Bu Help Net Security röportajında, Entrust Siber Güvenlik Enstitüsü Danışmanı Jenn Markey, gelişen siber tehditlere yanıt olarak kurum çapında sıfır güven stratejilerinin artan şekilde benimsenmesini tartışıyor.
Markey, yapay zeka tarafından oluşturulan derin sahtekarlıklar ve sentetik kimlik dolandırıcılığı gibi ortaya çıkan tehditlerin etkisinin yanı sıra Batılı kuruluşların sıfır güven çerçevelerini uygulamada karşılaştığı zorlukları tartışıyor.
2024 Sıfır Güven Durumu ve Şifreleme araştırmasında yer alan kuruluşların üçte ikisi, siber risk endişelerini sıfır güven stratejisini uygulamanın ana itici güçleri olarak gösterdi. Yapay zeka tarafından oluşturulan derin sahtekarlıklar ve sentetik kimlik sahtekarlığı gibi tehditler bu eğilimi nasıl etkiliyor?
Tehdit manzaramız genel olarak yoğunlaşmaya devam ederken, yapay zeka tarafından oluşturulan derin sahtekarlıklar ve sentetik kimlik sahtekarlığı yangını körüklüyor. Yapay zeka destekli saldırılar aynı anda kişiselleştirilmiş saldırıların ölçeğini artırırken gerekli beceri düzeyini de azaltır. Saldırıların ~%80’ini oluşturan daha az karmaşık veya kolay dolandırıcılıktır. Ancak, yalnızca son 6 ayda kolay dolandırıcılık toplamın %60’ının biraz üzerine düştü ve bu eğilimin devam etmesi bekleniyor.
Deepfake yazılımındaki iyileştirmeler herkesin resim, ses ve video da dahil olmak üzere hiper gerçekçi dijital içerik oluşturmasını kolaylaştırıyor. Dolandırıcılar o kadar iyiye gidiyor ki, biyometrik doğrulama ve tanımlamayı atlatmak için deepfake kullanmaya başladılar. Üretken yapay zeka araçları aynı zamanda dolandırıcılara, sosyal medyadan ve diğer çevrimiçi hizmetlerden kişisel bilgileri kazımak için yapay zeka botlarını kullanarak geniş ölçekte sentetik kimlikler oluşturmanın bir yolunu da sunuyor. Daha sonra, yüksek vasıflı bir dolandırıcının hizmetlerini başkalarına sunduğu “hizmet olarak dolandırıcılık” ortaya çıkıyor.
Sıfır güvenin benimsenme oranlarında çarpıcı bir eşitsizlik var ve ABD kuruluşları geride kalıyor. Bu durum şu soruyu gündeme getiriyor: Batılı kuruluşların sıfır güven çerçevelerini uygulamakta neden daha fazla zorluk çektiğini düşünüyorsunuz?
Ulus devlet saldırganlarının özellikle Batılı hedeflere odaklandığı, yoğunlaşan tehdit manzarasının, bu ülkelerdeki birçok siber ekibi genellikle sıfır güven uygulaması gibi daha uzun vadeli ve daha stratejik arayışlar pahasına hiper-reaktif olmaya zorladığını düşünüyorum.
Ayrıca, çoğu Batılı kuruluşun, genellikle BT, güvenlik ve altyapı dahil olmak üzere farklı silolanmış ekipler tarafından yönetilen çok sayıda sertifikayla birlikte hibrit bir şekilde çalışan geniş kurulu eski taban sayesinde daha karmaşık ve katı bir teknoloji altyapısına sahip olduğunu düşünüyorum. Bu da kurum çapında sıfır güven stratejisi izlemeyi daha da zorlaştırıyor.
Ayrıca bazı batılı kuruluşlardaki üst düzey liderlerin, şirket çapında sıfır güven stratejisi benimseme ihtiyacına sahte bir bağlılık gösterip göstermediğini de sorguluyorum. Sıfır güven, post-kuantum (PQ) kavramına benzeyen varoluşsal bir kavramdır; herkes hazırlanmaları gerektiğini biliyor, ancak bugün olması şart değil. Kovid sonrası dünyamızda, üst düzey yöneticiler arasında genellikle çok fazla rekabet halindeki öncelikler ve buna ek olarak önemli ve kısa vadeli finansal geri dönüş sağlamayan büyük ölçekli yatırımları engelleme eğiliminde olan kırılgan bir ekonomik ortam var.
Sıfır güvene yönelik artan üst düzey liderlik desteğine rağmen birçok kuruluş, beceri ve bütçe eksikliği nedeniyle zorluklarla karşı karşıyadır. Şirketler sıfır güven stratejilerini uygulamak için bu boşlukları nasıl giderebilir?
Bu durum bir kez daha, üst düzey liderliğin CISO’lara kurumsal çapta sıfır güven stratejisi uygulamak için sahte bir bağlılık gösterip göstermediği sorusunu gündeme getiriyor. Sonuçta kurum içi uzmanlık eksikliği ve yeterli bütçe, kaynakların, araçların ve eğitimin finansmanı yoluyla büyük ölçüde kurumun kontrolü altındadır.
Dolayısıyla, eğer tepede bir boşluk varsa, üst düzey liderliğinizin ve yönetim kurulunuzun sıfır güven ile güçlü kurumsal yönetim arasındaki kritik bağlantıyı kurmasına yardımcı olun. Sürekli yoğunlaşan bir tehdit ortamı, üst düzey liderlik ekiplerinin ve yönetim kurullarının doğru yatırımları yapma ve kurumu ve paydaşlarını güvende tutmaya yardımcı olacak stratejik rehberlik ve gözetim sağlama konusunda özen gösterme görevine sahip olduğu anlamına gelir. Sıfır güven ile bu stratejik bağlantıyı kurmanın bir başka motivasyonu olarak federal kurumlar, ihlal açıklamalarını hızlandırma ve yöneticileri güvenlik ve veri gizliliği olaylarından sorumlu tutma çabalarını sürdürüyor.
Bunun ötesinde, teknik ekipler için sürekli eğitim ve gelişim fırsatlarıyla kapsayıcı bir şirket kültürünün inşa edilmesi ve sürdürülmesi ihtiyacını dile getiren en iyi teknoloji yeteneklerinin kaynaklanması ve elde tutulmasıyla ilgilidir. Örneğin, güvenlik ekiplerinin nöro-çeşitli yeteneklere sahip olmasını sağlamak, yeni yapay zeka destekli saldırı stratejilerini tespit etmek ve azaltmak için gereken çeşitli düşünme biçimlerini teşvik etmek açısından önemlidir.
Şu anda sıfır güven çerçevelerini uygulamada ve kuruluşlarının siber güvenlik duruşunu iyileştirmede zorluklarla karşı karşıya olan CISO’lara ne gibi tavsiyelerde bulunursunuz?
Sıfır güven yolculuğunun başlangıcında her şey biraz göz korkutucu görünebilir: Nereden başlamalı, neye öncelik verilmeli, hangi tedarikçi çözümünü seçmeli vb. Kimlikler genellikle bir kuruluş için en büyük risk alanıdır ve bunu cihazlar takip eder; o yüzden oradan başlayın.
Sonra sıfır güven şifreleme paradoksu var. PKI ve kriptografi, sıfır güven stratejisinin kritik bileşenleridir, ancak buna bağlı olarak sertifikaların çoğalması, istemeden siber riski artırabilir. Bu paradoksu çözmek için herhangi bir kuruluşun sıfır güven yolculuğundaki kritik ilk adımlar, tüm kriptografik varlıkların tanımlanması ve envanterinin çıkarılması ve ardından net bir sahiplik oluşturulmasıdır.
Ayrıca, CISA’nın Sıfır Güven Olgunluk Modeli 2.0 ve yakın zamanda yayımlanan NIST Siber Güvenlik Çerçevesi 2.0’ın her ikisi de bir kuruluşun sıfır güven yolculuğunu yönlendirmek için yararlı rehberlik sağlar.
Geleceğe baktığınızda sıfır güven stratejilerinin benimsenmesi ve geliştirilmesi konusunda hangi eğilimleri öngörüyorsunuz? Önümüzdeki birkaç yıl içinde siber güvenliğin manzarası nasıl değişebilir?
Yapay Zeka Kuşağı’ndaki gelişmelerle birlikte, saldırıların hem ölçeği hem de hızıyla mücadele etmek için yarının siber savunmalarının yapay zeka destekli olmasını gerektiren yeni bir dolandırıcılık ve siber saldırı çağına giriyoruz.
Ayrıca hedef türlerinde çeşitliliğin devam etmesini bekliyorum. Son birkaç yılda fidye yazılımlarının hızla büyümesi, su arıtmadan araç paylaşımına, otellere ve ötesine kadar her kuruluşun kelimenin tam anlamıyla yüksek değerli bir hedef haline gelebileceğini gösterdi. Bu da her şekil ve büyüklükteki kuruluşun sıfır güven konusunu ciddiye alması gerektiği anlamına geliyor.
Son olarak kimlik (kullanıcı ve makine) sıfır güvenin temel taşıdır. Bu nedenle, dijital kimliği doğru bir şekilde kullanmak küresel güvenlik, istikrar ve refah açısından kritik öneme sahiptir. Şu anda dünya çapında, AB’nin Dijital Kimlik düzenlemesi ve Yapay Zeka Yasası ile ilgili düzenleme yanlısı duruşundan, ABD’deki büyük teknoloji şirketlerinin öncülük ettiği daha inovasyon yanlısı yaklaşıma kadar çok farklı yaklaşımlar var. Bunun nasıl sonuçlanacağı, gelecek nesiller için sıfır güvenin ve siber güvenliğin geleceğini şekillendirecek.