RSA KONFERANSI — San Francisco — Yeni bir araştırma, güvenlik hijyeni ve yazılım tedarik zinciri/satıcı riskinin orta ölçekli kuruluşlardaki bilgi güvenliği şefleri (CISO’lar) için en önemli iki güvenlik önceliği olarak ortaya çıktığını ortaya koydu.
Bu, çeşitli sektörler ve büyüklükteki CISO’ları araştıran Forgepoint Capital’e göre. Verilere göre, 50 ila 1.000 çalışanı olan kuruluşlar için güvenlik hijyeni özellikle kritik olarak görülüyor.
Bu hafta 2022 RSA Konferansı’nda Dark Reading ile paylaşılan raporda, “Çoğu ihlal, yama uygulanmamış sistemler, yanlış yapılandırmalar, zayıf parolalar ve diğer kolayca önlenebilir sorunlardan kaynaklanmaktadır.” “Tipik olarak, bu büyüklükteki kuruluşlar, bir güvenlik olayının şirketi işsiz bırakabileceği gerçek senaryolarla birden fazla yedekleme ve yük devretme oluşturmak için bütçeye sahip değildir.”
Bununla birlikte, endüstri segmentleri arasında kayda değer bir fark vardı. Örneğin, sağlık sektöründeki katılımcıların yüzde sıfırı güvenlik hijyenini bir öncelik olarak belirtti.
Forgepoint’in genel müdürü Will Lin, “Hemşirelerin parolalar hakkında endişelenmesine gerek olmadığını düşündüklerinden değil” diyor. “Bu, güvenlik sorumluluğunun diğer sektörlere göre çok daha fazla dağıtılmış olması. Diyelim ki BlueCross BlueShield’ım, sahip olduğum tüm yan kuruluşlarının parola gereksinimlerini ve güvenlik hijyenini kontrol edemiyorum. Bunu yapmak herkesin kendi sorumluluğudur. . Gerçekten çözebileceklerime öncelik vermeliyim.”
Profesyonel hizmet firmaları için farklı bir anlatım var, %80’den fazlası güvenlik hijyeninin en önemli odak noktası olduğunu söylüyor.
Lin, “Sağlığın tam tersidirler” diyor. “Bütün danışmanlarının güvenliğinden sorumlular. Bunların hepsi benim çalışanlarım, yapmam gerekiyor. Bu yüzden bu grup için en yüksek öncelik haline geliyor.”
Siber Güvenlik İş Gücü Eksikliği
Bu arada, 50’den az çalışanı olan kuruluşlardaki CISO’lar, devam eden siber güvenlik işgücü eksikliğinin özel bir endişe kaynağı olmasıyla birlikte, yetenek geliştirme ve sosyal mühendislik farkındalığını en önemli iki öncelik olarak gösterdi.
Rapora göre, “Yetenek çıkışı ve sosyal mühendislik saldırılarının büyük sonuçları olabilir”. “Çalışan tabanlarının küçük olması nedeniyle, bu şirketler insan sermayesine odaklanarak büyük bir kuruluştan daha fazla gerçekçi bir şekilde değişimi etkileyebilir. Şirketler büyüdükçe, ne kadar erişim kontrolü kurulursa kurulsun tehdit vektörleri kalacaktır. Böylece, odak, personelden güvenlik otomasyonuna ve olay müdahalesine kayıyor.”
CISO’ların sektöre göre güvenlik önceliklendirmesine ilişkin görüşleri incelendiğinde, anket, tüm güvenlik uzmanlarının en yüksek yatırım getirisi (ROI) olan alanlara öncelik verdiğini ortaya çıkardı. Örneğin, profesyonel hizmet şirketlerinin %50’si güvenlik hijyenini temel bir odak noktası olarak görüyor, ancak sağlık uzmanları daha çok yazılım tedarik zincirine ve yatırım getirisi ile daha büyük bağı göz önüne alındığında, bağlı tıbbi cihazların güvenliği gibi üçüncü taraf satıcı risklerine odaklanıyor. onların alanında.
Bulut Geçişi ve Dijital Dönüşüm
Forgepoint ayrıca, ankete katılanların %73’ünün çabalarının %75’inde veya daha fazlasında bunun bir faktör olduğunu belirttiği, buluta geçişin özellikle orta ölçekli işletmeler için güvenlik önceliklendirmesini yönlendirdiğini tespit etti. Buna karşılık, çok büyük işletmelerin (10.000’den fazla çalışan) sadece %13’ü ve büyük işletmelerin (1.000 ila 10.000 çalışan) %43’ü aynı şeyi söyledi. 50’den az çalışanı olan işletmelerin yarısı, buluta geçişin güvenlik seçeneklerinin %75’ini yönlendirdiğini söyledi.
Lin, Dark Reading’e “Şaşırtıcı bir şekilde yeterince büyük şirketler aslında bulut geçişinin en geride kalanları” diyor. “Ve daha küçük şirketler buluta geçişte daha ilerideler. Büyük şirketlerin çok sayıda eski altyapısı var, bu nedenle buluta geçmeleri çok daha uzun zaman alacak, küçük şirketler ise bulutta daha yerel ve bulutun yardımcı olduğu maliyetleri düşürmeye çalışıyor.”
Dijital dönüşüm aynı zamanda profesyonel hizmetler dışında her sektördeki CISO’lar için en önemli güvenlik motivasyonu olarak ortaya çıktı – muhtemelen uzaktan çalışmanın işletmeleri bir hizmet olarak yazılım ve diğer kurumsal çalışma uygulamalarını benimsemeye zorlamasının devam eden gerçekliği nedeniyle.
Bu, uygulama programlama arayüzlerinin (tüm katılımcıların %62’si tarafından belirtilen API’ler) ve güvenliği uygulama geliştirmeye dahil etmek için DevSecOps’un (%54 tarafından alıntılanmıştır) güvenliğini sağlamaya yönelik yeni bir güvenlik odağını yönlendiriyor.
Kontrol Alanları ve Siber Sigorta
Ankete katılanlar, veri güvenliği (%40) ve kimlik (%41) gibi geleneksel erişim kontrol alanlarının kuruluşlar için hala en önemli öncelikler olduğunu söyledi. Ancak CISO’ların dörtte birinden fazlası (%28) gelişmekte olan bir alan olan siber sigortayı en üst düzeyde kontrol edilen ilgi alanı olarak vurguladı.
Fidye yazılımları, kötü amaçlı yazılımlar, APT’ler ve diğer siber saldırılar tüm zamanların en yüksek seviyelerindeyken, her büyüklükteki kuruluş siber sigortaya yatırım yapmayı düşünüyor – ancak Lin, özellikle birçok sigorta firmasının fidye yazılımı olaylarını kapsamadığını ve bunun sancılı bir süreç olduğunu söylüyor. başvuru süreci zahmetli olabilir ve değerli güvenlik dolarlarının nereye yatırılacağını belirleyebilir.
Lin, “Siber sigortanın maliyeti artıyor ve kapsam düşüyor” diyor. “Ve belki de en önemlisi, siber sigorta şirketlerinin sigorta kapsamının ne kadar pahalı olacağını belirlemek için şirketlere doldurmaları için verdiği anketler, bir şirketin sigortalanmasının ne kadar iyi olduğuna dair temsili bir resim sunmuyor.”
Örneğin, birçoğu şirketlerin uygun fiyatlı kapsamaya hak kazanmak için tüm hesaplarda çok faktörlü kimlik doğrulamaya (MFA) sahip olmasını şart koşuyor – ancak diğer çabalar (örneğin yamalama) pahasına kapsamlı uygulanması en iyi yaklaşım olmayabilir. işi savunmak için.
“Şirketlerin kendileri genellikle kontrollerinin ne kadar etkili olduğunu bilmiyorlar, bu yüzden bir siber sigorta sigortacısı nasıl öngörücü olabilir?” Lin diyor. “Soru şuysa, her şeyde bir MFA’nız var mı, şirketler buna asla evet diyemez. Çünkü MFA’ya sahip olamayacağınız bazı yerler var. Bu sadece fiziksel olarak mümkün değil. Veya bazı durumlarda uygulama yapıyor. tüm kimlik doğrulamalarında bir MFA özelliği etkin olmayabilir. Bu nedenle hayır’ı tıklamaları gerekir ve bunu yaptıklarında hemen bir prim artışı görürler.”
Bu arada, tüm yanıt verenlerin sadece %24’ü tehdit istihbaratını izlemeyi bir öncelik olarak belirtti – bu, operasyonelleştirilmesinin zor olarak algılanmasının bir işlevi, diyor Lin.
Lin, “Temel sorun, Google gibi kuruluşların bile tüm telemetri ve verilerle ne yapacakları konusunda hiçbir fikri olmamasıdır.” Dedi. “Şirketler, tehdit istihbaratlarıyla ne yapacaklarını bulmakta zorlanıyorlar – bu sadece eyleme geçirilebilirliği.”
Genel olarak, anket ayrıca CISO anketine katılanların dörtte üçünün (%76) bu yıl güvenlik bütçelerinin artmasını beklediklerini belirtti.
Forgepoint, “Siber güvenlik bütçeleri arttıkça, bütçelerin halihazırda tanımlanmış kategorilerin sınırlamalarına meydan okuyan yeni ve gelişmekte olan ürünleri barındırmak için daha esnek hale gelmesi bekleniyor.”