Bu Help Net Security röportajında, Quest Software’de Başkan ve Genel Müdür olan John Hernandez, gelişmiş tehditlere karşı siber güvenlik dayanıklılığını artırmak için pratik tavsiyelerde bulunuyor. Şirket içi ve bulut ortamlarına odaklanma, yeni düzenlemelere uyum sağlama ve tedarik zinciri güvenlik açıklarını ele alma ihtiyacının altını çiziyor.
Hernandez ayrıca yapay zeka ve sıfır güven mimarisinin gelecekteki siber güvenlik stratejilerinde nasıl önemli unsurlar haline geldiğini anlatıyor.
Kuruluşlar, siber saldırıların giderek daha karmaşık hale gelmesine yanıt olarak siber güvenlik dayanıklılıklarını artırmak için hangi pratik adımları atabilir?
Kuruluşların korumaları gereken altyapıyı ve karşı dayanıklı olmaları gereken tehditleri tam olarak anlamaları hayati önem taşır. Güvenlik mimarisini düşünürken, akla ilk olarak sıfır güven gelir ve bunun iyi bir nedeni vardır: Yaygın olarak tanınmakta ve giderek daha fazla benimsenmektedir. Ancak sıfır güven, genellikle bulut ortamlarına odaklanan sinyallere dayanır ve bu da şirket içi Active Directory gibi kritik bileşenlerin sıklıkla göz ardı edilmesine neden olur. Birçok kuruluş hala şirket içi altyapıyı kullandığından, aynı ilkeleri şirket içi Active Directory’ye uygulamak önemlidir.
Bir kuruluşun atması gereken ilk adımlardan biri, tehlikeye atılırsa tüm kuruluşu etkileyebilecek olan şirket içi Active Directory’deki nesneleri kategorize etmektir. Bir ihlal olduğunu varsaymalıyız, bu nedenle bir ihlalin patlama yarıçapını azaltmalıyız, böylece tüm kuruluşu etkilemez. Active Directory’de buna Kademe 0 denir ve birçok kuruluş Kademe 0 nesnesinin ne olduğunu bile tanımlamamıştır, bu da onları savunmasız bırakır.
Güçlü erişim kontrolleri uygulamak, sistemleri düzenli olarak güncellemek ve uç nokta güvenliğini artırmak hayati adımlardır. Ancak, PAM gibi bir dizi güvenlik aracı satın almak ve sorunun çözüldüğünü varsaymak yeterli değildir. Kuruluşların, bu tür sistemlere yerleştirilebilecek kadar kritik olan nesneleri belirlemeleri gerekir; bu, birçok kişinin ihmal ettiği bir adımdır.
‘Teknik’ önlemlerin uygulanmasının yanı sıra, çalışanlar için siber güvenlik eğitimine yatırım yapmak, uyanık kalmak ve değişen siber tehditlere uyum sağlamak için olmazsa olmazdır.
Küresel eğilimler ve jeopolitik gerginlikler siber güvenlik dayanıklılık stratejilerini nasıl etkiliyor?
Jeopolitik gerginliklerin arka planında, siber tehdit ortamı kapsam ve karmaşıklık açısından önemli ölçüde büyüyor. Kuruluşlar, güvenlik ihlallerinin günümüz ortamında kaçınılmaz olduğu zihniyetini benimsemelidir. Hükümetler tarafından desteklenen ve dolayısıyla kaynaklara erişimi olan siber saldırganların artan karmaşıklığı ve yetenekleri, hiçbir sistemin saldırılara karşı tamamen bağışık olamayacağı gerçeğini vurgulamaktadır.
Bulut bilişim ve yapay zeka gibi teknolojilerin yaygın olarak benimsenmesi, derhal ele alınması gereken yeni güvenlik riskleri ve potansiyel saldırı yolları da getiriyor. Bunu gerçekleştirmek için, kuruluşların siber güvenlik yaklaşımlarını olayları önlemeye odaklanmaktan, tespit, yanıt ve kurtarma önlemlerini içeren daha bütünsel bir strateji benimsemeye kaydırmaları hayati önem taşıyor.
Örnek olarak CrowdStrike’ı ele aldığımızda, siber güvenlik zorluklarının kasıtlı saldırıların ötesine geçtiği ve bir organizasyonun dayanıklılığı üzerinde zararlı etkilere sahip olabilecek kazara yanlış yapılandırmalara kadar uzandığı açıkça ortaya çıktı. Bu, riskleri yönetmek için kapsamlı bir yaklaşıma duyulan ihtiyacı vurguluyor. Teknolojiye olan bağımlılığın artmasıyla, geleceğin ne getireceği konusunda hiçbir kesinlik olmadığından beklenmeyen durumlara hazır olmak önemlidir.
Kuruluşlar siber dayanıklılık stratejilerini gelişen düzenleyici gereklilikler ve standartlarla nasıl uyumlu hale getirmelidir?
Sadece uyumluluk standartlarını karşılamanın güvenliği garantilemediğini kabul etmek çok önemlidir; bu, kuruluşların yerine getirmesi gereken asgari gerekliliktir. NIST veya ISO 27001 gibi güvenlik çerçeveleri, kuruluşların güvenlik duruşlarını değerlendirmelerine ve iyileştirme alanlarını belirlemelerine yardımcı olur. Dahası, bu çerçeveler yönetimin riskleri etkili bir şekilde anlamasını ve ele almasını ve öncelikleri belirlemesini destekler. Ancak, uyumluluk hayati önem taşısa da kapsamlı bir siber dayanıklılık oluşturmak için yeterli değildir.
Şirketlerin, yalnızca yönetmeliklere uymanın ötesine geçen, güvenliğe stratejik ve bütünsel bir yaklaşım benimsemeleri gerekir. Bu, siber dayanıklılık planının temeline uyumluluğu entegre etmek ve aynı zamanda mümkün olduğunda belirli TTP’leri (taktikler, teknikler ve prosedürler) caydırmak için hem kurtarmaya hem de proaktif önlemlere odaklanmak anlamına gelir.
Kuruluşlar tedarik zincirindeki güvenlik açıklarına ilişkin siber dayanıklılıklarını nasıl güçlendirebilirler?
Başlamak için, şirketlerin risk değerlendirmeleri yapması ve tedarikçilerinin siber güvenlik duruşunu incelemesi esastır. Buna Ticaret Anlaşmaları Yasası (TAA) uyumluluğu ve yapı süreçlerinin incelenmesi dahildir. Yazılımın nerede ve nasıl geliştirildiğini anlamak, özellikle Bağımsız Yazılım Satıcılarını (ISV’ler) etkileyebilecek jeopolitik gerginlikler ışığında hayati önem taşır.
Kuruluşlar, tedarik zinciri ortaklarıyla paylaştıkları verileri etkili bir şekilde korumak için sıkı erişim yönetimi politikaları uygulamalıdır. Ayrıca, bir nesnenin yalnızca güvenlik bağımlılıkları kadar güvenli olduğunu belirten temiz kaynak ilkesine benzer şekilde tedarik zincirlerini dikkatlice değerlendirmelidirler. Başka bir deyişle, kuruluşunuz yalnızca iş yaptığı şirketler kadar güvenlidir. Bu yöntem, tedarik zincirine yalnızca güvenilir kaynakların entegre edilmesini sağlar.
Son olarak, sağlam bir tedarik zinciri stratejisi oluşturmak ve iş sürekliliği planlarını uygulamak, potansiyel güvenlik ihlallerinin etkisini büyük ölçüde azaltabilir.
Siber güvenlik dayanıklılığının geleceğini şekillendiren hangi eğilimleri görüyorsunuz? Alanı önemli ölçüde etkileyecek herhangi bir yeni teknoloji veya uygulama var mı?
Kuruluşlar artık modern siber güvenlik zorluklarıyla başa çıkmak için en iyi stratejilerini aktif olarak arıyorlar.
Sıfır güven mimarisi popülerlik kazanmaya devam ediyor, bunun başlıca nedeni bazı şirketlerin şirket içi Active Directory’lerini sıfır güven mimarisi modeliyle değiştirmeyi düşünmeleri. Ancak, modern çözümlerle kolayca uyumlu olmayan eski uygulamalarla uğraşırken bazı zorluklar yaşıyorlar. Bu sorunun çözülmesinin yakın gelecekte önemli bir trend olması bekleniyor.
Yapay zekayı siber güvenlik dayanıklılığının geleceğini şekillendirmede ön planda görüyoruz. Microsoft Copilot ile iş birliklerimiz sayesinde bu konuda olumlu ilerlemeler görüyoruz. Önümüzdeki yıllarda yapay zekanın siber güvenlik çözümlerine entegrasyonunda artış olacak ve Microsoft’a sunduğumuz içgörülerin ve sinyallerin güvenlik önlemlerini zamanla büyük ölçüde iyileştireceğine inanıyorum.
Son olarak, Kimlik Tehdit Algılama ve Yanıtlama (ITDR) her zaman önemli olmuştur, ancak artık kuruluşlar tarafından siber güvenliğin kritik bir bileşeni olarak daha sık görülmektedir. Daha fazla kuruluş sıfır güven mimarisine doğru ilerlemeye çalıştıkça, parçalanmış çözümler kullanmak yerine kimlik güvenliğine yönelik stratejik ve bütünsel bir yaklaşımı daha sık önceliklendireceklerdir.