YORUM
Verizon, son “Veri İhlali Araştırmaları Raporu”nda, “güvenlik açığı çağına girdiği” yönündeki neşeli, Taylor Swift’ten esinlenen bir espri yaptı. Neden? Verizon’un Yeni veriler, bilgisayar korsanlarının güvenlik açıklarını istismar ettiğini ortaya çıkardı son raporundan bu yana neredeyse üç kat daha hızlı bir şekilde ihlalleri başlatmak için. Bu taktik hala kimlik bilgisi tabanlı veya kimlik avı saldırılarından daha az popüler olsa da, güvenlik açıkları Yazılımda, tedarik zincirlerinde ve temel insan doğasında artış yaşanıyor ve siber güvenlik liderleri için en önemli endişe kaynağı olmalı. Verizon’un 2023’te gördüğünden yaklaşık beş kat daha fazla hatayla ilgili ihlal görmesiyle birlikte, yazılım satıcılarından güvenlik ekiplerine ve son kullanıcılara kadar tüm taraflar için zayıflıkları daha hızlı tespit edip düzeltmek ve bilgisayar korsanlarını engellemek için artan bir aciliyet söz konusu. Bu sorunlar ele alınmazsa, kuruluşlar kapılarını kötü niyetli kişilere sonuna kadar açacak ve bu kişiler güvenlik açıklarını kendi avantajlarına kullanmaya giderek daha fazla hevesli olacak.
Güvenlik Açıklarını Yönetmek: Her Zamankinden Daha Kritik, Ama Daha Zor
Kuruluşlar, güvenlik açığı yönetimi söz konusu olduğunda zorlu bir mücadeleyle karşı karşıyadır. Bu, büyük ölçüde güvenlik risklerinin giderek daha çeşitli hale gelmesine ve bazılarının diğerlerinden daha kontrol edilebilir olmasına dayanır. Örneğin, güvenlik ekipleri tüm vektörlerde tutarlı politikalar ve veri korumaları geliştirmek ve uygulamak için çalışırken, Gölge BT gibi faktörler bu çabaları baltalayabilir. Dışarıdan bakıldığında, yazılım satıcıları veya üçüncü taraf ortaklar tarafından tanıtılan güvenlik açıkları da kuruluşlarda tahribata yol açabilir. Şirketlerin saldırı yüzeyleri yeni platformlar ve hizmetlerle arttıkça, güvenlik açıklarının ortaya çıkması için daha fazla yer ve fırsat vardır. Konuyu daha da karmaşık hale getirmek için, güvenlik ekipleri güvenlik açıklarını bulduklarında, çoğu bunları bilgisayar korsanlarını yenmek için yeterince hızlı bir şekilde yamalayamaz. İdeal olarak, ilk etapta daha az güvenlik açığı olurdu, ancak bu ütopyaya ulaşana kadar, veriler liderlerin çabalarını en iyi nereye odaklamaları gerektiğini anlamalarına yardımcı olabilir.
Yazılım ve Ortak Ekosistemlerinin Oluşturduğu Riskler
Geçtiğimiz yılın “Veri İhlali Araştırmaları Raporu”ndan bu yana güvenlik açığı istismarında %180’lik artış, bu taktiğin tehdit aktörleri arasında daha yaygın hale geldiğinin kanıtıdır. MOVEit ihlali 2023 yılı, fidye yazılımı ve gasp ile ilgili bilgisayar korsanlarının özellikle sıfır günlük güvenlik açıklarıyla nasıl kontrolden çıkabileceğini gösteriyor. Satıcılar, kimlik bilgileri gibi diğer popüler saldırı yollarını güvence altına almak için çok faktörlü kimlik doğrulama ve daha güçlü erişim kontrolleri gibi özellikler uygulayarak harekete geçerken, bilgisayar korsanları çabalarını başka yerlere yoğunlaştırmaya zorlanıyor. Bu aktörler, hedeflerini araştırmaya yeterli kaynak ayırarak, bazı durumlarda yapay zeka araçlarının yardımıyla, hedeflerinin yazılımında, tedarik zincirinde veya çalışan tabanında bir güvenlik açığı bulma olasılıklarının yüksek olduğunu biliyorlar.
İlginçtir ki, çoğu yazılım açığı bizim için tamamen yeni değildir ve onlarca yıldır farkında olduğumuz zayıflık sınıflarına girer. Bu iyimserlik için bir nedendir, çünkü geçmişten ders çıkarma ve bunu geleceğimize uygulama ve başlama fırsatı vardır Yaygın güvenlik açıklarını önlemek için proaktif olarak yazılım tasarlamak en başından itibaren. Daha fazla yazılım satıcısının Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile güçlerini birleştirmesini ve ürünlerinin güvenliğini önceliklendirmesini sağlamak, önümüzdeki yıllarda sıfırıncı gün istismarlarının sayısını azaltmanın anahtarı olacaktır. Ancak bu saldırıları önleme sorumluluğu yalnızca yazılım satıcılarına düşmez; kuruluşların ayrıca teknoloji ortaklarını iyice incelemeleri ve teknoloji yığınlarındaki uygulamalara yamaları kullanılabilir hale gelir gelmez tamamlamaları gerekir.
Bilgisayar korsanlarının güvenlik açıklarını aradığı bir diğer yaygın yer de şirketlerin tedarik zincirleridir. Bu yaklaşım, birçok büyük kuruluşun yüzlerce veya binlerce üçüncü taraf tedarikçiyle çalışması nedeniyle tehdit aktörleri için sıklıkla sonuç verir. Bu geniş ekosistemler genelinde riskleri yönetmek bilinen bir zorluktur ve tüm birbirine bağlı zincirde bir dalgalanma etkisi yaratmak için yalnızca bir saldırı yeterlidir. Tedarik zinciri saldırılarını azaltmak için kuruluşların üçüncü taraf risk yönetimi için süreçlerini optimize etmeleri ve ortaklarının güvenliğinin yeterli düzeyde olduğunu belirlemeleri gerekir.
İnsan Yanılabilirliğinin Muhasebeleştirilmesi
İnsanların en zayıf güvenlik halkası olduğu eski bir sözdür. Şirketler teknolojilerinin güvenli olduğunu doğrulasalar ve ortaklarının güvenlik duruşlarını kapsamlı bir şekilde inceleseler bile, çalışanlar ve insan hatasıyla ilişkili riskleri hafife alamaz. Verizon, bu yılki “Veri İhlali Araştırmaları Raporu”nda, kötü niyetli ayrıcalık kötüye kullanımı vakaları hariç tutulduktan sonra bile, analiz edilen ihlallerin %68’inin “insan unsuru” olduğunu buldu. İnsan unsurunu içeren ihlaller, bir çalışanın bir kimlik avı e-postasına kanması veya yanlış kitleye içerik yayınlaması veya diğer çeşitli hatalar olabilir. Ancak bir şey açık – insan hatası arttı, bu nedenle kuruluşların çalışanlarının tehditlere karşı uyanıklığını ve farkındalığını artırması gerekiyor. Bu, özellikle trenlerde bırakılan güvenli olmayan dizüstü bilgisayarlar veya yanlış alıcıya gönderilen hassas e-postalar gibi dikkatsiz hatalarla mücadele etmek için gereklidir. Sektörlerdeki liderler, insan hatalarının sıklığını ve sonuçlarını mümkün olduğunca azaltmak için uygun güvenlik kontrollerine sahip olduklarından emin olmalıdır.
Daha Proaktif Güvenlik İçin Adımlar
Güvenlik açığı istismarı ve hataların endişe verici oranlarda meydana gelmesiyle, güvenlik liderlerinin proaktif ve etkili hata yakalama kültürünü teşvik etmesi gerekir. Bunu yapmak için atılması gereken adımlar şunları içerir, ancak bunlarla sınırlı değildir:
-
Tasarımı itibariyle güvenli ve güncel yazılım ve uygulamaları kullanmak
-
Üçüncü taraf tedarikçilerin güvenlik duruşunun değerlendirilmesi ve yönetilmesi
-
Erişimi sınırlamak ve olası ihlalleri engellemek için ağları ve dahili varlıkları segmentlere ayırma
-
Hataların ve yanlış yapılandırmaların etkisini azaltmak ve güvenliği kolaylaştırmak için otomatik duruş yönetimi gibi daha yeni özelliklerden yararlanılıyor
Şirketlerin saldırı yüzeyleri arttıkça, ortak ağları genişledikçe ve güvenlik ekipleri zayıf kaldıkça, güvenlik açıkları ve hatalar üstesinden gelinmesi zor bir zorluk olmaya devam edecektir. Ancak, yukarıdaki adımlar buzdağının sadece görünen kısmı olsa da, güvenlik açıklarının veya insan hatalarının bir sonraki büyük ihlale yol açmasını önlemede uzun bir yol kat edeceklerdir.