YORUM
Başarılı fidye yazılımı saldırıları saldırıların tasarım olarak daha karmaşık olmasından değil, siber suçluların dünyanın en büyük işletmelerinin çoğunun temel siber güvenlik uygulamalarına karşı yeterli dayanıklılığa sahip olmadığını fark etmesinden dolayı artıyor. Özel ve kamu sektörlerinden siber güvenliğe yapılan büyük yatırımlara rağmen, birçok kuruluş fidye yazılımı saldırılarına karşı yeterli dayanıklılığa sahip değil.
Temel Siber Güvenliğin Kurumsallaştırılması ve Sürdürülmesi Zorlu Olmaya Devam Ediyor
Denetim ve siber güvenlik mesleklerinde uygulayıcı, araştırmacı ve lider olarak 40 yılı aşkın deneyimim, kuruluşları fidye yazılımı savunmalarındaki kontrol edilebilir boşluklara aşırı maruz bırakan fidye yazılımı dayanıklılığı eksikliğinin iki temel nedeni olduğu sonucuna varmamı sağlıyor:
-
Son zamanlarda haber değeri taşıyan ihlaller — örneğin saldırılar oyun organizasyonlarıtüketim malları üreticileri ve sağlık hizmeti sağlayıcıları — bazı kuruluşların temel uygulamaları hayata geçirmemiş olabileceğini pekiştirmek.
-
Temel uygulamaları hayata geçiren kuruluşlar, bu uygulamaların performansını zaman içinde yeterince doğrulayıp onaylayamayabilir ve bu da maliyetli yatırımların etkinliğini daha hızlı kaybetmesine neden olabilir.
Bu bağlamda, kuruluşların fidye yazılımlarına karşı temel dayanıklılığı artırmak için atabileceği üç basit adım bulunmaktadır:
1. Temel uygulamalara yeniden bağlı kalın.
Verizon’un “2023 Veri İhlali Araştırmaları Raporu”na göre, tüm ihlallerin %61’i kullanıcı kimlik bilgilerini istismar etti. İki faktörlü kimlik doğrulama (2FA) artık erişim yönetimi için temel bir kontrol olarak kabul ediliyor. Yine de bu ek güvenlik katmanını uygulamadaki başarısızlık, ortaya çıkan bir UnitedHealth Group/Change Healthcare için fidye yazılımı felaketi. Bu saldırıdan yalnızca hastalar etkilenmiyor, aynı zamanda hizmet sağlayıcılar ve klinisyenler de ikincil hasar yaşıyor, bakım yetkilendirmeleri ve ödemeleri almada önemli engellerle karşılaşıyor. Büyük bir sağlık hizmeti sağlayıcısının bu temel kontrolü uygulamaması sonucu tüm bir sektör kuşatma altında.
2. Temel uygulamaların “kurumsallaştırılmasını” sağlayın.
Uygulamada siber güvenliği ele alan ancak daha sonra uygulamaların, kontrollerin ve karşı önlemlerin altyapının ömrü boyunca, özellikle de bu altyapılar evrimleşip kurumsal değişime uyum sağladıkça, dayanıklı olmasını sağlamada başarısız olan bir “ayarla ve unut” zihniyeti vardır. Örneğin, kurumsallaşmalarını ve dayanıklılıklarını garanti eden özelliklerle aktif olarak uygulanmayan siber güvenlik uygulamaları, gelişen fidye yazılımı saldırı vektörleri altında dayanamama riskiyle karşı karşıyadır. Peki kurumsallaşma ne anlama geliyor? Uygulamayı belgeleme; uygulamayı yeterli beceriye sahip ve hesap verebilir kişiler, araçlar ve fonlarla kaynaklandırma; politika aracılığıyla uygulamanın uygulanmasını destekleme; ve uygulamanın zaman içinde etkinliğini ölçme gibi eylemler, yatırımları güçlendiren ve faydalı ömürlerini uzatan daha yüksek olgunluktaki davranışları tanımlar.
Bu “kurumsallaştırıcı özellikler” temel siber güvenlik uygulamalarının uygulanabilir kalmasını ve etkinliğini yitirdiğinde iyileştirilmesini sağlar. Örneğin, Change Healthcare fidye yazılımı saldırısında temel şifreleme uygulamaları yoktu ve bu da hasta verilerini bilgisayar korsanlarına karşı savunmasız hale getirdi. Bu, hareketsiz verilerin şifrelenmesi gereksiniminin politikada kurumsallaştırılıp kurumsallaştırılmadığı ve eğer öyleyse, bu gereksinimleri karşılama sorumluluğunun uygun becerilere sahip uygulayıcılara verilip verilmediği konusunda soruları gündeme getiriyor.
3. Temel uygulamaların etkinliğini ölçün ve iyileştirin.
Şu sorular sorulmalı: Siber güvenlik çerçeveleri bizi başarısızlığa mı uğratıyor? Ve bizi daha az etkili mi kılıyorlar?
Gibi bir çerçevenin kullanımı Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesi (NIST CSF) program geliştirme ve uygulama uygulamasına rehberlik edebilir, ancak tek başına kullanımı başarının iyi bir öngörücüsü veya göstergesi değildir. Neden? Çünkü çerçeve uygulamalarından beklenen sonuçların tutarlılığı nadiren ölçülür. Olgunluk modelleri — yukarıda belirtilen kurumsallaştırıcı özellikleri vurgulayanlar — bu hedefe doğru bir evrimdir, ancak aktif bir performans yönetimi yaklaşımıyla eşleştirilmedikçe sınırlamaları olmaya devam eder.
Change Healthcare gibi bir kuruluşun geçmişte kritik sunucularda 2FA’yı uygulamış olması, ancak düzenli gözlem veya ölçüm yapmadan, bu kontrolün kasıtlı veya kazara kullanım dışı bırakıldığını veya bir şekilde yetersiz çalıştığını fark edememiş olması mümkündür. Dolayısıyla, kuruluş doğru niyetlere sahipken (2FA’yı standart bir uygulama olarak uygulamak) aktif performans yönetimi olmadan, böyle bir kontrolün yalnızca uygulandığına değil, aynı zamanda etkili olduğuna inanacak şekilde yanıltılabilir.
Ek olarak, siber güvenlik çerçeveleri kullanılarak yapılan boşluk değerlendirmeleri program iyileştirme alanlarını gösterebilir, ancak bu tek başına genel performansta bir iyileşmeye yol açmaz. Birçok kuruluş, gerçekte uygulanan ve gözlemlenebilir bir uygulama kötü performans gösterebilirken, programlarının etkili bir şekilde çalıştığını “kanıtlamak” için bu değerlendirmeleri yapar ve bu da kuruluşun gerçek kapasitesinin tehlikeli bir şekilde abartılmasına neden olabilir. Bu, bazı kuruluşların bir fidye yazılımı saldırısının kurbanı olduklarına “şaşırmalarının” nedeni olabilir. Performans ölçümü olmadan, etkinlik garanti edilemez ve performans yönetimi siber güvenlik çerçevelerinin ön planda olan bir özelliği haline gelene kadar, kullanıcılar bu varsayımı yeterince test etmeden fidye yazılımı saldırılarına karşı uygun şekilde güçlendirildiklerine inanma riskiyle karşı karşıya kalırlar.
Ve üst düzey yönetim ve yönetim kurulları, yalnızca periyodik çerçeve değerlendirmelerinin sonuçları değil, performans yönetimi hakkında da raporlamayı hak ediyor. Ölçütler olmadan, bu yöneticiler siber güvenlik programındaki tek eksikliğin çerçevelerle uyumsuzluk olduğu izlenimine kapılıyor, ancak gerçekte, zayıf performans gösteren uygulamalar ve kontroller daha tehlikeli.
Temellere Odaklanarak Daha Azıyla Daha Fazla Güvenlik
Temel siber güvenlik uygulamalarını kurumsallaştırma ve sürdürme zorluğu çok yönlüdür. Sürekli teyakkuz, aktif yönetim ve gelişen tehditlere ilişkin kapsamlı bir anlayışa bağlılık gerektirir. Ancak, bu zorluklarla doğrudan başa çıkarak ve siber güvenlik uygulamalarının titizlikle uygulanmasını, ölçülmesini ve sürdürülmesini sağlayarak, kuruluşlar kendilerini her zaman mevcut olan fidye yazılımı saldırıları tehdidine karşı daha iyi koruyabilirler. Öncelikle temel konulara odaklanmak – 2FA gibi temel kontrolleri uygulamak, BT ve güvenlik çabalarını entegre etmek için bakım becerilerini geliştirmek ve performans yönetimi uygulamalarını benimsemek – siber güvenlikte önemli iyileştirmelere yol açabilir ve daha az yatırımla sağlam koruma sağlayabilir.