2015 yılının en göze çarpan özelliği, güvenlik sağlayıcılarının gelişmiş tehdit ihlallerine karşı koruma sağladıkları iddialarında bulunmalarına karşın, aslında sağlayamamaları gerçeği oldu.
Bir diğer öne çıkan durum da, şirketlerin dijital ortamlarının farklı şekilde izlenmesi ve savunulması gerektiğini fark etmeleri ama – farklı bir sonuç elde etmeyi umarak ama farklı hareket etmeyerek – güvenlik programlarını zaten kullanmakta oldukları teknolojiler ve yaklaşımların merkezine yerleştirmeye devam etmeleriydi.
2015 yılında, tehditlerin birçok organizasyonun bu tehditleri algılama ve bunlara yanıt verme hızından daha çabuk değiştiğine tanık olduk. Sadece birkaç yıl önce “gelişmiş tehdit” olarak kabul edilen bir tehdit, bugün bir film bileti fiyatına satılan gelişmiş kötü amaçlı yazılımlar ve saldırı setleri sayesinde olağan bir hal aldı. Bu gözlemler ne kadar can sıkıcı görünürse görünsün, en büyük etkiyi yaratacak değişim neredeyse hiç bildirilmemiş ve yanlış anlaşılmış kalmaya devam ediyor. Bugün en önemli olan tehditler, günümüzün yaygın tehdit aktörleri, devamlılığı sağlamak için birden fazla saldırı yöntemi ve birden fazla arka kapıdan oluşan kampanyalarla saldırmaktalar. Olay kapsamının eksik belirlenmesi, önemli bir hata noktası haline geldi.
Önleme konusuna çılgınca odaklanan güvenlik yatırımlarında artık izleme, algılama ve tepki özelliklerini de dengeleyecek bir değişim yaşandığından, bazı alanlarda ilerleme kat edildiğini görüyoruz. İhlallerin kaçınılmaz olduğunu ve daha hızlı algılamanın ve olay kapsamını daha doğru belirlemenin izlenmesi gereken yol olduğunu söylemek artık bir klişe olsa da, çok sayıda organizasyon gereksinimlerini karşılayacak şekilde tasarlanmış olan ya da karşılayabilenleri değil, ellerindeki teknolojileri ve süreçleri kullanarak bu çok farklı görevleri gerçekleştirmeye çalışmaktalar. İşte 2016 yılında sektörümüzün ve kuruluşların hazırlıklı olması gereken, yeni ortaya çıkan eğilimlerden bazıları:
- Stratejik Veri Manipülasyonu ve Bozulması – Organizasyonlar verilerine sadece uygunsuz şekilde erişildiğini değil, verilerinin kurcalandığını da fark etmeye başlayacaklar. İnsanlar ve bilgisayar sistemleri için karar verme sürecini veriler yönlendirir. O veriler farkında olmadan manipüle edilirse, söz konusu kararlar yanlış verilere dayanarak verilir. Bileşenlerin karıştırılması, kontrol sistemleri ve üretim süreçlerindeki verilerin yanlış yorumlanmasının olası yıkıcı sonuçlarını düşünün.
- Uygulama Hizmeti Sağlayıcılara Yönelik Artan Saldırılar – Organizasyonlar “Hizmet olarak” modeli konusunda kendilerini giderek daha rahat hissettikçe, en hassas uygulamaları ve bazı verileri de Bulutta barındırılıyor. Birçok şirketten gelen bu değerli verilerin bir araya toplanması, siber suçlular ve siber casuslar için inanılmaz derecede kârlı bir hedef yaratır. Üçüncü taraf kaynaklı risklere dair daha kapsamlı bir anlayış gereklidir.
- Hacktivizm ve Saldırı Yüzeyi – Önceki yorumumda da belirttiğim gibi, siber saldırı araçları ve hizmetleri her geçen gün olağan hal aldıkça, bir organizasyona saldırmanın maliyeti önemli ölçüde düşmekte ve bu da birincil odak noktası finansal kazanç olmayan daha fazla sayıda saldırının yapılabilmesini sağlamakta. Anonymous gibi gelişmiş hacktivist topluluklarına, daha deneyimsiz siber adalet savaşçıları katılıyor. Kuruluşlar muhalif görüşlerden bazılarını yönlendiren tek ve hatta en büyük etkenin finansal kazanç olmadığını fark etmeliler. Güvenlik operasyonları ve risk yöneticilerinin sadece tehdide dair anlayışlarını değil, neyin, neden, nerede ve nasıl hedef alındığına dair anlayışlarını da değiştirmeleri gerekir.
- Kırılma Noktasına itilen EKS (Endüstriyel Kontrol Sistemleri) – Kimyasal, elektrik, su ve taşıma sektörlerindeki operasyonları kontrol eden sistemlere yönelik sızıntılar, son üç yılda 17 kat arttı. IoT ile birlikte bağlı ve otomatik sensörlerin gelişmesi, bu sorunları fazlasıyla kızıştırmakta. Siber teknolojinin terörizm amaçlı kullanımındaki artış, genel olarak ICS güvenliğindeki zayıflıkla birlikte hacktivistler ve diğer aktörler, bir elektrik şebekesini ya da su arıtma tesisini indirmenin olası etkisi (Kaliforniya’ya selamlar) bir araya geldiğinde, 2016 yılında olası bir ICS ihlalini fazlasıyla kaygı verici ve giderek daha olası hale getiriyor.
- Güvenlik Endüstrisinde Durgunluk – Endüstrimiz risk sermayesi içinde yüzüyor ve bunun sonucunda stratejilerimiz ve teknolojilerimize, sahte ilaçlardan biraz daha faydalı olabilecek akılsızca yatırımlar yapılmakta. Kuruluşların güvenlik programları olgunlaşmaya devam ettikçe, gelişmiş tehdit ihlallerine karşı koruma sağlama iddialarının, fanteziden öte bir şeyler olmadığını öğreniyorlar. Organizasyonların gelişmiş tehditlere dair olgunlaşan anlayışlarının, güvenlik yatırımı kararlarını her geçen gün biraz daha etkilediği günümüzde, güvenlik sektöründe durgunluk olmasını bekleyebilirsiniz.