2024 Temmuz ayında, siber güvenlik yazılımı şirketi Crowdstrike, dünyanın dört bir yanındaki milyonlarca bilgisayara bir güncelleme getirdi. Kesinlikle olması gereken güncelleme, havayolları, hastaneler ve diğer kritik endüstrilerdeki bilgisayarlar birbiri ardına çökmeye başladığında yaygın kaosa neden oldu.
Dünya çapında havaalanlarında uçuşlar iptal edildi veya gecikti. Bankalar, oteller, hastaneler, acil servisler ve hatta televizyon istasyonları bile kesintiler yaşadı. Uzmanlar, kesintinin küresel maliyetini milyarlarca dolar olarak tahmin ediyor. Çevrimiçi sistemlerin birbirine bağlılığı ve karşılıklı bağımlılığının yakın tarihinde ve tek bir başarısızlık noktasının hepsini nasıl çökertebileceğini en dramatik bir örnektir.
Aynı zamanda bir uyandırma çağrısı olarak da hizmet etti. Sistemlerimizin ne kadar bağlı olduğu göz önüne alındığında, başka bir kazanın gerçekleşmesi sadece bir zaman meselesidir. Kurbanın düşmesini önlemek için, işletmeler bu tehdidi ciddiye almalı ve riskleri nasıl azaltacağını öğrenmelidir.
Risk
Birbirine bağlı dünyamızın gerçekliği, her şeyin daha akıllı hale gelmesidir. Örneğin elektrik ızgarasını alın. Izgara, birbirinden fiziksel olarak izole edilmiş ayrı, kablolu sistemler kullanıyordu. Ancak bugünün ızgarası “akıllı” dır, tek, engebeli ağ geçitleri birden fazla sistem çalıştırır. Talep ve arz arasındaki kırılgan dengeyi yönetmek zorundadır. Bugünün ızgarası önemli ölçüde daha akıllı olduğu için, doğal olarak daha savunmasızdır.
Bağlantı, bir hastane kahve dükkanı kadar masum görünen bir şeyin risk haline gelmesine bile neden oldu. Lobi kahve dükkanındaki ziyaretçilere ve hastalara sunulan aynı wifi, kişisel tanımlanabilir bilgileri (PID) barındıran kritik hastane sistemlerine bağlıdır; Bu sistemler saldırı için ana hedeflerdir. Bu varsayımsal değildir; Birinin hastanın ilaç dağıtıcısına erişmek için bir hastanenin kahve dükkanı wifi kullandığı bir gösteriye tanık oldum. Hem korkutucu hem de etkili oldu.
Büzülme
Kuruluşlar, bir saldırının olasılığını azaltmak için çok fazla zaman ve çok fazla kaynak harcadılar ve etkiyi azaltmaya yeterli değil. Bir ihlal kaçınılmaz olarak, bir siber olay karşısında bile hedef hizmet sunumunu sürdürmeli, bu minimum uygulanabilir işlemi (MVO) belirleyerek yapılabilir. MVO, hizmet sağlamak için işlemi sürdürmesi gereken sistemlerin mutlak minimum sayısına bakar. Bir saldırı durumunda operasyonel kaldıklarından emin olmak için bu sistemler etrafında siber esneklik stratejileri oluşturulmalıdır.
Örneğin, perakendecilerin hırsızlık yapmayı nasıl ele aldığını düşünün. Mağazalar hırsızlık nedeniyle herhangi bir dönemde ürün kaybetmeyi bekler; Buna “büzülme” denir. Büzülme, bir mağazanın sahip olması gereken envanter ile gerçekte ne olduğu arasındaki tutarsızlığı ifade eder. Fark genellikle hırsızlıktan kaynaklanır. Perakende mağazalar bu büzülmeyi hesaba katar ve bunun için plan yapar. Tüketicilerin% 100’ünü durduramayacaklarını bildikleri için, finansallarını hesaplarken beklenen kaybı yazıyorlar. İş yapmanın maliyeti.
İşletmelerin veri ve sistem kaybını kabul etmesini beklemek gerçekçi olmasa da, hırsızlık gibi ihlallerin kaçınılmaz olduğu göz önüne alındığında perakende sektöründen bir sayfa alabilirler. Bir MVO yaklaşımı benimseyen kuruluşlar, her saldırıyı önlemeye ve her saldırıyı önlemeye çalışmaya yönelik çabalara odaklanmalıdır-sürekli gelişen tehdit manzarası göz önüne alındığında gerçekçi olmayan bir şey. Korunması gereken sistemleri belirleyin, bu sistemleri koruyun ve ardından diğer her şeyi bölümlere ayırın. Kayıpları büzülme olarak yazın ve devam edin.
Crowdtrike kesintisi, yalnızca birbirine bağlı sistemlerimizin doğasında var olan güvenlik açıklarının değil, aynı zamanda bu riskleri yönetmek için acil, pratik rehberliğe olan acil ihtiyaç olduğunu vurguladı. Sistemler giderek karmaşıklaştıkça ve birbirine bağlı hale geldikçe, esnekliğin gerekli olmasını sağlamak, ancak birçok kuruluş, basit olmaktan başka bir şey olan düzenleyici bir manzarada gezinmeye bırakılmaktadır.
Düzenlemeler
Teorik olarak, düzenlemeler bizi daha güvenli hale getirmelidir. Her neyse, kuruluşların siber sorunları nasıl ve ne zaman ele almaları gerektiğini öngörme niyeti budur. Ancak, mevcut düzenlemeler, Crowdtrike kesintisinin kanıtladığı gibi, tüm olayların gerçekleşmesini engelleyemez. Ve yeni düzenlemeler yapmak, ya çok fazla, kafa karıştırıcı bir kuralların karmaşasına ve onları nasıl takip edeceğine dair çok az yöne yol açabileceği için cevap değildir.
Örneğin, ABD’deki kuruluşlar, siber düzenlemelerin kabus ağına yakalanıyor. Ulusal, eyalet ve yerel düzenleyiciler, çoklu endüstri düzenleyicileri, CISA, NSA vb. Vardır. Bu, aşırı düzenlemeye ve ciddi çözüm eksikliğine yol açar.
2024 ISC2 Siber Güvenlik İş Gücü Çalışmasına göre, katılımcıların% 67’si bu yıl personel sıkıntısı olduğunu belirtti. Zaten var olan işlerle başa çıkmak için yeterli siber güvenlik profesyonelleri yok. Aşırı düzenlemeler daha da fazla iş yaratır, bu da personel eksikliği nedeniyle yapılmayacaktır.
Siber düzenlemeler, bir düzenleyicinin tüm endüstriyi denetlediği dünyanın diğer birçok yerinde olduğu gibi kuralcı olmalıdır. Hiçbir sistem mükemmel değildir, ancak daha basit genellikle daha iyidir. En azından, düzenleyiciler ağımız, örtüşme olmamasını sağlamak için birbirleriyle konuşabilir.
Düzenleyiciler, kuruluşların sadece yeni gereksinimler vermeden uyum sağlamalarına yardımcı olmak için daha fazlasını yapmalıdır. İstedikleri tüm mevzuatı yaratabilirler, ancak bu gerekli insanlarla ve fonlarla birlikte gelmezse, kuruluşlar bir saldırıya karşı savunmasız kalırlar.
İleriye giden yol
Bu bizi MVO’ya geri getiriyor. Siber saldırıların verildiği ve düzenlemelerin ihlal edilmemenizi sağlayacak fonlar ve tavsiyeler olmadan geldiği bir dünyada, en iyi yolunuz riske karşı hafifletmektir. Ve ilk öncelik, hizmetinizin çalışmasını sağlamaktır.
Bunu yapmanın bir yolu, neye karşı hafiflettiğinizi belirlemektir. Risk vektörleriniz nerede? Tedarik zinciriniz? Üçüncü taraflar? Birçok kuruluşun operasyonlarında çok sayıda üçüncü tarafı vardır. Bunları belirleyin ve neye eriştiklerini kontrol edin. Üçüncü taraflara yeterli bir uyumluluk seviyesini uygulamak zordur, bu nedenle gerçekte poz verdikleri riskleri azaltmanız gerekir.
Büyük bir bankada bir siber güvenlik uzmanıyla yaptığım bir konuşmayı hatırlıyorum. Bana riski ele alma şeklini bir liste başlatmak olduğunu söylediler. Listenin en üstünde olabilecek en kötü şey vardı ve oradan aşağıya biraz daha kötü şeyler vardı. Ardından, listenin üstündeki öğelere karşı hafifletmeye başlarlar ve parasız olana kadar aşağı inerlerdi. Bu ideal değil, ama kaç kuruluş çalışıyor.
Crowdstrike Crash bize bir şey öğretirse, tek bir başarısızlık noktasına sahip sistemler sonunda başarısız olur. Ne kadar bağlı olursa, başarısızlık o kadar büyük olur.
Önleme yerine esnekliğe odaklanan ağı tasarlayarak hizmetleri sürdürme yeteneği artırılacaktır.
Şimdi Crowdstrike kazasının kötü niyetli bir eylemin sonucu olduğunu hayal edin. Hasar ne kadar daha büyük olurdu? İngiltere hükümeti, başarılı bir saldırının kritik ulusal altyapıya ekonomik etkisinin Covid’inkine eşit olabileceğini tahmin ediyor. Bir uyandırma çağrısı olduğunu düşünmeliyiz.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!