Bir Uzmana Sorun
Doğru çözümün planlanması, projenizin güvenlik hedeflerinin anlaşılmasını gerektirir. Kingston’ın uzmanları size yardımcı olabilir.
Bir Uzmana Sorun2022'de siber güvenlik alanında zirvede kalmak hiç olmadığı kadar yüksek bir öncelik. Veri ihlallerine yönelik yeni cezalarla, güvenlik kavramı işletmelerin hayatı için kritik bir önem kazanıyor. Pandeminin getirdiği zorluklar ve hibrit çalışmaya geçiş süreci ile, politika ve protokollerin bu yeni ortama göre ayarlanması için güvenlik yöneticilerinin birçok unsuru dikkate alması gerekiyor.
Giderek çoğalan karmaşık tehditlerle nasıl aynı düzeyde kalınabileceğini daha iyi anlamak amacıyla, #KingstonCognate fenomenlerimizden biri olan Prof. Sally Eaves ile bir Twitter Soru & Cevap oturumu düzenledik. Ayrıca, gelecek yıl için değerli içgörü ve tahminlerini paylaşan uzman topluluğumuz da kendisine bu oturumda eşlik etti.
Küresel olarak yaşanan uzaktan çalışmaya geçiş süreci ve ağ başına cihaz sayısındaki büyük artış, olası tehdit kapsamını kaşla göz arasında muazzam derecede büyüttü. Bunun yanında, siber tehdidin yayılması ve beraberinde getirdiği riskler, sayısız yeni saldırı vektöründe yeni keşfedilmiş açıklardan faydalanma potansiyeline sahip:
Prof. Sally Eaves'e (@sallyeaves) göre: “Bir hizmet olarak siber güvenlik de yükselişte: Saldırı başına alınan 250 dolar ve üzerinde ücretleri ele alalım. Aynı şekilde, hizmet engelleme için aylık yaklaşık 311 dolar geçerli. Bu liste uzayıp gidiyor; siber suç ekonomisinde muazzam bir büyüme söz konusu.”
Artan tehditlerle birlikte, atak sıklığı ve karmaşıklığı da dikkate değer bir yükseliş gösteriyor. Peki bu değişiklik neden yaşandı? Giuliano Liguori (@ingliguori), “Fidye yazılım, kimlik hırsızlığı sosyal mühendislik ve kritik altyapı kesintileri, insan davranışlarının ve etkileşiminin teknolojiyle şekillendiği dijital çağa uygun siber suçlar olarak öne çıkıyorlar” diyor.
Geçmişe göre belki de en çarpıcı fark ise, şirket boyutunun artık bir önem taşımaması. Geçmişteki “güzel” günlerde, asıl hedef büyük şirket ağları hedef halindeydi. Şimdi ise herkes kurban olma potansiyeli taşıyor.
Bill Mew’in (@BillMew) düşünceleri ise şöyle: “Her iki tarafında da AI ve gelişmiş teknolojilerden yararlandığı bir siber güvenlik yarışı söz konusu. Beyaz şapkalılar bu imkanları mevcut açıkları bulup gidermek, siyah şapkalılar ise bulup suistimal etmek için kullanıyor”.
Prof. Sally Eaves'e göre, tehdit kaynakları yeni taktikler geliştiriyor ve bu ciddi derecede endişe verici bir durum. Fidye yazılım örneğine bakacak olursak: “Gelecekte bir şirketin verilerini şifreleyerek rehin tutmak yerine, verileri açık etmekle tehdit ederek muhataplarını fidye ödemekle yasal cezalar ödemek arasında bırakacaklarını tahmin ediyorum. Bu tür değişimleri özellikle ilgi çekici buluyorum. Gerçekten de dedikleri gibi; değişmeyen tek şey değişimin kendisi.”
CISO'ların ayrıca insanlar üzerindeki riskleri de ölçümlemesi gerekiyor. Ne var ki, risk yönetiminin mevcut niceleme anlayışı, farkındalığın, eğitimin ve kültürel ile fiziksel ekipman yatırımlarının etkileri gibi alanlarda yeterince basit değil.
Ayrıca, durdurulmaları için yapılan yatırımları geride bırakan siber güvenlik saldırıları ile, tehdit korumasına yönelik bütçe ve kaynakların da ayrıca ele alınması gerekiyor. “İşi doğru yürütmek için yeterli kaynağa sahip olmadıklarının farkında olan CISO'lar, başlarına gelebilecek potansiyel durumlar konusunda ciddi endişeler yaşıyor. Bazı yöneticiler ise kişileri şirket içi bir tehdit haline dönüştürebilecek ‘sosyal’ hacking ihtimalleri üzerinde duruyor”, Rafael Bloom (@RafiBloom73) böyle vurguluyor.
Günün sonunda, siber direnç için eğitim kilit role sahip; bu sayede değişimin hızına ayak uydurabiliyoruz. Bununla birlikte, kullanıcılara yeterince (ya da en azından tehditlerin gerektirdiği gibi pozisyona özel bir şekilde) eğitim vermek için gerekli olacak bütçeye çoğu zaman yaklaşılamıyor. Ellie Hurst’un (@Advent_IM_Comms) deneyimlerine göre: “Teknoloji her zaman en büyük paya sahip olacaktır; öte yandan ihlallerin genelde kişisel davranışlardan kaynaklandığını biliyoruz.”
Prof. Sally Eaves'e göre, Sally Eaves için temelin doğru kurulması çok önemli: “Bulunduğunuz noktayı gözden geçirmeniz, görünürlüğü artırmanız, veri kirliliğini ve karmaşıklığını azaltmanız ve saldırılara tepki direncini artırmanız gerekiyor. Sonuçta, siber hijyene özen gösterildiğinde saldırıların %'98i savuşturulabiliyor”.
Bill Mew, yüksek siber hijyenin yanı sıra, şu temel unsurlara da dikkate çekiyor: “1. Özellikle Phishing alanında eğitim ve farkındalık. 2. MFA (Çok Faktörlü Kimlik Doğrulama). 3. Güvenlik yamaları, anti-virüs yazılımları ve güvenlik duvarları gibi siber demirbaşlar.”
Sarah Janes (@SarahkJanes) ise şunları hatırlatıyor: “Merkezi kaynaklardan daha fazla desteğe ihtiyaç var. Bunun için yalnız para değil, değişim sürecini kolaylaştıracak ve işletmelerle birebir çalışabilecek yetkin kişiler de sağlanması gerekiyor.”
Düzenli güncelleme ve yamalar, şifre karmaşıklığı kılavuzları ve gereksiz güvenlik duvarı portlarının bloke edilmesi ile birlikte güvenliğin güçlendirmesine yardımcı olabilir. Neil Cattermull ise (@NeilCattermull) veri eşleme ve izlemenin büyük bir rol oynadığına işaret ediyor. Gereksiz depolanan verilerin düzenli olarak silinmesinin, erişim sınırlaması ile veri minimizasyonunun ve net bir veri saklama politikasının işletmelere hassas bilgilerin korunmasına yardımcı olacağını dile getiriyor. “Günümüz dünyasında, her temas noktasında güvenlik ihtiyacı olduğunu varsaymamız gerekiyor. Bunu atladığınız an saldırıya uğrayabilirsiniz!”
Siber güvenlik yolculuğunda nerede olduğunuzdan bağımsız olarak, Kate Sukhanova (@ThisIsKateS) “siber güvenliği sonradan uygulanan bir şey olarak algılamak yerine her şirketin tasarım itibariyle güvenli sistemler ve ürünler yaratması gerektiğini” savunuyor. Giuliano Liguori ise şunu ekliyor: “Dijital KOBİ eko-sisteminin giderek daha fazla siber saldırıya maruz kaldığı düşünülürse, daha dirençli bir eko-sistem oluşturmak, iş birliği ve ortaklıklar kurmak kilit önem taşıyor”.
Uç noktaların güvenceye alınması, tüm organizasyonların siber güvenlik sağlığında hayati bir role sahip. Başlangıç noktası olarak, çalışanlarınızın yerel olarak sakladığı verileri inceleyerek veri kaybının önlenmesine odaklanmak kritik derecede önemli. Şifrelenmiş USB çubukları bu alanda çok etkili olabilir; zira hassas bilgilerin güvenli bir şekilde saklanmasını ve aktarılmasını mümkün kılıyorlar.
Roland Broch'un (@rolandbroch) tavsiyesi şu yönde: “İdeal olarak, tüm uç nokta cihazları tanımlanmış bir güvenlik düzeyini ve şirketin uyumluluk gereklilikleri karşılamalı.” Bir uç nokta, IT'ye güvenlik duvarı dışından bağlanan herhangi bir cihaz olabileceği için, her bir nokta saldırı potansiyeli taşıyor. Bu nedenle de, güvence altına alınması ve yönetilmesi gerekiyor. Elena Carstoiu ise (@elenacarstoiu) bunun özellikle “çalışanların (rastgele Wi-Fi ağlarında ve farklı koşullarda kullandıkları) kendi cihazlarını iş yerinde kullanmasına izin veren işletmeler için çok önemli olduğunu” vurguluyor. Muhtemelen geleneksel olarak merkezi yönetilen şirket ağları nedeniyle uç nokta güvenlik çözümlerine talepteki ciddi artış dikkate alındığında, Uç Nokta Tehdit Algılama ve Yanıt (EDR) sektörünün giderek büyüdüğünü görüyoruz. Bununla birlikte, siber düzlemde ‘en zayıf halka’ uç noktaları işleten kullanıcılarken, kontrol boyutunda doğru dengeyi nasıl sağlayabilirsiniz? “Her şeyi kilitlemek üretkenliği engelleyecektir; açık bırakmak ise hacker’lara davetiye çıkaracaktır!”, Nigel Tozer (@NigelTozer) durumu böyle özetliyor.
Kate Sukhanova'nın düşüncelerine göre: “Şifreleme bir varsayılan uygulama olmalı; ancak tek başına sosyal mühendisliğe karşı neredeyse savunmasız olduğu için sıfır güven anlayışı ile kombine edilmeli.” Yeni teknolojiler de bu süreçte bir rol oynuyor; Rafael Bloom'un gözlemleri: “Android ve iOS gibi işletim sistemleri artık biyometrik ID, şifre yönetimi ve çok faktörlü kimlik doğrulama ile bir uç nokta koruma sistemi inşa ediyor.” Bazı uç nokta koruma platformları ise incelemeleri otomatikleştirmek için makine öğrenimi gibi karmaşık yöntemlerden faydalanıyor.
Tümünü dikkate aldığımızda bir bitiş çizgisi görebiliyor muyuz? Prof. Sally Eaves buna pek inanmıyor; aksine, yüksek risklerin daha da yükselmesinin muhtemel olduğu düşüncesinde. “Uç nokta tercihinin yanı sıra esnek çalışma ve etrafımızı kaplayan uygulamalar, perimetre güvenliği kullanılan geleneksel güven sınırlarının artık mevcut olmadığını gösteriyor.”
Bill Mew de “uç noktaların artık size ait olmadığını” doğruluyor: “Bir gümüş kurşuna veya mutlak garantiye sahip değiliz (unutmayın, NSA bile hacklendi)”. Risk farkındalığı, siber hijyen ve sıfır güven, SASE ve EDR çözümleri gibi akıllı teknoloji ve yöntemlerden yararlanmanın sürekli büyüyen uç nokta güvenliği dünyasında elinizdeki en iyi silah olduğuna vurgu yapıyor.
Kingston Technology olarak, şifrelenmiş USB çubuğu alanında güvenilir bir danışman rolü taşıdığımıza inanıyoruz. Doğru çözümü planlamak için güvenlik hedeflerini doğru anlamak gerektiğinin farkındayız. Kingston Ask an Expert ekibimiz, riski şifrelenmiş USB çözümlerimizle düşürmenize yardımcı olabilir. İşinizden bağımsız olarak, işletmenizin ihtiyaçlarına destek olmak için Kingston daima yanınızda: Kingston Is With You. 2022 yılı şirketler için beklenmeyen zorluklara ve fırsatlara sahne oldu; bununla birlikte, çözümlerimizin işletmeleri yaşadıkları tüm teknolojik zorluklara karşı destekleyeceğine olan inancımızı koruyoruz.
#KingstonIsWithYou #KingstonIronKey
Doğru çözümün planlanması, projenizin güvenlik hedeflerinin anlaşılmasını gerektirir. Kingston’ın uzmanları size yardımcı olabilir.
Bir Uzmana Sorun