Görünmez Tehdit: Üçüncü Taraf Risk Yönetimini Yeniden İnşa Etme
Siber güvenlik liderleri anketlerde boğulurken, tehdit aktörleri verilerde yüzüyorlar. Satıcı risk yönetimine geleneksel yaklaşım bozuldu ve Black Uçır, kuruluşların dijital ekosistemlerini nasıl koruduğunu dönüştüren devrimci bir çözüme öncülük ediyor.
Black Kite Baş Araştırma ve İstihbarat Sorumlusu Ferhat Dikbiyik, çoğu CISOS’un göz ardı ettiği kritik kırılganlığı anlıyor. Dikbiyik, “Şimdi, herhangi bir şirket için saldırı yüzeyi hakkında konuştuğumuzda, bu sadece kendi ortamınız değil – üçüncü taraflarınız, satıcılarınız bu saldırı yüzeyinin bir uzantısıdır” diye açıklıyor.
Modern siber tehdidin anatomisi
Kötü şöhretli hedef ihlalini düşünün – hala siber güvenlik çevrelerine titreme gönderen uyarıcı bir hikaye. Küçük bir HVAC satıcısı, birbirine bağlı iş ağlarının kırılganlığını gösteren büyük bir veri uzlaşmasının geçidi haline geldi.
Black Kite’nın yaklaşımı geleneksel risk değerlendirme yöntemlerinin ötesine geçer. Şirket, tek bir anda bir güvenlik görüntüsü sağlayan yıllık anketlere güvenmek yerine, siber uzaydan ve karanlık ağdan sürekli istihbarat toplantısından yararlanır.
Dikbiyik, “Üçüncü taraf siber riski yönetmenin mevcut sistemi anketlerdir” diyor. “Yılda bir veya iki kez bazı anketler gönderirsiniz, cevaplar toplarsınız ve siber güvenlik olgunluklarını anlamaya çalışırsınız. Ancak bu, güvende olduğunuz anlamına gelmez.”
AI ile çalışan risk devrimi
Black Uçır’ı birbirinden ayıran şey, yapay zeka ve benzersiz risk metriklerinin yenilikçi kullanımıdır.
Şirketin fidye yazılımı duyarlılık endeksi (RSI), fidye yazılımı olasılığını tahmin etmek için binlerce potansiyel kurbanı analiz eden bir oyun değiştiricidir. En çarpıcı olanları istatistikleridir: RSI değeri 0.8’in üzerinde olan şirketlerin fidye yazılımı saldırısı yaşama şansı% 47’dir.
Başarılı fidye yazılımı saldırılarının nispeten nadir olduğu bir manzarada, bu öngörücü güç devrim niteliğindedir.
Tehdit manzarası savunma stratejilerinden daha hızlı gelişiyor
Tehdit aktörleri artık derin keşif yapmak için gelişmiş AI araçlarını kullanıyor. Rastgele hedefleri seçmiyorlar, ancak sofistike istihbarat toplantısına dayalı kurbanları stratejik olarak seçiyorlar.
Dikbiyik, “Bu tehdit aktörleri Zoom Info ve yeni LLM tabanlı araçlar gibi satış zekası araçlarını kullanıyor” diyor. “Potansiyel kurbanlar hakkında AI destekli platformlar kullanarak, belirli ülkeleri, endüstrileri ve gelir aralıklarını bilerek hedefleyen derin aramalar yapabilirler.”
Satıcı risk yönetimine yeni bir yaklaşım
Black Kite’nın en son inovasyonu olan Rakip Duyarlılık Endeksi (ASI), risk değerlendirmesini bir sonraki seviyeye taşıyor. Sadece güvenlik açıklarını tanımlamakla kalmaz, aynı zamanda dağınık örümcek veya APT42 gibi durum destekli gruplar gibi belirli tehdit aktörlerine duyarlılığı belirler.
CISO’lar için pratik uygulama
Güvenlik liderleri için mesaj açıktır: geleneksel risk yönetimi artık yeterli değildir.
Gelecek talepleri:
- Sürekli, gerçek zamanlı risk zekası
- AI ile çalışan tehdit tespiti
- Proaktif satıcı iletişimi
- Otomatik Risk Yanıt Mekanizmaları
Otomatik Siber Savunma Vizyonu
Dikbiyik, AI ajanlarının özerk iletişim kurduğu, insan müdahalesi olmadan riskleri tanımladığı ve yanıtladığı bir geleceği öngörüyor. “Gecenin ortasında bir olayın gerçekleştiğini hayal edin, AI ajanları risk zekası tüketir ve satıcılarla hemen iletişim kurar” diye açıklıyor.
CISOS için Pratik Adımlar
- Anket tabanlı değerlendirmelerin ötesine geçin
- Sürekli risk izleme uygulayın
- AI ile çalışan istihbarat platformlarından yararlanın
- Proaktif satıcı iletişim stratejileri geliştirin
Harekete geçme çağrısı
Siber güvenlik artık duvarlar inşa etmekle ilgili değil – tehditleri gerçekleşmeden önce tespit edebilen, tahmin edebilen ve etkisiz hale getirebilen akıllı, uyarlanabilir ekosistemler yaratmakla ilgilidir. Siyah uçurtma bir teknoloji çözümünden daha fazlasını temsil eder. Kuruluşların siber riski nasıl kavramsallaştırdığı ve yönetmesinde bir paradigma değişimidir. Https://blackkite.com/ adresinden daha fazla bilgi edinin
Yazar hakkında
Pete Green Bir Procloud SaaS şirketi ve ortak yazarı olan Anvil Works’lerin CISO / CTO’su mu? “VCISO Playbook: Sanal CISO’lar, küçük ve orta ölçekli işletmelere (KOBİ’ler) kurumsal sınıf siber güvenliği nasıl sunmak”. Bilgi teknolojisi ve siber güvenlik konusunda 25 yılı aşkın deneyime sahip olan Pete, tecrübeli ve başarılı bir güvenlik uygulayıcısıdır.
Kariyeri boyunca LAN/WLAN Mühendis, Tehdit Analisti, Güvenlik Projesi Yöneticisi, Güvenlik Mimarı, Bulut Güvenlik Mimarı, Baş Güvenlik Danışmanı, BT Direktörü, CTO, CEO, Sanal CISO ve CISO dahil olmak üzere çok çeşitli teknik ve liderlik rolleri üstlendi.
Pete, federal, eyalet ve yerel yönetim dahil olmak üzere çok sayıda sektördeki müşterileri, finansal hizmetler, sağlık, gıda hizmetleri, üretim, teknoloji, ulaşım ve misafirperverlik desteklemiştir.
NSA ve DHS tarafından Bilgi Güvencesi / Siber Savunma (CAE IA / CD) ‘de Ulusal Akademik Mükemmellik Merkezi olarak kabul edilen Boston Üniversitesi’nden Bilgi Güvenliği Yüksek Lisansı’na sahiptir. Ayrıca bilişim alanında İşletme Yüksek Lisans derecesine sahiptir.