“Bildiğiniz şeytandan daha iyi şeytandan daha iyi” dediğini hiç duydunuz mu? Kısacası, bir şey veya anladığınız biriyle risk almak daha iyidir.
Siber güvenlikte, durum böyle değil. Bildiğimiz şeytanlar bilinen güvenlik açıkları, yazılım ve uygulamalarda belgelenmiş delikler veya zayıflıklardır ve her ikisi de sayıca büyüyor ve hala tahribat yaratabiliyorlar. Statista’ya göre, yılda keşfedilen ortak güvenlik açıklarının ve istismarların (CVES) sayısı sürekli artıyor ve 2023’te 29.000’den fazla keşfedildi; Bu yılın Ağustos ayından itibaren listeye 25.583 daha fazla güvenlik açığı eklendi.
Bu noktada, “Ama güvenlik açıkları biliniyorsa, bu yamalı ve güvence altına alınabilecekleri anlamına gelmez mi?” Diye düşünüyor olabilir mi? Bu sorunun cevabı evet, ancak mücadele etmesi gereken üç temel konu var:
Böylece büyük bir sorunla kaldık ve endüstri bir dizi çözüm denedi.
Headcount Yatırım
Bir şirket artan görev sayısına yatırım yapmayı seçerse, bunun ne kadar pahalı olabileceğini hızlı bir şekilde keşfederler, çünkü güvenlik 1: 1 personel sayısında ölçeklenmelidir. Genellikle, bu şirketler daha sonra bir döngüye girer:
- Bir şirket ihlal edilir.
- Şirket, güvenlik testini ölçeklenebilir hale getirmek için artan göreve yatırım yapıyor.
- Şirketler daha sonra yorgunluk yaşarlar veya faydaları göremezler ve sonuçta tekrar tekrar azaltılırlar…
- Şirket tekrar ihlal ediliyor.
Yıllar geçtikçe, birçok güvenlik ekibi yöneticilerin güvenlik harcamalarını düşünmesini denemek ve önlemek için “tek parlayan sütun” dediğim şeye odaklandı. Bu sütun, yöneticilerin siber güvenlik bütçelerini haklı çıkarmak için anlayabileceği ve kullanabileceği tek bir somut başarıdır. Bununla birlikte, bu, güvenlik açıkları birikmeye devam ettiğinde ve bir teknoloji yığınının tehdit yüzey alanı büyüdüğünde, güvenliğin büyük resmini kaybetme riskini taşır. Her iki durumda da, personel sayısına yatırım yapmak sürdürülemez.
AI
Bu doğru: Siber güvenlik AI’dan bir takım fayda sağlayabilir. Şirketim DefectDojo’da, bulguları otomatik olarak tetiklemek, yinelenen bulguları kaldırmak ve gelecekte daha verimli performans göstermesi için insan alım eylemlerinden öğrenmek için ML kullanarak önemli bir başarı elde ettik. Bu otomasyon seviyesi bir güvenlik ekibini önemli miktarda tasarruf edebilir.
Ancak, AI’nın güvenliği tamamen çözmesinden çok uzaktayız. Gördüğümüz kadarıyla, büyük modeller güvenlik risklerini doğru bir şekilde tanımlamakla mücadele ediyor ve bunun güvenlik verilerinin doğasının çok düzgün, farklı ve hatta nüanslı olması olduğunu düşünüyoruz. Örneğin, her iki güvenlik açığı türü de enjeksiyon bazlı olsa da, çapraz senaryoların tespiti ve azaltılması, kör SQL enjeksiyonundan temel olarak farklıdır.
Buna ek olarak, üçüncü taraf bir modele güvenmek, Genai veya değil, bir şirketin hassas verileriyle bir başkasına güvenmesini gerektirir. Openai gibi şirketler güvenliği ciddiye alırken, bu modelleri eğitmek için kullanılan verilerin hazinesi muhtemelen bilgisayar korsanları için en büyük ödül. Kötü aktörlerin sürekli olarak bu şirketlere girmeye çalıştıkları ve 2023’te şirketin model geliştirme sistemlerine ulaşmamış gibi görünen bir Openai ihlali gibi bazı saldırılar başarılı oldu.
Şimdilik AI yararlı bir araçtır, ancak gümüş bir mermi değil.
Devsecops
Bir konsept olarak DevOps, ABD’de oy kullanabilecek kadar eskidir. Küçük kardeşi Devsecops, çabucak yakalıyor. Devsecops, güvenliği geliştirme ve operasyonlara entegre ederek DevOps üzerine inşa eder. İlkelerini kullanarak güvenlik, çoğunlukla tek bir ekip veya departman tarafından omuzlanan bir sorumluluk değil, kültürel bir uygulama haline gelir. Bu, modern teknoloji yığınlarını güvence altına almak için gereken ölçeği üretir – bilinen güvenlik açıkları dahildir.
Devsecops, güvenlik testi ve değerlendirmelerini yazılım geliştirmenin her aşamasına entegre ederek, tek bir test sürecini takip etmek yerine her üç departman arasında sürekli işbirliğini teşvik eder. Sonuç olarak, tüm Business Tech yığını daha tamamen güvence altına alınmıştır – çünkü yazılım ilk etapta güvence altına alınmıştır.
DevSecops, yazılım ve geliştirme ekiplerine sorun haline gelmeden önce güvenlik açıklarını düzeltmeleri için ihtiyaç duydukları bilgileri vermek için hızlı bir şekilde toplanabilecek tek bir gerçek ve veri kaynağı sağlar. Bu kendimle karşılaştığım bir sorun – bu yüzden şirketimi yarattım.
Her zaman endişelenecek yeni siber güvenlik tehditleri olsa da, Bessemer Venture Partners’ın “temellere geri dön” yaklaşımı olarak adlandırdığı temelleri doğru yapmak önemlidir. Temel olarak sağlam bir yaklaşım olmadan, AI ses klonlama gibi en son tehditleri ele alacak donanımlı olup olmadığınız önemli değildir. Hala savunmasız yazılım gönderiyorsanız veya CVES’e hitap edemiyorsanız, kapıları kötü aktörlere ve siber suçlulara açık bırakıyorsunuz.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!