Bir CISO olarak kariyerimin büyük bölümünde siber endüstrisi basit ve büyük ölçüde tartışmasız bir varsayımla işliyor gibi görünüyordu. Önlemeye yeterince yatırım yaparsanız ciddi olaylar önlenebilir.
Cevap olarak güçlü çevre kontrolleri, katmanlı savunmalar, düzenli yamalar ve giderek daha karmaşık hale gelen tespit araçları görüldü. İhlaller meydana geldiğinde, modelin hatalı olduğunun kanıtı olmaktan ziyade uygulamadaki başarısızlıklar olarak değerlendirildi.
Halcyon’un Baş Strateji Sorumlusu.
Bu zihniyet farklı bir tehdit ortamında mantıklıydı. Saldırılar daha doğrusal ve çoğunlukla fırsatçıydı. Güvenlik ekiplerin uyarıları analiz etmek, endişeleri dile getirmek ve saldırganlar kritik sistemlere ulaşmadan müdahale etmek için zamanları vardı. Yönetim kurulları kesinlik bekliyordu ve önleme, anlaşılması kolay ve finansmanı güven verici bir anlatım sunuyordu.
Değişen yalnızca saldırıların hacmi değil, aynı zamanda hızları ve uyarlanabilirlikleridir. Fidye yazılımı özellikle ilk önleme modelinin gerçekte ne kadar kırılgan olduğunu ortaya çıkardı.
Buna rağmen birçok kuruluş, daha iyi araçların eninde sonunda aradaki farkı kapatacağı fikrini ısrarla vurguluyor. Deneyimlerime göre, bu inanç devam ediyor çünkü siber uzlaşmanın artık bir “olup olmayacağı” değil, ne zaman olacağı meselesi olduğunu kabul etmek daha az rahat.
Yedeklemeler, bu inancın olması gerekenden daha uzun süre hayatta kalmasını sağlayan güvenlik ağı haline geldi. Kağıt üzerinde mantık sağlam. Bir şeyler ters giderse yedeklemeden geri yükleyin ve devam edin. Gerçekte, fidye yazılımı olayları sürekli olarak bu yaklaşımın baskı altında ne kadar kırılgan olduğunu gösteriyor.
Zaman hassasiyeti
Aslında yanlış giden şey nadiren tek bir teknik arızadır. Yedeklemeler mevcut olabilir ancak bunlar genellikle eksiktir, güncelliğini yitirmiştir veya gerçek hayat senaryolarında test edilmemiştir. Daha da önemlisi, verileri geri yüklemek kurtarma işleminin yalnızca küçük bir kısmıdır.
Sistemlerin yeniden inşa edilmesi gerekiyor ağlar yeniden bölümlere ayrılır, kimlik bilgileri değiştirilir ve saldırganın artık erişime sahip olmadığına dair güven yeniden sağlanır. Pek çok kuruluş, yedeklemelerinin ilk etapta istismar edilen zayıflıkların aynısını yeniden ortaya çıkardığını çok geç keşfeder.
Yönetici düzeyinde zaman en hafife alınan faktördür. İyileşmenin saatlerle ölçüldüğüne dair ısrarcı bir varsayım var çünkü gösterge tablolarının önerdiği şey bu. Gerçek olaylarda saat çok farklı işliyor. Her karar, işleri daha da kötüleştirme riskine karşı tartılır.
Ekipler haklı olarak tereddüt ediyor çünkü sistemleri çok hızlı bir şekilde tekrar çevrimiçi hale getirmek, yeniden bulaşmayı veya daha fazlasını tetikleyebilir veri kaybı. Bu tereddüt, iyileşme zaman çizelgelerini liderliğin beklediğinin çok ötesine uzatıyor.
İnanıyorum ki yapay zeka saldırgan taraftaki dinamikleri temelden değiştirdi ve iyileşme üzerindeki baskının şiddetli hale geldiği yer burası. Saldırganlar artık insan hızıyla sınırlı değil.
Otomasyon, ilk erişimden hemen sonra yatay olarak hareket etmelerine, ayrıcalıkları yükseltmelerine ve verileri dışarı çıkarmalarına olanak tanır. Savunma ekipleri etkinliği hızlı bir şekilde tespit edebilir ancak kurtarma süreçleri yavaş, manuel ve parçalı kaldığında tespit, kontrol anlamına gelmez.
Sektör, erken uyarıyı optimize etmek için yıllar harcadı. Bundan sonra ne olacağına çok daha az dikkat edildi. Yapay zeka odaklı saldırılar, uzlaşma ile etki arasındaki pencereyi o kadar dramatik bir şekilde sıkıştırıyor ki, hızlı bir şekilde iyileşme yeteneği, mükemmel bir şekilde önleme yeteneğinden daha önemli hale geliyor.
Kendinden emin ve verimli bir iyileşmeyle tanımlanan dayanıklılık
Bugün iyi bir dayanıklılık duruşu, birçok kuruluşun hâlâ planladığından çok farklı görünüyor. Bazı saldırıların başarılı olacağını varsayar ve patlama yarıçapını ve aksama süresini sınırlamaya odaklanır. Baskı altında güvenilebilecek temiz, yalıtılmış kurtarma ortamlarına öncelik verir.
Düzenli olarak prova edilen, bir kez belgelenmeyen ve el değmeden bırakılan kurtarma süreçlerini gerektirir. En önemlisi, yönetim kurullarının dayanıklılığı bir işletme yetenek, sonradan teknik bir düşünce değil. Kurtarma hedeflerinin gerçekçi ve anlamlı olması gerekir.
Bir sunucuyu geri yüklemek, işlemleri geri yüklemekle aynı şey değildir. En hızlı toparlanan kuruluşlar, rollerin net olduğu, kararların önceden verildiği ve liderliğin kriz koşullarında faaliyet gösterdiği kuruluşlardır.
Bugün gördüğüm en tehlikeli uyumsuzluk, yapay zeka odaklı saldırılar ile insanın karar verme süreci arasındadır. Saldırganlar, yorulmadan veya organizasyonel sürtüşmeler olmadan, gerçek zamanlı olarak uyum sağlayarak sürekli çalışırlar. Savunmacılar, mümkün olan en kötü anda her şeyi yavaşlatan komitelere, onaylara ve tırmanma yollarına güveniyor.
Olaylar meydana geldiğinde belirsizlik hızla yayılır ve hazırlık yapılmazsa bu belirsizlik felce dönüşür.
Fidye yazılımının gelişimini izleyerek çıkardığım bir sonuç varsa o da budur. Dayanıklılık artık saldırganları ne kadar iyi dışarıda tuttuğunuzla tanımlanmıyor. İçeri girdiklerinde ne kadar hızlı ve güvenli bir şekilde iyileşebileceğinizle tanımlanır.
Bu değişimi fark eden ve buna göre yatırım yapan kuruluşlar faaliyetlerine devam edecek. Önlemeyi birincil stratejileri olarak görenler, iyileşmenin beklenenden çok daha uzun sürmesi karşısında şaşırmaya devam edecekler.
En iyi çevrimiçi siber güvenlik kursunu sunduk.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro