YORUM
Ekonomik türbülanstan siber tehditlerdeki amansız artışa kadar, günümüzün siber güvenlik manzarası, kuruluşların güvenlik risklerine uyum sağlayarak dirençli kalmasını gerektirir. Birçok kuruluş, üretken yapay zeka (GenAI) gibi modern teknolojileri benimseyerek bu risklere uyum sağlamayı seçmiştir. düzgün bir şekilde uygulanmadığında yeni riskler doğurabilecek.
Şirketlerin yenilik yapma ve yeni teknolojiyi benimseme hızı, öncelikle ele alınması gereken güvenlik önlemlerini çok geride bırakıyor. Bu sorun, yeniliğin her zamankinden daha hızlı hareket etmesi ve güvenli teknoloji üretmek yerine pazara girmeyi vurgulaması gerçeğiyle daha da karmaşıklaşıyor.
“”den edinilen son görüşler2024 Thales Veri Tehdit Raporu” (“DTR”), kuruluşların bugün karşı karşıya olduğu karmaşık zorluklara ışık tutuyor. Katılımcıların neredeyse tamamı (%93), ortaya çıkan teknolojilerin sunduğu birçok acil endişe arasında kötü amaçlı yazılım, fidye yazılımı ve kimlik avı gibi saldırılarda bir artış olduğunu bildiriyor. Siber güvenliğe yönelik proaktif ve kapsamlı bir yaklaşıma kritik bir ihtiyaç var. Teknolojik ilerlemenin arka planında, modern çağda etkili siber güvenlik için üç önemli odak noktası ortaya çıkıyor.
Yapay Zeka Yarışında Uyumluluğu Ön Planda Tutun
Yapay zekanın yükselişi, yeni bir inovasyon çağını beraberinde getiriyor; işletmelerin %22’si önümüzdeki 12 ay içinde ürünlerine ve hizmetlerine yapay zekayı entegre etmeyi planlıyor. Ek olarak %33’ü bu dönüştürücü teknolojiyi denemeye hazırlanıyor. Ancak bu inovasyonla birlikte bir şirketin güvenlik duruşunda bilinmeyen zaaflar ortaya çıkıyor.
Büyük dil modelleri (LLM’ler) verilerle eğitildiği için, girdi bilgileri potansiyel olarak depolanabilir ve belirli bir sorgu tarafından istendiğinde yeniden ortaya çıkarılabilir. Çalışanlar bir AI platformuna gizli bilgiler girerse, bu tür bir çıkarma riskiyle karşı karşıya kalır. Ek olarak, istemli enjeksiyon, bilgisayar korsanlarının talimatlarını geçersiz kılmak için aldatıcı tetikleyiciler girerek sohbet robotlarını kandırdığı AI için kanıtlanmış bir tehdittir. Bu, AI yanıtlarını yönlendiren LLM’lerin öngörücü doğasını istismar eder.
Sonuç olarak, hızlı bir şekilde yenilik yapma baskısıyla karşı karşıya kalan, AI’yı uygulamak için acele eden şirketler operasyonel sistemleri zorlayabilir ve onları siber saldırılara veya kötüye kullanıma karşı daha savunmasız hale getirebilir. Birçok endüstri örneği, benimseme hızını güvenlikten daha öncelikli hale getirmenin tehlikelerini göstermesine rağmen, bu birçokları için olası bir senaryodur.
Kuruluşların sağlam politikalar oluşturması veya aşağıdaki kuruluşlar gibi kuruluşlardan gelen yayınlanmış kılavuzlara uyması önemlidir: Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Dahili olarak yararlanılan veya geliştirilen LLM’lerin hassas verilere erişimi yoktur. Aksi takdirde, düzenlemeler boru hattına girerken uyuma odaklanmak için duraklamak güçlü bir eylem yoludur, çünkü DTR daha iyi uyumluluğa sahip şirketlerin bir ihlal yaşama olasılığının 10 kat daha az olduğunu bulmuştur.
Siber Güvenlik Temel Taşı Olarak PQC Prototipleme
O zamandan beri Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Temmuz 2022’de dört şifre paketini onayladıkuantum sonrası kriptografi (PQC), giderek daha acil hale gelen yaklaşan bir tehdit ile mücadelede giderek daha önemli hale geldi. Geleneksel olarak şifrelenmiş veriler üzerinde doğrulanmış veya tekrarlayan kuantum hesaplama saldırılarının olmamasına rağmen, proaktif önlemler için hala nedenler var. Kuantum hesaplama henüz kriptografik standartlar için bir tehdit olmasa da, bugün geleneksel yöntemlerle şifrelenen veriler, gelecekte “şimdi hasat et, sonra şifresini çöz” saldırılarında şifresini çözme niyetiyle şu anda toplanabilir.
Bu tehditler için PQC, kuantum bilişiminin yaklaşan tehdidine karşı birincil savunma olarak kendini göstermektedir. Katılımcıların neredeyse yarısı (%48) PQC’yi gelecekteki kriptografik stratejilerin temel taşı olarak görmemiştir. Sonuç olarak, birçok şirket PQC’ye yatırım yapmamaktadır çünkü somut bir şekilde benimsenmesinden yıllar uzakta gibi görünmektedir, ancak gerçek şu ki, veriler şu anda toplanmaktadır.
İşletmeler, uygun yatırımları yaparak teknolojilerini geleceğe hazırlayabilirler. Yakında, müşteriler karmaşık siber saldırıları engellemek veya siber güvenlik çabalarını yükseltmek için yalnızca PQC ile üretilen ürünleri arayacaklar. Kuantumdan hala birkaç yıl uzakta olsak da, bu yenilik geldiğinde hazır olacak kuruluşlar şimdi hazırlanıyor.
Gizli Bilgi Yönetimine Güvenlik Ekleme
Yeni teknolojilerin benimsenmesi göz önüne alındığında, dijital ürünlere ve/veya hizmetlere sorunsuz bir şekilde entegre edilmesi ihtiyacı hiç bu kadar yüksek olmamıştı. Özellikle, bulut ve DevOps ortamlarını değerlendirirken, DTR katılımcılarının %56’sı için en büyük güvenlik endişesi sır yönetimiydi, bunu işgücü kimlik ve erişim yönetimi (IAM) ve yetkilendirme takip etti.
Geliştiriciler için bu üç zorluk yakından ilişkilidir, çünkü hepsi hem ayrıcalıklı kullanıcılar hem de yönettikleri iş yükü yaşam döngüsü için görevler gerektirir. Ancak, sırlarla ilgili ortak zorluk, bunların “taşıyıcı belirteçler” olarak tasarlanmış olmaları ve söz konusu belirteç, parola, API (uygulama programlama arayüzleri) anahtarı, şifreleme anahtarı veya başka herhangi bir kimlik bilgisine sahip olan kişiye erişim izni vermeleridir. Sırlar “kaybolduğunda” — örneğin, düz, okunabilir metin olarak koda dahil edildiğinde — bilgisayar korsanlarının erişim sağlamak için dahili kullanıcıları taklit etmesine gerek kalmaz. Bu nedenle, sonuçlar ciddidir.
Veri merkezli bir güvenlik mimarisi benimsemek, bu ortamlarda güvenliği iyileştirmenin anahtarıdır. Kuruluşlar, NIST gibi yeni çerçevelerden yararlanarak DevSecOps uygulamalarını olgunlaştırabilir “Operasyonel Teknoloji (OT) Güvenliğine Kılavuz” Genel mühendislik performansının kalitesini ve dayanıklılığını iyileştirmek için standartlar. Güvenlik şampiyonları ayrıca geliştirme ekibi için de önemlidir ve ayrıcalıkları daha iyi yönetmek ve sırları depolamak için net, pratik güvenlik rehberliği sağlamalıdır.
Geliştirilmiş Güvenlik Hileleriyle Eski ve Yeni Tehditlerle Mücadele
Teknolojik gelişmenin hızı şaşırtıcıdır ve son yıllarda yenilikler hızla ortaya çıkmaktadır. En son teknolojiyi benimsemeye yönelik coşku anlaşılabilir olsa da, bu heyecan kritik güvenlik hususlarını gölgeleyemez. Modern teknolojiye her zaman eşlik eden çeşitli yeni tehditlere rağmen, karşılaşılan hataların çoğu tekrar eden sorunlardır.
Yeni teknoloji ve geleceğe yönelik sağlam politikalar geliştirmek, güvenliğe yatırım yapmayı destekleyerek elzemdir. Kutudan çıktığı haliyle cihaz güvenliğine güvenmek artık uygulanabilir değildir; değerlendirme ve güçlü güvenlik uygulamaları benimsemeden önce gelmelidir. Sektör, güvenliği öncelik olarak göstererek gelişen güvenlik açıklarına karşı uyanık kalma anlayışıyla yeniliği benimsemeye devam edebilir ve etmelidir.