BLACK HAT USA — Las Vegas — Jeopolitik faktörler siber güvenlik risk profillerini etkilemeye devam edeceğinden, Tayvan’ın olası bir istilası her varlık için akılda tutulmalıdır.
Bu, şu anda eski Facebook CISO’su Alex Stamos (uygun şekilde adlandırılmış Krebs Stamos Group) ile bir danışmanlık yürüten ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) eski direktörü Chris Krebs’in sözü. O sahneye çıktı Black Hat USA 2022’de önümüzdeki birkaç yıl içinde risk ortamını neyin yönlendireceği hakkında konuşacağız.
Krebs, 2020 seçiminin güvenli ve hileli olmadığı konusunda ısrar ettiği için CISA’dan kovuldu (“Başarılı olduğumuzda ısrar ediyoruz – bu Amerikan tarihinde tekil önemli bir andı” dedi. “Ve bence oldukça iyi bir şey yaptık” işi.”) O zamandan bu yana geçen 18 ay içinde, özel sektör, küresel hükümetler ve eyalet ve yerel kuruluşlardaki yetkililerle görüşerek yola çıktı.
“Orada trend çizgilerinin neler olduğu, piyasa baskıları ve teknolojiyi, hükümetleri, kötü aktörleri ve insanları etkileyen yaklaşan dönüm noktaları hakkında fikir birliği bulmak istedim” dedi.
Jeopolitik rüzgarlara ek olarak Krebs, kötü adamların giderek artan siber saldırı yetenekleriyle birlikte dijital dönüşümün hem kamuyu hem de özel sektörü haberdar etmesi gerektiğini – yoksa umutsuzca geride kalma riskini taşıdığını belirtti.
Jeopolitik Baskılar Hızlanırken Tayvan Önemsiyor
Sadece son altı ayda, jeopolitik riskler ile teknoloji riskleri arasında eşi görülmemiş bir çarpışma oldu ve Krebs’e göre bu sadece devam edecek. Ukrayna’da devam eden savaşın yanı sıra Tayvan, izlenmesi gereken bir sıcak nokta.
“Liderlerin önümüzdeki iki çeyreğin ötesini planlaması gerekiyor” dedi. “Üç ila dört yıl sonrasına bakmanız gerekiyor ve dışarıdaki her şirket Tayvan Boğazı’nda neler olup bittiği konusunda yönetici düzeyinde simülasyon senaryoları, etki değerlendirmeleri, masa başı tatbikatlar yürütüyor olmalı.”
Çin’in Tayvan’ı işgal etmesi, özellikle teknoloji tedarik zincirini, rekabeti ve pazarları ve BT operasyonlarını etkilemek üzere tüm kuruluşları etkileme potansiyeline sahiptir.
Krebs, “Siyasi rüzgarların büyük etkileri var ve bunları oyunlaştırmanız gerekiyor” dedi. “Yarın mı, gelecek yıl mı yoksa üç, dört yıl sonra mı olacağını bilmiyorum, ancak ulusal güvenlik yetkilileriyle yaptığım görüşmelere dayanarak, Çin arasında bir zirveye ulaşacağından oldukça eminler. ve Tayvan.”
Operasyonlarınızı riske atabilecek bir konumda olmak istiyorsanız, buna dün başlamalısınız” dedi.
Ulus-devlet ve gelişmiş kalıcı tehditler (APT’ler) Çin, İran, Kuzey Kore ve Rusya bağlamında tartışılma eğilimindeyken, Krebs bunun çok daha büyük bir alan haline gelmek üzere olduğunu kaydetti.
“Kelimenin tam anlamıyla bu dünyadaki her ülke, iç gözetleme için casusluk yetenekleri geliştiriyor” diye uyardı. “Ve evet, ayrıca yıkım ve yıkım için yeteneklere de bakıyorlar. Yakın gelecekte sırılsıklam, yeni ve özgün olaylar olacak.”
Bu arka plana karşı, şirketlerin dünya olaylarına verdikleri yanıtları etik açıdan da masaya yatırmaları gerekeceğini söyledi.
“Bir takım ilkeleriniz olmalı” dedi. “Değerlerinizi, kim olduğunuzu, kırmızı çizgilerinizin neler olduğunu belirlemelisiniz. Rusya Ukrayna’yı işgal ettiğinde, birkaç farklı şirketle çalışıyorduk, ‘bakın, yaptırımlardan etkilenmedik, bu yüzden iyiyiz. , bunun için gerçekten endişelenmemize gerek yok. Bizim düşüncemiz, savaş suçlarının görüntüleri TV’de, Twitter’da ve başka yerlerde görünmeye başladığında, bir sorununuz olacak. Rusları desteklemeye devam ediyorsunuz. Savaş makinesi.”
Tasarıma Göre Bulutta Güvensizlik
Krebs ayrıca, COVID-19 pandemisi buluta ve dijital dönüşüme ivme kazandırdığından, güvensiz ürünlerin faydalarının dezavantajlardan çok daha ağır bastığının netleştiğini belirtti.
“Çünkü biz daha büyük bir ekosistemde, üretkenliğe ve sürtüşmeyi azaltmaya odaklanan işletmeler içinde çalışıyoruz ve pazara ilk giren olmak istediğinizde güvenliği işleri yavaşlatan bir şey olarak görme eğilimindeler,” diye açıkladı. “Bu yüzden, piyasa baskıları nedeniyle tasarımı gereği güvensiz olan daha fazla ürün üretiyoruz.”
Bu arada, esnekliği, esnekliği, üretkenliği ve verimliliği artırmak amacıyla buluta devam eden toplu geçiş gerçekleştirilirken, yan bir sonuç, firmaların altyapılarında neler olduğunu görme yeteneğinde bir azalma oldu.
Krebs, “Bunu daha karmaşık hale getirdik ve ayrıca ek ürünler, platformlardaki altyapıyı eklemeye başladık ve bu hizmet olarak yazılım (SaaS) fırsatları ve seçenekleri patlamasına sahibiz.” söz konusu. “Bütün bunlar, kötü adamların gelip istediklerini elde etmeleri için fırsatlar. Bulutun çeşitli hiper ölçekli satıcılar arasında nasıl çalıştığını ve onunla nasıl etkileşim kurduğunuzu gerçekten anlıyor musunuz?”
Siber suçlular, yazılım hizmetleri ve teknoloji sağlayıcıları arasındaki ilişkilerde barındırılan bağımlılıklar ve güven bağlantıları ile birlikte iş mimarisindeki bu değişimleri anlarlar; bunun tedarik zincirine ve yönetilen hizmet sağlayıcılara karşı daha fazla saldırıya yol açmaya devam edeceği konusunda uyardı.
Daha da karmaşık hale gelen konular, tümü potansiyel olarak güvenli olmayan bulut uygulamalarıyla birlikte gelen bağlantılı şeylerin sürekli çoğalmasıdır.
“Bence hepimiz daha fazla şeyin birbirine bağlı olacağı konusunda hemfikiriz, çünkü görünüşe göre şeyleri internete bağlamak için patolojik bir ihtiyacımız var” dedi. “Üç, dört yıl sonra, çevrenizde veri toplayan ve üreten daha fazla şey olacak. Bu şeyler inanılmaz miktarda veri tüketimi, dijital egzoz üretiyor ve daha az değil, daha karmaşık hale geliyor.”
William Gibson’ın kitabı çıkardığında bu gerçeği sabitlediğini kaydetti. nöromancer 1984 yılında.
Krebs, “‘siber uzay’ terimini icat etti” dedi. “Ama çok büyüleyici olan siber uzayı böyle tanımladı – siber uzayın düşünülemez karmaşıklığı. Şu anda oradayız.”
Kamu Sektörü Endişeleri: Yapılması Gereken Güvenlik Çalışmaları
Krebs listesindeki bir sonraki gelecek endişesi, ABD hükümetinin piyasa müdahalelerini ve düzenlemeyi kapitalist yeniliğin büyümesine izin verme arzusuyla dengelemekle mücadele etmesidir.
“Performansa dayalı sonuçlardan ziyade kontrol listelerine ve uyumluluğa aşırı güven görüyoruz, bu nedenle istediğimiz güvenlikle ilgili sonuçları alamıyoruz” diye ekledi, bunu da ekledi, var olan gözetim iyi uygulanmadı.
Krebs, “Kongre’nin de bunu çözmesi ve Meclis ve Senato’da çeşitli departmanlar ve kurumlar üzerinde, özellikle sivil şubede gözetimi pekiştiren seçkin komiteler kurması gerekiyor.” Dedi. “101 sivil ajansımız var ve her biri kendi e-posta hizmetini yürütüyor. Bu yüzden bunu düzeltmemiz gerekiyor.”
Kolluk kuvvetleri tarafında, Adalet Bakanlığı ve FBI, Krebs’in “doğru hamleler” olarak adlandırdığı fidye yazılımı sorununu sürekli olarak ele alıyor.
“Komuta ve kontrol seviyesinde düşmana daha agresif yaklaşıyorlar” diye açıkladı. “Ancak, daha uzun vadeli soruşturmalardan, maliyetleri artırmayı ve fidye yazılımlarının ABD’deki şirketlerden değer elde etme yeteneğini ortadan kaldırmayı amaçlayan daha yıkıcı eylemlere geçmemiz gerekiyor.
Fidye yazılımların profesyonelleştiğini ve siber saldırganların yeteneklerinin giderek daha iyi hale geldiğini belirtti.
“Giriş engelleri düştü ve şimdi ulus-devletlerin görevi olan istismarlara erişimleri var” dedi. “Kar kazanıyorlar ve bu onlara hiçbir şeye mal olmuyor; galibiyetlerini alıyorlar. Biz anlamlı sonuçlar yaratana ve onlara maliyet yükleyene kadar, onlar da devam edecek.”
İşgücü Zorlukları Devam Ediyor
Krebs, 3 milyon açık siber güvenlik rolünü dolduracak kalifiye insan eksikliği söz konusu olduğunda, bir kariyerin ne kadar ödüllendirici olabileceği düşünüldüğünde, durumun kafa karıştırıcı olduğunu söyledi.
“Birincisi, eğlenceli olması. İkincisi, kazançlı olması” dedi. “Bu sektörde oldukça iyi para alıyoruz. Üçüncüsü, buna bağlı olarak dayanıklı; hayatımızın geri kalanında, belki de insanlık tarihinin geri kalanında bu zorluklarla uğraşacağız. Ve son olarak, bunlar ulusal güvenlik sorunları. Yaptığımız görev inanılmaz derecede önemli.”
Bununla birlikte, ABD işgücünün her şeyden önce giderek daha teknolojik hale geldiğini ve bu konuda iyimser olduğunu söyledi.
“Aradığımız teknoloji bilgisiyle birlikte eleştirel düşünme becerileri kazanıyoruz” dedi.
İlerleme konusunda düşünülecek ve bugün harekete geçilecek çok şey olsa da Krebs, işletmelerin risk ortamına ayak uydurma şansı konusunda umutlu olmak için nedenler olduğunu söyledi.
“25 yaşında Black Hat USA tarafından kanıtlandığı gibi, olgunlaşan bir endüstrimiz var” dedi. “Sorun çözen ürünler üretiyoruz ve üretiyoruz. Altyapıda sorunları çözmek için çalışan teknoloji tedarikçilerimiz var.”