2023, siber güvenlik sektörü için yine dönüştürücü bir yıl oldu. Yapay zekanın ortaya çıkışı güvenlik ekiplerine önemli avantajlar sağladı, ancak siber suçlara giriş engellerini de aynı derecede azalttı. 3CX’teki gibi yüksek profilli tedarik zinciri saldırıları, tedarik zinciri güvenliğinin kuruluşlar için temel bir öncelik haline gelmesini sağlarken, küresel gerilimler de tehdit ortamına daha fazla karmaşıklık katmanı ekledi.
Peki işler bundan sonra nereye gidecek? Aynı yıla mı doğru gidiyoruz, yoksa ufukta yeni tehditler mi var? Önümüzdeki yıl neler beklenebileceğine dair içgörülerini almak için dokuz güvenlik uzmanıyla konuştuk.
Güvenlik birinci öncelik olmaya devam edecek
Ne yazık ki, 2024 yılında güvenlik tehditlerinin sayısında bir azalma olması pek mümkün görünmüyor. Aslında, bir Hewlett-Packard Enterprise şirketi olan Zerto’nun kıdemli teknoloji misyoneri Christopher Rogers şunu savunuyor: “2024, şüphesiz çok daha karmaşık ve incelikli siber saldırıları beraberinde getirecek” .”
“Güvenlik ekipleri saldırganlara karşı güçlendirmek için yeni yöntemler geliştirmeye ve teknoloji uygulamaya devam ettikçe, tehdit aktörleri de onları atlatmak için yaratıcı yöntemlerle aynı şekilde mücadele ediyor” diye açıklıyor. “Önceden fidye yazılımı saldırganları kurbanlarının verilerine erişim sağladığında ya çalar ya da kilitlerlerdi; şimdi ise ikisini birden yapıyorlar. Bu çifte gasp taktiği artık, bir kuruluş verilerini kurtarabilse bile saldırganların bilgiyi sızdırması anlamına geliyor. Bununla bağlantılı olarak, daha fazla siber suçlunun özellikle işletmelerin saldırılardan kurtulmasına yardımcı olan ve felaket kurtarmayı her zamankinden daha da zorlaştıran araçların peşine düştüğünü görüyoruz.”
Six Degrees’in Siber Güvenlik Güvencesi Teknik Direktörü Andy Swift, tehdit aktörlerinin taktiklerinin geliştiğini kabul ediyor. “Kullanıcı, saldırgan tarafından kontrol edilen bir altyapı ve son meşru konum arasında MFA isteklerini gerçek zamanlı olarak proxy olarak kullanarak çok faktörlü kimlik doğrulama (MFA) gereksinimlerini atlamayı amaçlayan kullanıcılara yönelik saldırılarda büyük artışa” dikkat çekiyor.
Şunları ekliyor: “Bu, MFA isteğini başlatmak için (genellikle kimlik avı yoluyla elde edilen veya karanlık ağdan satın alınan) kimlik bilgilerinin bilinmesini gerektirir, ancak MFA isteği meşru kullanıcı tarafından onaylandıktan ve saldırgana meşru konuma proxy iletildikten sonra Başarılı MFA isteğinden sonra verilen oturum belirtecini kolayca yakalayabilir ve çalabilir. Bu saldırı yöntemi genellikle oldukça karmaşıktır ve bu nedenle o kadar da belirgin değildir, ancak giderek daha fazla insan nihayet MFA’yı uygulamaya başladıkça, karanlık ağda ortaya çıkan ve tüm süreci otomatikleştirebilen çok sayıda hizmet olarak kimlik avı çerçevesinin ortaya çıkışıyla birleşiyor. Tek bir düğmeye tıkladığınızda trendin yalnızca 2024’te yükselmesi bekleniyor.”
Commvault EMEA ve Hindistan Kıdemli Başkan Yardımcısı Richard Gadd, siber tehditlerin giderek artan karmaşıklığına yanıt olarak, “2024 yılında üst düzey yöneticilerin siber hazırlık konusundaki katılımlarını şüphesiz artıracaklarını” öngörüyor.
“Bu yıl IDC araştırması, üst düzey yöneticilerin yalnızca %33’ünün siber hazırlık girişimlerine dahil olduğunu, ancak bu liderlerin %61’inin önümüzdeki 12 ay içinde bir saldırının işlerini ciddi şekilde etkileyebileceğine inandığını ortaya çıkardı.”
Gadd şunu ekliyor: “Bunu akılda tutarak, veri koruma ve veri güvenliği konularına yeni bir odaklanma yapılması ve sağlam temellere dayanan bir siber dayanıklılık yapısı oluşturulması gerekiyor. Dijital Operasyonlar Dayanıklılık Yasası’nın (DORA) Ocak 2025’te yürürlüğe gireceğini ve sektör liderlerine bu yasanın güvenlik gereksinimlerini karşıladıklarından emin olmaları için yalnızca 12 ay süre tanıyacağını düşünürsek bu daha da önemli hale geliyor. Siber hazırlıklılığa yönelik bu hamle, üst düzey üyelerin daha güvenilir ve bütünsel bir güvenlik duruşu oluşturmaya daha fazla bağlılık göstermesiyle, acil bir durum olarak yukarıdan aşağıya doğru gelmelidir.”
PlainID kurucu ortağı ve CTO’su Gal Helemski’ye göre özellikle “2024’e doğru ilerlerken kimlik güvenliği güvenlik ortamında en önemli önceliklerden biri olacak”. “Kuruluşlar, bir kuruluşun genel güvenliği için bir numaralı risk faktörü haline geldiğinden, kimlik güvenliği duruşlarını (başka bir deyişle kimlikler ve bunların dijital varlıklarla bağlantıları) anlamaya, keşfetmeye ve yönetmeye çalışacaklar.”
Yapay zekanın ortaya çıkışı
Bu yıl yapay zeka dünyasında, özellikle de üretken yapay zeka konusunda büyük ilerlemeler gördük. Heyecan verici bir şekilde, bunun güvenlik sektörüne büyük faydalar getirme potansiyeli var.
Next DLP Ürün Sorumlusu John Stringer, “2024’te yapay zeka, siber güvenlik risk önleme karar alma süreçlerini daha iyi bilgilendirecek” diyor. “Yapay zekanın 2030 yılına kadar yıllık %35’ten fazla büyüyeceği tahmin edilirken, işletmeler çeşitli departmanlardaki süreçleri kolaylaştırmak için teknolojiyi hızla benimsedi. Yüksek riskli verileri belirlemek, potansiyel iç tehdit faaliyetlerini izlemek, yetkisiz kullanımı tespit etmek ve veri işleme politikalarını uygulamak için yapay zekayı kullanan kuruluşları zaten görüyoruz. Gelecek yıl boyunca yapay zeka, riskli faaliyetleri tespit edip ardından hareketlerini analiz edip buna göre yanıt verebilen BT ekiplerini uyararak veri kaybı önleme (DLP) ve İçeriden Risk Yönetimi (IRM) çabalarına güç verecek ve böylece daha fazla siber güvenlik sorununun ortaya çıkmasını önleyecek.”
Cyware Araştırma ve İnovasyon Kıdemli Başkan Yardımcısı Avkash Kathiriya, yapay zekanın gelecek yıl güvenlik ekiplerine değer katacağını kabul ediyor: “2024’e girerken, tehdit istihbaratının yapay zeka ve makine öğrenimi gibi teknolojilerle entegrasyonunun hızlanması bekleniyor. giderek daha karmaşık hale gelen siber saldırıların sürekli barajı. Bu entegrasyon, tehdit tahmini ve yanıt yeteneklerini geliştirmek için çalışacaktır. İç ve dış tehdit istihbaratının paylaşılmasında sektörler arası iş birliği eğilimi de daha yaygın hale gelecek ve sağlam ve uyarlanabilir siber güvenlik stratejileri oluşturmadaki rolünün altı çizilecek. Bu, sektörde değişime yol açacak ve güvenilir topluluk istihbaratının ticari istihbarattan daha değerli hale geldiğini göreceğiz.”
Bir uyarı notu
Ancak yapay zekanın büyük faydalar sağlama potansiyeli olmasına rağmen HackerOne CTO’su Alex Rice, kuruluşları dikkatli davranmaya çağırıyor. “Önümüzdeki yıl boyunca aşırı iyimser birçok şirketin üretken yapay zekanın (GenAI) yeteneklerine çok fazla güvendiğini göreceğiz – ancak güvenliğin temellerini unutamayız” diye açıklıyor. “Etik hacker topluluğumuzun neredeyse yarısı (%43) GenAI’nin kuruluşlar için kod içindeki güvenlik açıklarında artışa neden olacağına inanıyor. Bu teknoloji geliştikçe insan gözetiminin GenAI güvenliğinde oynadığı vazgeçilmez rolün farkına varmak çok önemlidir.
“GenAI’nin kuruluşlar için oluşturduğu en büyük tehdit, rekabete ayak uydurmak için teknolojiyi kendi başlarına aceleyle uygulamalarıdır. GenAI, üretkenliği artırmak için muazzam bir potansiyele sahip ancak uygulama sırasında temel güvenlik hijyenini unutursanız, kendinizi önemli siber güvenlik risklerine açık hale getirirsiniz.”
Exabeam Mühendislikten Sorumlu Başkan Yardımcısı Matt Rider, yapay zekanın 2023’te aşırı abartıldığına inanıyor. “Yapay zeka teriminin ChatGPT gibi üretken yapay zeka araçları sayesinde yeniden sahneye çıkmasından bu yana, satıcılar yapay zeka heyecanından yararlanmaya istekli oldu. Sonuç olarak, şu anda terimin aşırı kullanıldığını, yanlış sunulduğunu ve abartıldığını görüyoruz. 2024’te bu büyümeyi görmeye devam edeceğimizi umuyorum.”
Satıcıların ‘AI’ ürünlerini nasıl pazarlamayı planladıkları konusunda çok dikkatli olmaları gerektiği konusunda uyarıyor. Zaman geçtikçe terim daha az gizemli hale gelecek ve müşteriler yapay zekanın gerçekte ne olduğu ve ondan makul olarak ne beklenmesi gerektiği konusunda giderek daha bilgili hale gelecek. Satıcıların, yüzeyi çizdikten sonra yapay zeka teknolojilerinin mükemmel şekilde geçmesini sağlamaları gerekir. Gerçekten de, ister yazılım satıcısı ister son kullanıcı olun, her ikisi için de aynı dikkat gereklidir; ürününüze veya işinize yapay zekayı dahil ederek neyi başarmayı umduğunuzu dikkatlice düşünün ve bir satıcıysanız daha da fazla düşünün. Herhangi bir ürünü ‘Yapay Zeka destekli’ olarak etiketleme konusunda dikkatli olun ya da yapay zeka konusunda giderek daha fazla bilgilenen ve yapay zekadan yorulan müşterilerden ve potansiyel müşterilerden gelen gerçek bir tepki riskini göze alın.”