Geçtiğimiz birkaç yılda, yaygın dil hataları, üstü örtülmemiş kötü amaçlı veriler ve çoğu zaman tuhaf bahanelerle geleneksel kimlik avı mesajları düşüşe geçti. Günümüzün standart e-posta güvenlik araçlarının çoğu tarafından kolayca tespit edilen (ve çoğu alıcı için tamamen ikna edici olmayan) bu prototip kimlik avı biçimi, yakında geçmişte kalmış olabilir.
Ancak kimlik avının bu daha geleneksel biçimi bir kenara bırakılırken, çok daha rahatsız edici yeni bir eğilim ortaya çıktı. Hızla büyüyen GenAI araçları ekosisteminden güç alan tehdit aktörleri, hedef odaklı kimlik avı, VIP kimliğine bürünme ve iş e-postasının ele geçirilmesi (BEC) gibi daha gelişmiş, sosyal mühendislik odaklı saldırılara yöneliyor.
Bu eğilimle mücadele etmek için CISO’ların siber güvenliğe yaklaşımlarını temelden yeniden düşünmesi gerekiyor ve bu da doğru politikaların yürürlüğe girmesiyle başlıyor.
Yeni politika temel savunma katmanını sağlıyor
İşte her CISO’nun, günümüzün siber zorluklarına tam anlamıyla hazırlıklı olmak amacıyla BEC politikalarını uyarlarken dikkate alması gereken bazı spesifik fikirler ve pratik adımlar:
Görevler ayrılığını (SoD) benimseyin — Kuruluşların hassas verileri ve varlıkları yönetmek için SoD veya iş bölümü süreçlerini benimsemesi zorunludur. Örneğin, faturaları veya maaş bordrosunu ödemek için kullanılan banka hesap bilgilerinde yapılacak herhangi bir değişiklik, en az iki kişinin (ideal olarak üç) yetkilendirilmesini gerektirmelidir. Bu şekilde, bir çalışan ödemeyi yeniden yönlendirmeyi talep eden bir sosyal mühendislik saldırısına düşse bile, açık bir emir komuta zincirini yerine getiren, ara boşluk görevi görecek ve aktarımı önleyecek ek paydaşlar olacaktır.
Düzenli güvenlik eğitimi verin – Bir ons tedbir, bir kilo tedaviye bedeldir. Özellikle hassas verilerle çalışan personele ve genellikle BEC’in hedefi olan yöneticilere düzenli güvenlik eğitimi verin. Bu, güncel, gerçek dünya saldırılarını örnek olarak kullanan canlı talimatları (isteğe bağlı testlerle birlikte), güvenlik farkındalığı eğitimi (SAT) videoları ve testlerini ve kimlik avı simülasyon testini (PST) içermelidir.
Bu yeni sosyal mühendislik odaklı saldırı türü, geleneksel güvenlik çözümlerinden kaçma konusunda belirgin şekilde daha iyidir. Sonuç olarak, çalışanların gelen kutularına çok daha fazla kötü amaçlı e-posta girecek. Eğitim ve testlere yatırım yaparak, çalışanlarınız bu tehditlere karşı son savunma hattı olarak yükümlülük yerine varlık haline gelecektir. Ve çalışanların gerçekten zor durumda olduğundan emin olun.
Düşük tıklama oranları elde etmek kağıt üzerinde iyi görünse de eğitim ve testlerin amacı yalnızca düzenleyicileri veya sigorta şirketlerini memnun etmek değildir. Amaç, çalışanlarınızın ve özellikle İK, finans ve liderlik alanlarındaki en savunmasız kişilerin en yeni, en gelişmiş tehditlerden haberdar olmasını ve bunlara karşı koyabilme becerisine sahip olmasını sağlamaktır. Son olarak, çalışanı “en çok rapor edilen e-posta” veya “en hızlı muhabir” ile ödüllendirerek siber farkındalık kültürünün oyunlaştırılması, raporlamayı ilgi çekici ve eğlenceli tutarken kuruluşun genel güvenlik duruşuna katkıda bulunmayı teşvik eder.
Her zaman rapor et — Kuruluşların, tüm çalışanların potansiyel olarak kötü niyetli tüm e-postaları bildirmeye teşvik edildiği politikaları benimsemesi son derece önemlidir. Çalışanlar şüpheli bir saldırıyı basitçe silmeyi veya görmezden gelmeyi seçtiğinde, SOC ekibinin ve diğer çalışanların geniş kapsamlı bir kampanyanın (veya en azından birden fazla hedefi olan bir kampanyanın) ne olabileceğine dair bilgisini inkar etmiş olurlar. Her zaman raporlama yaparak, her BEC girişiminin tüm organizasyon için bir öğrenme fırsatı haline gelmesini sağlayabilirsiniz.
Son olarak, raporlama politikalarının “tedbirli davranma” yönündeki tercihi açıkça ifade etmesi önemlidir. Çalışanlar “iş arkadaşlarının zamanını boşa harcama” fikrine karşı duyarlı olabilir ve yanlış bir pozitifliği bildirmekten çekinebilirler. Her türlü şüphe veya şüphenin raporlamayı gerektirdiğini açıkça belirtin.
Organizasyonel ayrıntıların yayılmasını sınırlayın — Her başarılı sosyal mühendislik kampanyasının kalbinde hedef birey ve kuruluş hakkında bilgi vardır. Hangi çalışanların hangi departmanlarda çalıştığını, kimin belirli şeyleri yapma yetkisine sahip olduğunu (ödeme yapmak, maaş bordrosunda değişiklik yapmak vb.) ve şirketin genel organizasyon yapısını bilmek, tehdit aktörlerinin sosyal mühendislik çalışmalarını yapmasına olanak tanır. etkili ve ikna edici olmaya çalışır.
Ne yazık ki, OrgChart ve LinkedIn gibi sitelerin kötü aktörlere saldırılarını mükemmelleştirmek için kullanılabilecek her türlü bilgiye erişim sağlamasıyla, şirketlerin organizasyon yapıları hakkında ayrıntılı bilgi vermek giderek yaygınlaşıyor. Tüm kurumsal ve operasyonel bilgilerin gizli tutulması mümkün olmasa da kuruluşların bu tür bilgilere “bilinmesi gerekenler” esasına göre erişim sağlayan politikalar benimsemesi önemlidir.
Ayrıca, kamuya açık iş listelerinde kuruluşun adının gizli tutulması gibi basit politika değişiklikleri, sosyal mühendislik yoluyla uzlaşmanın önlenmesinde uzun bir yol kat edebilir.
Eski güvenlik sistemlerini yeniden değerlendirin — Üretken yapay zekanın kamuya açık olduğu kısa süre içinde siber güvenlik ortamını tamamen yeniden şekillendirmeyi başardı; bu nedenle kuruluşların savunma güvenliği yeteneklerinin güncel ve “Yapay Zekaya hazır” olmasını sağlayacak politikalar benimsemesi zorunludur.
Sürekli yapay zeka hazırlığını sağlamanın en etkili yollarından biri, statik güvenlik sistemlerinden uyarlanabilir güvenlik sistemlerine geçiş yapmaktır. Yapay zekanın etkin olduğu saldırı teknolojileri nasıl hızla gelişiyorsa, yapay zekanın etkin olduğu savunma araçları da öyle. Bu “ateşe ateşle karşılık verme” yaklaşımı, yapay zeka tabanlı siber güvenlik çağına girdiğimizde yakında bir ön koşul haline gelecek.
Günümüzün dinamik tehdit ortamı güncellenmiş politikalar gerektiriyor
Üretken yapay zeka, siber güvenlik alanını sonsuza dek değiştirdi. İki yıldan kısa bir süre içinde tehdit ortamının bu teknolojiler tarafından yeniden şekillendirildiğini gördük. Bu araçlar hem erişim hem de yetenek açısından genişlemeye devam ettikçe, kısa süre sonra kendimizi tek gerçek sabitin değişim olduğu bir ortamda bulabiliriz.
Etkili, güncel politikalar bir kuruluşun siber güvenlik stratejisinin temelini oluşturur ve genel güvenlik duruşunun güçlü belirleyicileridir. Yukarıdaki liste hiçbir şekilde kapsamlı olmasa da, en azından her CISO’ya kendi politika belgelerini güncellemek ve geliştirmek için iyi bir başlangıç noktası ve yapay zekaya hazırlık yarışında çok ihtiyaç duyulan bir avantaj sağlamalıdır.