Rusya’nın Ukrayna’yı ele geçirme girişiminden kaynaklanan olası Rus siber saldırılarından çok fazla korku var. Belki de en büyük endişe ve muhtemelen gerçekleşmesi en muhtemel olan şey, bu siber saldırıların büyük olasılıkla ABD’nin Rus ekonomisine karşı mali hamlelerine misilleme olarak ince ayar yapılmasıdır.
Siber saldırılar, kendi başına para veya veri çalmak için değil, önemli dikey sektörlerdeki büyük oyuncuları stratejik olarak vurarak ABD ekonomisine zarar vermek için tasarlanacak. Başka bir deyişle, Rus hükümeti, “Ekonomimize ve halkımıza zarar mı veriyorsunuz? Biz de sana aynısını yapacağız.”
Şimdiye kadar, herhangi bir büyük ölçekli saldırı kanıtı yok, ancak herhangi bir zamanda başlatılabilir.
Danışmanlık firması Edgile’nin genel müdürü Brad Smith, kurumsal BT ve güvenlik yöneticilerinin devam eden savaş sırasında düşüncelerini değiştirmeleri gerektiğini savunuyor.
Smith, “Kuruluşların saldırı yüzeylerini savunmak için yapmaları gereken yatırımların zaman çerçeveleri ve kritikliği değiştirilmeli ve farklı bir mercek ve farklı bir perspektiften bakılmalıdır” dedi.
Saldırılar görünür hale gelene kadar daha güçlü güvenliğe yatırım yapmayı beklemek çok geç. “Şu anda tehdit varoluşsal bir tehdittir” dedi. “Kendinizi korumaya çalıştığınız şeyin doğası temelden değişti, bu yüzden sonuç olarak davranışınız değişmek zorunda.”
Smith, hücumcuların hedeflerinin normalden farklı olduğunu hatırlamak da kritik önem taşıyor. Smith, “Tehdit, bilgilerinizi almakla veya sistemlerinizi daha sonra canlı bırakmakla ilgilenmeyen kuruluşlardan geliyor” dedi. “İşleri ve dolayısıyla Amerikan ekonomisini bozmak için mümkün olduğunca fazla zarar vermeye çalışıyorlar.”
Bu, neden daha görünür saldırıların henüz gerçekleşmediği sorusunu gündeme getiriyor. Önceden belirlenmiş bir gün/saatte veya bir tetikleme komutu verildiği anda patlayacak şekilde seçilen hedeflere dijital saatli bombalar yerleştiren saldırılar zaten gerçekleşti mi? Bu, her şeyin aynı anda patlamasının dramatik sonucunu doğurur.
Çeşitli ABD devlet kurumları yakın saldırılar konusunda uyardı, ancak sundukları çok az ayrıntı genellikle “Her CISO kuruluşunun yıllar önce yapması gerektiğini bildiği şeyi yapın” anlamına geliyor.
Daha iyi uyarılardan biri geldi ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan 24 Mart (CISA). Göz kamaştırıcı derecede bariz çeşitli önerileri listeledikten sonra – “Hesaplar için güvenli parola ilkeleri belirleyin ve uygulayın.” Yok canım? Bunu yapmak kimin aklına gelirdi ki? — CISA, tek yönlü iletişim diyotlarının yanı sıra çok daha fazla VLAN uygulamasını (özellikle ağ bağlantılı yazıcılar ve benzer cihazlar için) teşvik eder.
CISA ayrıca çok daha spesifik olması gereken genel bir düşünce sunar: “Kullanıcıların iki veya daha fazla bilgi (kullanıcı adı ve parola artı bir belirteç, örneğin fiziksel bir akıllı kart veya belirteç gibi) sağlamasını isteyerek çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın. üreteci) bir sistemde kimlik doğrulaması yapmak için.”
İlk olarak, 2022’de CISA, şifreleri aktif olarak tamamen caydırmalıdır. Kurumsal şifreler yıllar önce ölmüş olmalıydı. İkincisi, bazı MFA yaklaşımları diğerlerinden çok daha güvenlidir. (Şifrelenmemiş metinleri SMS yoluyla göndermek gibi en kötü MFA yaklaşımı hakkında tekrar konuşmayacağım; bu, siber güvenliğin iyi bir siber güvenlik gibi görünmesinden başka bir şey değildir.) Düşük maliyetli ve kolay erişilebilir mobil uygulama kimlik doğrulama yaklaşımlarını teşvik etmeye ne dersiniz?
CISA’nın söylemediği ve Smith’in güçlü bir şekilde ima ettiği şey, CISO’ların ve CIO’ların bir savaş zemini almaları ve son kullanıcı sürtünmesi hakkındaki düşüncelerini değiştirmeleri gerektiğidir.
Bugün, BT, güvenlik ve iş kolu yöneticileri, çok farklı nedenlerle de olsa, kullanıcılarının çok fazla kimlik doğrulama çemberinden geçmesinden korkuyorlar. CISO’lar, son kullanıcıların hüsrana uğraması ve korumalar hakkında son işlemler yapması konusunda daha fazla endişelenirken, iş kolu yöneticileri verimliliği yavaşlatabilecek herhangi bir şeyden endişe duyuyor.
Ancak şimdi, kimlik doğrulama sıkılığını artırmanın ve son kullanıcı anlaşmazlıklarının artmasına izin vermenin zamanı geldi. Sonuçta saldırının amacı, operasyonları kapatmak kadar müşteri verilerini çalmak değil. Hastaneleri, enerji santrallerini ve diğer yüksek değerli hedefleri düşünün. Bu saldırılar insanları kolayca öldürebilir. Bu tür bir tehdide karşı, birkaç dakikalık rahatsızlık gerçekten önemli mi?
Bununla birlikte, burada operasyonel bir sorun var. Ya saldırılar aylarca ortaya çıkmazsa? Ya da daha kötüsü, ya gelirlerse ve ne zaman tamamlandıklarını asla bilemezsek? İşletmelerin sonsuza kadar savaşta kalmaları bekleniyor mu?
Bu kolay cevaplanacak bir soru değil. Bir yandan, savaş dışı türden siber hırsızlar her zaman burada olacaklar ve saldırıları sürekli olarak daha karmaşık hale gelecek. Bu, savaş temelli olduğunu göstermez mi? meli kalıcı olmak?
Ayrıca, sürtünme olmaması, zayıf kimlik doğrulama veya zayıf siber güvenlik anlamına gelmez. Davranışsal analitiği ve sürekli kimlik doğrulamayı düşünün. Bu, güvenlik hakkında yeni bir düşünme biçimi olduğu kadar yeni bir güvenlik de değildir. Ve bir savaş sırasında, başarılı saldırıları savuşturan şey yeni düşünme biçimleri olabilir.
Telif Hakkı © 2022 IDG Communications, Inc.