüsel aşaması, kapsam belirleme ile başlar ve bunu keşif, önceliklendirme, doğrulama ve mobilizasyon takip eder. Belirtildiği gibi, sürekli bir süreçtir, bu nedenle kesintisiz tehdit izleme sağlamak için kapsam belirleme ve sonraki aşamalarla yeniden başlar.
- İlk adım, kapsam belirleme, bir kuruluşun harici saldırı yüzeylerini, SaaS uygulamalarının ve tam yazılım tedarik zincirinin kullanımıyla birlikte gelen risklerle birlikte haritalamakla ilgilidir. Bu aşama, tehditleri görev açısından kritik, yüksek değerli veya hassas olarak belirlemek ve sıralamak için iş ve güvenlik perspektiflerinin işbirliğini gerektirir.
- keşif kuruluşun BT altyapısının, ağının, uygulamalarının ve hassas veri varlıklarının haritalanmasını gerektirir. Bu aşama, ilgili risk seviyelerine göre sınıflandırılabilmeleri için yanlış yapılandırmaları, güvenlik açıklarını ve kusurları tespit etmeye çalışır.
- önceliklendirme güvenlik açıklarının istismar edilme olasılığının değerlendirilmesine odaklanır. Sömürülme olasılığı en yüksek olanlar, düzeltme için sıranın en üstüne konur. Düşük öncelikli güvenlik açıklarının çözümü, yeterli düzeltme kaynağı bulunana kadar ertelenir.
- doğrulama mevcut güvenlik kontrollerinin yeterli olup olmadığını kontrol etmek için keşfedilen güvenlik açıklarına yönelik saldırıların simülasyonunu içerir. Bu aşama aynı zamanda müdahale ve iyileştirme mekanizmalarının yeterliliğini değerlendirmek için de üstlenilir.
- seferberlik doğrulama aşamasının sonuçlarına dayalı olarak keşfedilen güvenlik açıkları üzerinde düzeltici eylemler uygulamakla ilgilidir. Bu genellikle manuel bir süreçtir, ancak işbirlikçi çabalarla sorunsuz hale getirilebilir. Ayrıca mobilizasyon aşaması, bir sonraki döngüde daha verimli süreçleri kolaylaştırmak için CTEM süreciyle ilgili kapsamlı veriler üretir.
Yine, CTEM bir araç veya güvenlik ürünü değildir. Tehdit maruziyetini yönetme yeteneğini geliştirmek için herhangi bir kuruluş tarafından benimsenebilecek bir program veya süreçler döngüsüdür. Ancak, CTEM’i kapsamlı çözümlerine entegre eden siber güvenlik platformları var. Kuruluşların tehditlerin bitmeyen evrimi ve siber saldırıların artan saldırganlığı ile mücadele etmek için ihtiyaç duyduğu tehdit maruziyetini sürekli olarak izleyen ve gideren çok işlevli bir doğrulama platformu sağlayabilirler.
Güvenlik çerçevelerinden yararlanın
Siber güvenlik çerçeveleri, tehditleri daha verimli bir şekilde tespit etmek ve çözmek için bir tür “hile sayfası” işlevi görür. Dijital varlıkların nasıl güvence altına alınacağına dair denenmiş ve test edilmiş bir yapı ve metodoloji sağlarlar.
Bunun bir örneği, dünyadaki en son rakip taktikler ve teknikler hakkında çapraz referanslı yetkili bilgileri paylaşan MITRE ATT&CK çerçevesidir. Bunlar, tehdit aktörleri tarafından hedeflenen en son keşfedilen güvenlik açıklarıyla ilgili bilgileri içerir. Bu çerçeve tarafından sağlanan tehdit istihbaratı, yalnızca tehditlerin açıklamalarını değil, aynı zamanda kullanılan prosedürleri, faaliyetlerinin belirli örneklerini ve kullandıkları meşru ve kötü amaçlı uygulamaları veya araçları da gösteren son derece ayrıntılıdır. MITRE ATT&CK, tehditlerin tanımlanmasını ve takılmasını sistematik hale getirir, titiz ancak ağırlaşmaz hale getirir.
NIST Siber Güvenlik Çerçevesi de iyi bir kaynaktır. Bu gönüllü çerçeve, siber risklerin yönetilmesine ilişkin standartları, yönergeleri ve en iyi uygulamaları ortaya koymaktadır. Tehdit tanımlama, koruma, tespit, müdahale ve kurtarma olmak üzere beş alanda risk yönetimine rehberlik eder. Bu çerçeve aslında Amerika Birleşik Devletleri federal hükümet kurumları için zorunludur ve 13800 sayılı Kararnameye dayalı olarak özel kuruluşlar için (gönüllü) tavsiye edilir.
Ayrıca, siber güvenlik için uluslararası standart olarak kabul edilen ISO/IEC 27001 veya ISO 27K vardır. Ayrıca kuruluşların tehditleri ele almalarına yardımcı olabilir. Bilgi güvenliği tehditlerinin sistematik yönetimini gerektirir. Kuruluşları bilgi güvenliği veya InfoSec ilkeleri tasarlamaya ve uygulamaya zorlar. Ayrıca, devam eden bir risk yönetimi sürecinin benimsenmesini tavsiye eder.
Yapay zekadan yararlanın
Capgemini Araştırma Enstitüsü tarafından siber güvenlikte yapay zekanın rolü üzerine yapılan bir araştırma, “Yapay zeka destekli siber güvenliğin giderek daha gerekli olduğu” sonucuna varıyor. Hızla artan saldırı hacmi ve şaşırtıcı derecede hızlı evrimi, siber analistleri bunaltıyor. Ayakta kalabilmek için otomasyona ve makine öğrenimi odaklı çözümlere yönelmek gerekiyor. Siber suçlular, saldırılarını başlatmak veya yürütmek için zaten AI kullanıyor. Aynı şeyi yapmamak mantıksız olurdu.
Kuruluşlar, büyük miktarlarda güvenlik verileri, uyarılar ve güvenlik olayı raporları oluşturan çok sayıda güvenlik denetimi kullanır. İnsan analistleri tüm bunlara ayak uyduramaz. Nispeten basit konulardaki uyarıları özerk bir şekilde ele almanın ve insan analist değerlendirmesi için karmaşık endişelere öncelik vermenin bir yolu olmalıdır.
Öte yandan, siber güvenliğin sıkıcı bir şekilde tekrar eden ve insan hatalarına eğilimli yönleri vardır. Özellikle büyük kuruluşlardaki konfigürasyonlar ve dağıtımlar, hatalar için sayısız fırsat yaratır. Otomasyon, güvenlik açıkları haline gelen yapılandırma hatalarını ve diğer hataları önemli ölçüde en aza indirir, hatta neredeyse tamamen ortadan kaldırır.
Ayrıca, tehdit tespiti ve yönetimi söz konusu olduğunda yapay zeka ve otomasyon önemli roller üstlenir. AI, yalnızca tehdit kimliklerine dayalı olarak değil, aynı zamanda davranış kalıplarına göre de kötü amaçlı yazılımları veya kötü amaçlı ağ etkinliklerini anında tespit etmek için eğitilebilir. Potansiyel saldırıları tahmin etmek için tahmine dayalı zeka geliştirmek bile mümkündür.
Ek olarak, yapay zeka ve otomasyon, botlarla mücadelede faydalıdır. Botlar zaten çevrimiçi trafiğin büyük bir yüzdesini kaplıyor ve durmaksızın güvenlik açıklarını ve saldırı fırsatlarını aradıkları için ciddi riskler oluşturuyorlar. Yapay zeka sistemleri, bot aktivitesini tespit etmek ve onları insanlardan ayırt etmek için kullanılabilir. İyi ve kötü bot davranışını ayırt etmek de mümkündür. Arama motoru tarayıcıları, telif hakkı botları, sohbet botları, besleme botları ve site izleme hizmetleri gibi önemli işlevleri yerine getiren sözde “iyi botlar” vardır. Kötü botlarla bir araya getirilemez ve engellenemezler.
Özetle
Tehditlere maruz kalma yönetimini optimize etmenin ve modernleştirmenin yollarını üç kelime özetliyor: sürekli, çerçeve ve yapay zeka. Tehdit algılama ve ele alma, tehditlerin siber savunmayı yenebilecek güvenlik açıklarını bulma ve kullanma şansına sahip olmamasını sağlamak için sürekli bir süreç olmalıdır. Güncel ve doğru tehdit istihbaratı ve içgörülerinden yararlanmak için yerleşik siber güvenlik çerçevelerinden yararlanmanız önerilir. Son olarak, tehdit maruziyetini daha verimli bir şekilde yönetmek ve insan hatalarından kaçınmak için yapay zeka ve otomasyondan yararlanmamak için hiçbir mazeret yoktur.