Ponemon Institute tarafından önümüzdeki üç yıl boyunca siber güvenlik alanındaki küresel mega trendler üzerine yapılan 2018 tarihli bir araştırma, CISO'ların daha büyük bir risk ile karşı karşıya kalacağını ve ankete katılanların yüzde 67'sine göre fidye yazılımı gibi siber ihlallerin sayısıyla karşı karşıya kalacağını gösteriyor. Ayrıca, ankete katılanların yüzde 60'ı devlete ve ticari girişimlere yönelik saldırıların daha da kötüye gideceğine ve siber savaşa yol açacağına inanıyor.

İster 2018, 2008, ister 2028 olsun, işletmeler her zaman aynı soruyla yüzleşir: İşletme siber saldırılara karşı tamamen güvenli midir?

Kısa cevap, hiçbir işletmenin siber saldırılardan tamamen korunaklı olması mümkün değildir.

Yeni ve daha katı gizlilik düzenlemelerinin ortaya çıkmasıyla, işletmeler veri hırsızlığının ve ardından gelen tehditlerin ciddiyetinin farkına varmaya başlamıştır. Ancak genellikle henüz bir siber güvenlik stratejisine yeterince yatırım yapmamışlardır. Bir siber güvenlik stratejisi oluştururken, bir işletme iki yaklaşıma sahip olabilir - proaktif ve reaktif. Nedenini anlayalım.

Çoğunlukla, korunma tedaviden daha iyidir. Siber suçlular saldırı stratejilerini sürekli değiştiriyorlar, bu nedenle işletmelerin saldırıları gerçekleşmeden önce tespit etmesi ve önlenmesi önemlidir. Proaktif bir strateji, tipik olarak olayları değerlendirmeyi ve istismar edilebilecek potansiyel tehlikelere karşı önlem almayı içerir.

Proaktif önlemler, iş uygulamaları için sıkı erişim yönetimi politikaları, disaster recovery,  güvenlik açığı testi ve daha fazlası için sürekli risk değerlendirmeleri içerebilir. Benzer şekilde, işletmeler kötü niyetli e-postalara, spam dosyalarına veya spektrumun önlenmesinde önemli faktörler olan uyarı işaretlerine yanıt vermek gibi en iyi siber güvenlik uygulamaları hakkında çalışanlarını eğitmek için zaman harcarlar.

Reaktif önlemler de çok önemlidir. Bir saldırıdan sonra sebep sonuç analizi yapmak, ilk etapta saldırılara izin veren zayıflıkları güçlendirmeye yardımcı olacaktır. Ayrıca KVKK ve diğer güvenlik mevzuatı ile birlikte, kuruluşların ihlalleri olduğu gibi ve ne zaman bildirmeleri ve bu ihlallerin getirdiği riskleri azaltmak ve en aza indirgemek için adımlar atması gerekmektedir.

Çevreleme, düzenli olay yönetimi ve gerçek zamanlı tehdit izleme ve azaltma için bir iş sürekliliği süreci gibi belirli reaktif güvenlik kontrollerinin kurulmasını içerir. Diğer reaktif önlemler arasında yazılım ve donanımın zamanında eklenmesi, olayların sürekli izlenmesi, güvenlik ve uyumluluk denetimi ve daha fazlası çevrelemenin sahasına girer.

Proaktif ve reaktif siber güvenlik uygulamaları hakkında daha fazla bilgi için, işte bazı önemli noktalar;

1. Aktif, proaktif veya reaktif: Siber güvenlik pozisyonunuzun değerlendirilmesi

Bir kuruluşun güvenlik durumu, mevcut bilgi güvenliği altyapısı ve uygulamalarına dayanarak siber tehditleri önlemek, tespit etmek ve engellemek için ne kadar sağlam bir donanıma sahip olduklarını gösterir.

2. Ticari esneklik planı şartlarını gözden kaçırmayın

İş esnekliği planlaması, güç kaynağı, sistemler, siber güvenlik ve yedekleme prosedürleri arasında önleyici ve proaktif korumaları gerektirir. Personel planlaması da önemlidir.

3. Siber Güvenlik Dönüşümü: Reaktiften Proaktife

Siber güvenlik programı dönüşümü sadece bilgi varlıklarının korunmasını ve sürekliliğini sağlayan yeteneklerde önemli değişiklikler yapmakla kalmaz, aynı zamanda mevcut yetenekleri daha iyi kullanan düşüncesindeki bir dönüşümle de ilgilidir.

4. CIO'ların siber güvenlik tehditlerine karşı proaktif olmaları neden gerekiyor?

Güvenlik yöneticileri, firmaları saldırıları baştan önleme odağını kaybetmemeye çağırmalıdır. Bu sayede BT ve iş birimleri için birlikte siber güvenlikle mücadele etmek için bütünsel bir plan geliştirilmesinde önderlik ederler.

5. Bir siber güvenlik platformunun en önemli özellikleri

Bilgi güvenliği uzmanları, herhangi bir güvenlik platformunda önleme, tespit ve yanıtlama ve büyük tehdit vektörleri için merkezi yönetim ve teknolojilerinin kapsamını geniş tutmak durumundadır. 

Proaktif stratejiler, gerçek zamanlı olarak ağları ve uç noktalarında meydana gelen olayların ayrıntılı bir şekilde görülebilmesini sağlayarak, işletmelerin saldırıların üstesinden gelmelerine yardımcı olurken bir yandan da reaktif önlemler güvenlik önlemlerinin güçlendirilmesine ve geçmiş gözetimlere dayalı daha esnek bir güvenlik altyapısı oluşturulmasına yardımcı olacaktır.

İşletmelerin etkin bir siber güvenlik stratejisi oluşturmak için proaktif ve reaktif yaklaşımları harmanlamaları en idealidir. İyi düşünülmüş güvenlik prosedürleri, kontrolleri ve çözümleri ile işletmeler, bir saldırı durumunda afet ve riskleri önleme konusunda daha çok şansa sahip olacaklardır.

Dağıtılmış bir iş gücünün yani evden çalışmaya geçişin yeni normali, siber tehdit ortamında ilerlemelere yol açtı. Küresel kuruluşlar fidye yazılımı saldırılarında yüzde 148 artış görüldü ve bunların çoğu finans ve sağlık sektörlerini hedefliyor. Amerika Birleşik Devletleri'ndeki COVID-19 sağlık bilgileri veya seçimler gibi popüler ilgi alanlarının küresel etkisi e-postalar ve güvenli olmayan cihazlar yoluyla kimlik avı saldırılarının önünü açar.

Siber saldırıları önlemek savaşın yarısıdır. Bir siber saldırının etkisine hazırlık yapmak diğer yarısıdır ve bir kuruluşun siber dirençli olmasını sağlayan şeydir. Kapsamlı bir Siber Güvenlik Olayı Müdahale Planı (Cybersecurity Incident Response Plan, CIRP) bir kuruluşun bir siber saldırıdan kaynaklanan zararları azaltmasına ve kontrol etmesine yardımcı olur.

İşletme çapında bir CIRP, organizasyondaki üç ayağı güçlendirmeye odaklanır: insanlar, süreç ve teknoloji.

Bir güvenlik olayı müdahale ekibi sadece BT departmanından değil aynı zamanda İK, Hukuk ve Halkla İlişkiler gibi yardımcı departmanlardan da oluşur. Ekibin yapılandırılmış bir dizi rolü ve sorumluluğu olmalıdır ve mevcut siber tehdit ortamına ilişkin farkındalığı artırmak için çalışanlara düzenli eğitim oturumları düzenlemelidir.

Kuruluşlar, kapsamlı bir siber güvenlik stratejisi geliştirmek için genellikle bazı araçlar kullanır. Bununla birlikte birlikte çalışabilirliği engelleyen ve dolayısıyla siber güvenlik sistemlerinin verimliliğini azaltan bağlantısız sistemler riski ortaya çıkmaktadır. Bilgi güvenliği yöneticilerinin (CISO'lar) güvenlik sistemlerinde görünürlüğü iyileştirmek için doğru siber güvenlik araçlarının kullanımını sağlamaları ve tehdit önleme, algılama ve yanıtlamada en iyi uygulamaları benimsemeleri gerekir.

Siber Güvenlik Olay Müdahale Planları ve kuruluşların bir siber saldırıya hazırlanmak için doğru eğitim, süreç ve teknolojilerle nasıl strateji oluşturup bunlarla nasıl çalışabileceği hakkında beş ilginç makaleyi aşağıda bulabilirsiniz.

1.  Koronavirüs Pandemisi Sırasında Siber Güvenlik Zorlukları ve Olaylara Müdahale Hazırlığı

 Pandemi sırasında uzak araçların hızlı ve plansız bir şekilde benimsenmesi, kuruluşlarda siber güvenlik açıklarının artmasına neden oldu. Güvenli olmayan Wi-Fi ağlarının ve yamalanmamış VPN'lerin kullanımı riski artırır. Bu madde, kuruluşların kapsamlı bir olay müdahale planını uygulamaya koymadan önce dikkate almaları gereken temel noktaları tartışmaktadır. Kullanılabilirliği yüksek ve esnek bir savaş odası elde etmek için iletişimi ve kaynakların fazlalığını sağlamaya büyük önem verilmektedir. Bu noktada verilebilecek tavsiyeler şunlardır;

• Alternatif iletişim kanalları oluşturun
• Anahtar çalışanlara ulaşılamaması durumu için plan yapın
• Anahtar müdahale planlarını test edin
• Masaüstü egzersizleri yaparak uzak bir çalışma ortamında çalışırken ve iletişim zor olduğunda bozulan temel müdahale süreçlerini belirleyerek alıştırmalar yapın
• VPN zaafiyet taramaları yapın
• Administrator yetkili hesap gereksinimlerini düzenleyin ve yapabiliyorsanız en aza indirin
• CISA uzmanlarının rehberliğinden faydalanın

2.  Pandemide Etkili Uzaktan Olay Müdahalesi Uygulama

Dünya çapındaki sokağa çıkma yasakları Dijital Adli Tıp ve Olay Müdahale ekipleri için BT sistemlerine fiziksel erişimi kısıtladı. Bulut tabanlı Uç Nokta Algılama ve Müdahale araçlarının kullanılması uzaktan araştırmayı kolaylaştırır ve kritik uç noktalar için görünürlük sağlar. Tespit edildiğinde de bu araçlar tehdidin karantinaya alınmasına yardımcı olur. COVID-19 zamanlarımızda fiziksel erişim olmadan tehditleri temizlemek zordur. Çözüm, etkilenen sistemleri yeniden görüntülemeyi ve nihayetinde uzaktan onarımları gerçekleştirmek için de araçlar kullanmayı içerir. Bu noktada SIEM uygulamaları, Endpoint Detection and Response araçları, Privilege Access Management uygulamaları ve telekonferans uygulamaları bunlara örnek olarak verilebilir.

3.  Etkili bir siber olay müdahale planının özellikleri nelerdir?

Bir olay müdahale planının oluşturulması, düzenli olarak test edilmelidir İş gücünün içgüdüsel olarak kas hafızasına dahil edilmesi için işgücünün sürekli eğitimini içermelidir. Bu başlık, bir siber tehdit olayı sırasında kaostan düzene ulaşmaya yardımcı olan etkili bir siber olay müdahale planının yedi özelliğini gözler önüne seriyor;

• Eyleme geçirilebilir bir müdahale akışı sağlayın

Herhangi bir kimse bir müdahalenin somut adımlarla kronolojik olarak nasıl ilerlemesi gerektiğini izleyebilmelidir. Bir akış şemasının ve kontrol listelerinin dahil edilmesi bunlar için netlik sağlayabilir ve bir güvenlik ihlalinin sıcaklığında ki yanlış adımları önleyebilir

• Olay sınıflandırmasını açıkça tanımlayın

Olayları uygun şekilde sınıflandırmak için açık kriterler dahil edilmelidir. Düşük ve orta düzeydeki olaylar genellikle operasyonel BT ekiplerince ele alınabilirken daha yüksek önem derecesine sahip olaylar genellikle daha geniş beceri setleri, ek kaynak tahsisi, daha canlı yönetimi gerektirmektedir. Bu sebepler ile ya seviye-2 / seviye-3 destek ya da üçüncü-parti firma desteği gerektirir.

• Net iletişim kanalları oluşturun

Yanlış iletişi, zaten zor olan bir durumu daha da zor hale getirebilir. Olay müdahale planları operasyonel ekiplerin, ilgili bilgileri diğer ekiplere ve paydaşlara iletmesi gerektiğini açıkça ortaya koymalıdır. Teams Whatsapp gibi mesajlaşma/haberleşme uygulamaları aracılığıyla açık iletişim kanallarının kurulması bir ağ tehlikesi durumunda iletişim kanallarına erişiminizi de koruyacaktır. Bu özellikle işgücünüzün geniş bir alana yayıldığı dönemlerde önemlidir.

• Rolleri ve sorumlulukları atayın ve tanımlayın

Resmileştirilmiş rolleri ve sorumlulukları açıkça belirtin. Bu atama temel teknik güvenlik ekibinin ötesine geçmeli ve bir siber saldırıya veya veri ihlaline müdahale etmeye dahil olan tüm paydaşları kapsamalıdır. Atama hukuk, pazarlama, halkla ilişkiler, üretim operasyonları ve insan kaynakları ekiplerinden gelenleri içerebilir.

• Üçüncü-partilerden destek almayı da düşünün

 Bunlar kolluk kuvvetleri veya düzenleyici kurumlar, sigorta sağlayıcıları, bilgi güvenliği konusunda uzman hukuk danışmanlarını, halkla ilişkiler kaynakları ve siber güvenlik şirketlerini içerebilir.

• Uygun olan yerlere oyun kitapları ekleyin

En yaygın olayları veya kuruluşunuzun karşılaştığı kritik risklerle ilişkili olabilecekleri belirleyin. Bu belirli risklerle ilgili, müdahale yoluyla işletmeye rehberlik etmek için eyleme geçirilebilir oyun kitapları hazırlayın. Bu oyun kitapları beklenmedik olayları hesaba katmak için yeterince esnek kalırken, ana müdahale akışında bulunanlardan daha kuralcı adımlar içerebilir (ör. Bir perakendeci sızdırılan ödeme bilgileri için bir başucu kitabına sahip olmak isteyebilir).

• Diğer planlamaları hesaba katın

Olay müdahale planları diğer organizasyonel planlamaya dayanır ve bunları besler. Başarılı planlar, kriz yönetimi planlarına ek olarak ilgili BT odaklı iş sürekliliği ve felaket kurtarma planlarına referans vermeli ve bunlara bağlanmalıdır.

4.Siber güvenlikte yapay zeka, makine öğrenimi ve otomasyon: Şimdi tam zamanı

Siber saldırılardaki artış, büyük bir siber güvenlik beceri boşluğu yaşandığında ortaya çıkıyor. Yapay zeka, makine öğrenimi ve otomasyon, kuruluşların siber tehditlere hızla yanıt vermesi için yetenekler sağlar. Bu başlık tehdit önleme, tespit ve müdahale çözümleri arasında sınırlı kaynaklara ve bütçelere öncelik verme konusunda CISO'ların karşılaştığı ikilemi tartışmaktadır.

Genel zorluk ortamı;

"Zor Seçimler Yapmak: CISO'lar Artan Tehditleri ve Sınırlı Kaynakları Nasıl Yönetiyor" başlıklı anketimizin sonuçları, CISO'ların şu anda bütçelerinin %36'sını müdahaleye ve %33'ünü önlemeye ayırdığını gösteriyor. Bununla birlikte güvenlik ihtiyaçları değiştikçe birçok CISO etkinliğini azaltmadan ve bütçeyi etkilemeden bu atakları uzaklaştırmaya çalışıyor. Bugünün siber saldırılarının hızıyla eşleştirilmesinin önündeki zorluklardan biri, CISO'ların personel ve bütçe kaynaklarının sınırlı olmasıdır. Bu engellerin üstesinden gelmek ve etkili siber güvenlik için gerekli algılama ve yanıt hızlarına ulaşmak için CISO'lar yapay zeka, makine öğrenimi ve otomasyondan yararlanmalıdır. Bu teknolojiler tehditleri ilişkilendirerek müdahaleyi makine hızında koordine ederek boşlukların kapatılmasına yardımcı olacaktır.

Eşsiz zorluklar;

Özellikle devlet kurumları, BT sistemlerinin yaşı ve karmaşıklığı ile hükümetin bütçe döngüsünün zorlukları dahil olmak üzere, kamu sektörüne özgü bir dizi zorlukla ilgilenir. Devlet kurumları için BT ekipleri yalnızca fikri mülkiyeti veya kredi kartı numaralarını korumakla kalmaz. Ayrıca vatandaşların hassas verilerini ve ulusal güvenlik sırlarını korumakla görevlidirler. Bu sebeple silo sistemlerinin tipik hükümet yapısı, daha geniş ve daha ayrıntılı ağ görünürlüğü ve daha hızlı ve otomatik yanıt sağlayabilen birleşik bir platformla değiştirilmelidir.

Yapay zeka ve otomasyon nasıl yardımcı olabilir?;

Birleşik bir platform çalışması yapmanın anahtarı yapay zeka ve otomasyon teknolojileridir. Kuruluşlar manuel tespit ve müdahale ile artan tehdit hacmine ayak uyduramadıkları için bu boşlukları doldurmak için AI / Machine Learning ve otomasyondan yararlanmaları gerekir. Yapay zeka odaklı çözümler anormal davranışları tespit etmek için normal davranışın nasıl olduğunu öğrenebilir. Örneğin birçok çalışan genellikle belirli bir tür veriye erişir veya yalnızca belirli zamanlarda oturum açar. Bir çalışanın hesabı bu normal parametrelerin dışında etkinlik göstermeye başlarsa AI / Machine Learning tabanlı bir çözüm bu anormallikleri tespit edebilir ve güvenli olduğu belirlenene kadar etkilenen cihazı veya kullanıcı hesabını inceleyebilir veya karantinaya alabilir. Bu sayede atak anında hafifletici bir önlem otomatik olarak alınmış olur.

Cihaza kötü amaçlı yazılım bulaşmışsa veya kötü niyetli davranıyorsa bu yapay zeka tabanlı araç da otomatik yanıtlar verebilir. Bu taktiksel görevleri yapay zeka odaklı çözümlerin sorumluluğu haline getirmek güvenlik ekiplerinin daha stratejik sorunlar üzerinde çalışmasını, tehdit zekası geliştirmesini veya daha zor görevlere odaklanmasını sağlar.

5. Fidye Yazılımı Olayına Müdahale Planınız Geleceğe Yönelik mi?

Kuruluşlar fidye yazılımı saldırılarının farklı olduğu ve diğer siber tehditlerden daha fazla etki yarattığı gerçeğini gözden kaçırıyor olabilir. Bir siber saldırıyı takiben BT ekiplerinin genellikle zahmetli manuel çabaları olacaktır. Bu da büyük fidye taleplerine teslim olup olmayacağını değerlendirirken kuruluşlar tarafından dikkate alınmalıdır. BT altyapısının boyutu onarım ve hasarı yumuşatma sürecinin karmaşıklığına katkıda bulunur. Bu başlık operasyonları hızlı ve ucuz bir şekilde eski haline getirmek için olay müdahale planında hayata geçirilmesi gereken süreçlerin önemini özetlemektedir.

İşletme çapında CIRP 'ye sahip kuruluşlar iş kesintilerine karşı daha az hassastır. Siber güvenlikteki sürekli iyileştirme siber saldırıya özgü olay müdahale planlarını düzenli olarak gözden geçirmeyi, doğru araçları kullanmayı ve yanıtlarını verimli bir şekilde yönetmeleri için işgücünü eğitmeyi içermelidir. Bir CIRP geliştirmeye yardımcı olan teknolojilerden birkaçı arasında; Güvenlik Bilgileri ve Olay Yönetimi (SIEM), Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR), Birleşik Uç Nokta Yönetimi (UEM) ve Kullanıcı ve Varlık Davranışı Analitiği (UEBA) bulunur.

Bu çözümler için ManageEngine ‘in ürünlerini inceleyebilirsiniz.  Henüz ManageEngine ürünlerini test etme şansı bulamadıysanız bu linkten demo talebinde bulunabilir ve birlikte demo çalışması yapabiliriz.