Trace Id is missing

Siber Dayanıklılık

İndir
Paylaş
Güvenlik uzmanlarının, siber dayanıklılığa ve kurumları için siber güvenliği en üst düzeye çıkarmaya nasıl odaklandıklarını anlamak

Kendilerini saldırılara karşı savunmasız hissettiklerini bildiren her on güvenlik liderinden dokuzu, güvenliğin iş dünyası için bir kolaylaştırıcı olduğunu düşünüyor.

Microsoft Güvenlik, ortaya çıkan güvenlik eğilimlerini ve CISO’lar arasındaki en önemli endişeleri anlamak için 500’den fazla güvenlik uzmanının katılımıyla bir anket gerçekleştirdi. Güvenlik liderlerinin, bugüne dek gördükleri en karmaşık tehdit ortamıyla nasıl mücadele ettiklerini ve gelecek konusunda neden iyimser olduklarını öğrenin.

5 adımda siber dayanıklılık:

  • Güvenlik açıklarının hibrit çalışmanın bir gerçeği olduğunu kabul edin ve dayanıklılığa odaklanın
  • Fidye yazılımı saldırganlarının ilerleyişini sınırlandırın
  • Siber güvenliği, stratejik bir iş fonksiyonuna dönüştürün
  • Artan tehditleri yönetmek için gerekenlere zaten sahip olabileceğinizi fark edin
  • Temel güvenlik önlemlerini uygulayın

Geçtiğimiz birkaç yıl, mevcut olan üç eğilimi ve bunlar arasındaki gerginliği hızlandırdı: (1) hızla gelişen iş ortamında rekabet edebilme, (2) giderek daha ciddi hale gelen siber tehditlere karşı savunma yapma ve (3) bir yandan karmaşıklığı ve dijital geçişi azaltırken bir yandan da ilk iki hedefi aynı anda gerçekleştirebilme.

Hibrit çalışmanın benimsenmesiyle birlikte kurumsal ağlar daha dağınık, karmaşık ve belirsiz hale geldi. İşletmeler, bu fazlasıyla bağlantılı sanal alandaki riski yönetmek istiyorsa siber güvenlik stratejisinin de evrim geçirmesi gerekiyor. Çok faktörlü kimlik doğrulaması (MFA) ve yama yapma gibi temel önlemler, halen güvenliğin temel taşları olsa da çevre tabanlı bir yaklaşım artık geçerli değil. Kurumlar bunun yerine bir dayanıklılık duruşuna geçerek artan güvenlik tehditlerinin etkisini hafifletebilirler.

500’den fazla güvenlik uzmanı ile yaptığımız son anket, liderlerin artık tehdit ve saldırıları önlemeye çalışmak yerine bunlara hazır olmaya odaklanmasıyla bu geçişin başladığını gösteriyor. Ortaya çıkan bu yaklaşımla da güvenlik, riski azaltıp saldırının etkisini en aza indirirken bugünkü çalışma sistemimizi de mümkün kılan stratejik bir iş fonksiyonu haline geliyor.

  • Güvenlik liderlerinin %61'i bulutun saldırıya en açık dijital özellik olduğunu söylüyor.
  • Her 3 kişiden 2'si hibrit çalışmanın kurumlarını daha az güvenli hale getirdiğini söylüyor.
  • Geçen yılki tüm saldırıların %40'ı ve tüm bulut saldırılarının yarısı, işleri önemli ölçüde etkiledi.

Hibrit çalışma, her türden işletmeyi buluta iterek çevre gibi bir algıyı ortadan kaldırdı. İşler, daha önce hiç olmadığı kadar; platformlar, bulut uygulamaları, kişisel cihazlar ve ev ağları gibi savunulması zor alanlarda gerçekleşiyor. Her üç güvenlik liderinden ikisinin, hibrit çalışmanın kurumlarını daha az güvenli hale getirdiğini söylemesi şaşırtıcı değil. Bulut ve ağ güvenlik açıkları, bugün çok yıllık kötü amaçlı yazılım tehdidinin bile önüne geçerek güvenlik liderleri için en önemli güvenlik endişesi haline geldi. Liderlerin yüzde 61'i bulut altyapısı ve bulut uygulamalarını dijital ortamın saldırıya en açık özelliği olarak tanımlarken bunun arkasından da ağlar geliyor. Liderlerin yarısı da en savunmasız dijital özellik olarak uzaktan çalışmanın bir parçası olan e-posta ve işbirliği araçlarını gösteriyor.

Güvenlik uzmanlarının %45'i e-posta ve işbirliği araçlarını, kurumlarının saldırılara en açık yönü olarak tanımlıyor.

Bu liderler endişelenmekte haklılar. Araştırmamıza göre bulutun yanlış yapılandırılmasından kaynaklanan ihlaller de kötü amaçlı yazılım saldırıları kadar yaygın hatta işletmeye verilen önemli zararlara da daha çok onlar sebep oluyor. Yaklaşık her üç işletmeden biri, geçtiğimiz yıl içinde bir bulut yanlış yapılandırma sorunu yaşadığını bildirdi ki bu oran, diğer tüm saldırılardan daha yüksek, kötü amaçlı yazılımlarla ise aynı seviyede. Ancak bulut ve kötü amaçlı yazılım saldırıları, etkilerinin ciddiyeti açısından farklılık gösteriyor. Bulut ve IoT ihlali mağdurlarının yaklaşık yarısı, güvenlik saldırılarının önemli iş etkilerine (operasyonel aksama süresi, hassas verilerin çalınması ve itibar kaybı) yol açtığını bildirirken, kötü amaçlı yazılım ve kimlik avı mağdurlarının sadece üçte birinden azı bu düzeyde zarar görmüştür. Güvenlik alanındaki karar mercilerine göre geçtiğimiz yıl yaşanan güvenlik ihlallerinin toplamda yaklaşık yüzde 40'ı işletmeleri önemli ölçüde etkiledi.

Günümüzün birden fazla platform ve bulut ortamına yayılmış hibrit ağları, geleneksel güvenlik önlemleriyle korunamaz. Hem güvenlik liderleri ve hem de uygulayıcıları, en büyük güvenlik sorunu olarak "çoklu bulut ortamını yönetme zorluğunu" gösteriyor. Yaklaşık üçte biri ise kurumun güvenliğini birden fazla platformda sağlamakta zorlandığını bildiriyor. Bu dağınık bulut ağlarının güvenliğini sağlamak, doğası gereği zordur. Örneğin binlerce ilke söz konusu olabilir ve bu nedenle de hangilerinin etkin olduğunu bulmak zorlaşabilir.

Hibrit çalışma kalıcı hale geldiği için işletmelerin artık dahili bir kurumsal ağın, duvarlarla çevrili kalesine çekilmek gibi bir seçeneği olmayacak. Bunun yerine güvenlik açığını hibrit çalışma ortamının bir özelliği olarak benimsemeleri ve saldırıların iş üzerindeki etkisini en aza indirmenin yollarını aramaları gerekiyor.

Güvenlik liderlerinin yapabilecekleri: Bulut uzmanlarını işe alın. Bulutun güvenliğini sağlamak, dahili bir ağın güvenliğini sağlamaktan farklıdır. Bu oyunun farklı kuralları, farklı riskleri vardır. Ankete katılanlardan bazıları, uygulayıcılarının "her işin ustası" olmalarına güvenirken diğerleri de bulut uzmanlarına hatta güvenlik ekibinin dışında yer alabilecek bulut mühendislerine güveniyor. Araştırmamıza göre, güvenlik politikalarının tutarsız uygulanması ve yanlış yapılandırma gibi yönetici hatalarının bulut güvenlik açıklarının başında geldiği göz önüne alındığında, bulut güvenliği üzerinde çalışan ve bulut sistemlerini her yönüyle anlayan uzmanlara sahip olmak (geleneksel güvenlik uzmanlığına sahip olmasalar bile) iyi bir fikir olabilir.
  • Ankete katılan her 5 işletmeden 1'i geçen yıl bir fidye yazılımı saldırısına maruz kaldı.
  • Bu saldırıların yarısı da işletmeleri önemli ölçüde etkiledi.
  • Fidyeyi ödeyen mağdurlar, verilerinin yalnızca %65'ini kurtarabilirken üçte biri ise yarısından daha azını geri alabildi.

Güvenlik tehlikesinin yarattığı bu kusursuz fırtınada kurumsal ağlar bulut çoklu evreninde çoğalırken fidye yazılımları da artıyor. Neredeyse her beş güvenlik liderinden biri geçen yıl bir fidye yazılımı saldırısının kurbanı olduğunu bildiriyor ve yaklaşık üçte biri, fidye yazılımlarını en önemli güvenlik endişeleri arasında sıralıyor. Fortinet 2021 Fidye Yazılım Araştırması Raporu'na göre fidye yazılımları, Temmuz 2020 ile Haziran 2021 arasında yüzde 1.070 oranında arttı.

Aynı şekilde saldırının şiddeti de artıyor: Fidye yazılımları 2021'de tahmini olarak 20 milyar USD zarara neden olmuşken 2031'e kadar bu tutarın 265 milyar USD’yi aşacağı tahmin ediliyor (Cybersecurity Venture2022 Cybersecurity Almanac). Ponemon Enstitüsü'nün 2021 Veri İhlalinin Maliyeti Raporu'na göre, bir fidye yazılımı saldırısının ortalama maliyeti 4,62 milyon USD (fidye dahil değil; tırmanma, bildirim, iş kaybı ve yanıt maliyetleri).

Finansal maliyet hikayenin sadece bir kısmı. Çalışmamızdaki fidye yazılımı saldırısı mağdurlarının yaklaşık yarısı (yüzde 48), saldırıların önemli operasyonel aksama sürelerine, hassas verilerin açığa çıkmasına ve itibar kaybına neden olduğunu bildirmiştir.

Fidye yazılım saldırısı mağdurlarının %48'i saldırıların önemli operasyonel aksama sürelerine, hassas verilerin açığa çıkmasına ve itibar kaybına neden olduğunu bildirmiştir.

Ortalama olarak, fidye ödeyen kurumlar verilerinin yalnızca yüzde 65'ini geri alabilirken yüzde 29'u ise verilerinin yarısından fazlasını geri alamamıştır.

Bu suçun hızlı yükselişinin ardında 'hizmet olarak fidye yazılımı' yatıyor. Güvenlik araştırmacılarımıza göre, olgunlaşan siber suç tedarik zincirleri, siber suçluların, işe yaradığı kanıtlanmış siber suç setlerini ve hizmetlerini 66 USD gibi düşük bir fiyata satın alabilmelerini sağlıyor. Bu ucuz setler sayesinde bir suç fırsatı yakalamak isteyen herkesin daha iyi araçlara ve otomasyona erişerek ölçeklendirme yapması, saldırılarının karmaşıklığını artırması ve maliyetleri düşürmesi mümkün. Dolayısıyla da başarılı fidye yazılımı saldırılarının arkasındaki ekonomi, bu saldırıların hızlı gidişatını körüklüyor.

Güvenlik liderlerinin yapabilecekleri: Sıfır Güven prensiplerini benimseyin. Fidye yazılımı saldırıları üç ana giriş vektörüne dayanır: uzak masa protokolü (RDP) ile deneme yanılma, internete açık savunmasız sistemler ve kimlik avı. Kurumlar, iş açısından kritik birden fazla sisteme erişim sağlamak isteyen saldırganları bunun için daha fazla çalışmaya zorlayarak hasarın kapsamını sınırlandırabilir. En düşük ayrıcalıklı erişim ve Sıfır Güven prensipleri kullanıldığında, bir ağı ihlal eden saldırganların ağ boyunca seyahat etme ve kilitleyecek değerli veriler bulma olasılığı azalır (Microsoft Dijital Savunma Raporu).

  • Güvenlik liderlerinin yarısından fazlası, kendilerini önemli bir siber saldırıya karşı savunmasız hissetmektedir.
  • Savunmasızlık, güçlü bir güvenlik duruşu (%83) ve güvenliğin stratejik bir iş fonksiyonu olarak görülmesi (%90) ile yüksek oranda ilişkilidir.
  • Saldırılara karşı son derece savunmasız hissedenlerin %78'i kapsamlı bir Sıfır Güven uygulamasına sahiptir.

Bugünün güvenlik tehdit ortamında güç, bilgidir. Araştırmamız, güvenlik açığı farkındalığı ile güvenliği stratejik bir iş fonksiyonu olarak ele alan güçlü bir güvenlik duruşu arasında çarpıcı bir ilişki olduğunu ortaya koydu. Güvenlik liderlerinin yarısından fazlası kendilerini önemli bir siber saldırıya karşı savunmasız hissediyor. Ve ezici bir farkla, en savunmasız hissedenler aynı zamanda en güçlü güvenlik duruşuna sahip olanlar. Savunmasız hissedenlerin oranı tüm katılımcılarda %35 iken bu grup içinde %83. Dahası, saldırıya karşı savunmasız hissettiğini bildiren her on güvenlik liderinden dokuzu güvenliğin, "işlerini kolaylaştırdığını" düşünüyor.

Bu durum güvenlik alanında bir paradigma değişikliği olduğunu gösterir: İyi bir güvenlik duruşunun getirisi, her bir saldırıyı önlemeye aşırı odaklanmak yerine, tehdit ortamı hakkında farkındalık yaratmak ve dayanıklılığa odaklanmaktır.1

Saldırılar karşısında aşırı savunmasız hisseden güvenlik karar mercilerinin %83’ü, kurumlarının ortalama üstü bir güvenlik duruşuna sahip olduğunu belirtiyor.

Bu güvenlik dayanıklılığı modeline geçiş, güvenlik açığı ve güçlü bir güvenlik duruşu ile ilişkili olarak Sıfır Güven benimseme verileri ile gösterilmektedir. Kendilerini saldırılara karşı aşırı derecede savunmasız hisseden katılımcıların neredeyse tamamı (yüzde 98) Sıfır Güven uygulamaktadır ve yüzde 78'i halihazırda kapsamlı bir Sıfır Güven stratejisine sahiptir. Sıfır Güven, ihlal olduğunu varsayar ve korumadan ziyade dayanıklılık için iyileştirme gerçekleştirir. Yaptığımız görüşmelerde, Sıfır Güven yolculuğunda ilerleme kaydeden katılımcıların, saldırıları önlenebilir bir tehditten ziyade kaçınılmaz bir durum olarak görme oranı da daha yüksekti. Araştırmamız, güçlü bir Sıfır Güven’e sahip katılımcıların bildirdiği saldırı vakalarının daha düşük sayıda olmadığını doğruladı. Ancak Sıfır Güven'in ortalama ihlal maliyetini yüzde 35 oranında azalttığı görüldü: Sıfır Güven olmadan 5,04 milyon USD olan maliyet, güçlü bir Sıfır Güven dağıtımıyla 3,28 milyon USD’ye indi (Veri İhlalinin Maliyeti Raporu 2021).

Kapsamlı bir Sıfır Güven uygulamasına sahip olan güvenlik karar mercilerinin %74'ü, güvenlik duruşlarının, emsallerinin önemli ölçüde üzerinde olduğunu bildirmektedir.

Güvenlik liderlerinin yapabilecekleri: Sıfır Güven yaklaşımınızı değerlendirin. Güvenliği koruyucu bir hizmet olmaktan çıkarıp stratejik bir iş sağlayıcı haline getirecek olan bu dayanıklı güvenlik duruşudur. Yaptığımız görüşmelerde CISO'lar bu proaktif güvenlik yaklaşımının hibrit çalışmayı kolaylaştırdığını, tüketici deneyimini iyileştirip güvenlerini artırdığını ve inovasyonu desteklediğini belirtti. Sıfır Güven’in benimsenmesi, dayanıklılığın ayrılmaz bir parçasıdır. Microsoft Güvenlik'in hedefe yönelik değerlendirme araçlarıyla kurumunuzun Sıfır Güven aşamasını değerlendirebilirsiniz.
  • İki yıl sonra hala bugünkü kadar büyük bir sorun olması beklenen sadece IoT'dir. Diğer tüm güvenlik sorunlarının etkisinin azalması beklenmektedir.
  • Katılımcıların %28'i, iki yıl içinde ağların bugüne kıyasla daha önemsiz bir güvenlik sorunu olacağını öngörmektedir.

Yetkin güvenlik kuruluşları, günümüzün giderek karmaşıklaşan dijital ortamlarının barındırdığı tehditler konusunda gerçekçi ve gelecekte karşılaşacakları zorlukları yönetebilecekleri konusunda da iyimser. Güvenlik liderleri bugün dijital ortamlarının en savunmasız olan yönlerinin bile iki yıl içinde daha küçük bir yükümlülük haline geleceğini öngörüyor. Örneğin, liderlerin yaklaşık yüzde 60'ı bugün, ağları bir güvenlik açığı olarak görürken sadece yüzde 40'ı bu sorunun iki yıl sonra da devam edeceğini düşünüyor. Başka bir deyişle, bugün endişe duyan liderlerin üçte biri, iki yıl içinde ağların artık önemli bir sorun olmayacağı kanısında. İki yıllık görünümde, diğer tüm özellikler için duyulan endişe de benzer şekilde azalıyor. E-posta ve işbirliği araçları ile son kullanıcıları bir endişe kaynağı olarak görenlerin oranı yüzde 26; tedarik zinciri güvenlik açığını en önemli endişe kaynağı olarak görenlerin oranı yaklaşık yüzde 20 ve uç noktalar ve bulut uygulamalarını en önemli güvenlik endişesi olarak görenlerin oranı ise bugüne kıyasla yüzde 10 ila 15 azalıyor. Yalnızca Operasyonel Teknoloji ve Nesnelerin İnterneti'nin iki yıl sonra aynı ya da daha fazla miktarda sorun teşkil etmesi bekleniyor.

Neredeyse tüm güvenlik özelliklerinde endişelerin azalması, siber tehditlerin daha ciddi, daha etkili ve atlatılması daha zor hale geldiği konusundaki fikir birliği göz önüne alındığında, dikkate değer bir bilgi. Peki nasıl oluyor da saldırıların şiddeti artarken risk oranı azalıyor? Bu bulgular, güvenlik uzmanlarının; tedarik zincirleri, ortak ağlar ve ekosistemler genelinde uygulanan mevcut güvenlik yaklaşımının, önümüzdeki yıllarda kurumlarını daha iyi koruyacağına güven duyduğunun göstergesi.  Dünya Ekonomik Forumu tarafından yakın zamanda yapılan bir çalışmada, güvenlik liderlerinin büyük çoğunluğu (yüzde 88) ekosistemlerindeki küçük ve orta ölçekli işletmelerin (KOBİ'ler) siber dayanıklılığına ilişkin endişelerini dile getirdi. KOBİ'lerin, güvenlik duruşlarında aynı olgunluğa ulaşana kadar, zayıf halka olarak hedef alınması muhtemel.

Güvenlik liderlerinin yapabilecekleri: Güvenlik araçlarının kapsamlı bir şekilde uygulanmasını sağlayın. Güçlü bir Sıfır Güven stratejisine öncelik verin, güvenlik modelinizin temelini oluşturmak için kapsamlı bir uygulama sağlayın ve gelecekteki yatırımlara ve projelere rehberlik edin. Uç nokta algılama ve yanıtlama, e-posta güvenliği, kimlik ve erişim yönetimi, bulut erişim güvenliği aracısı ve yerleşik tehdit koruma araçları gibi mevcut güvenlik yatırımlarınızın doğru şekilde yapılandırıldığından ve tam olarak uygulandığından emin olun. Microsoft ürünlerine sahipseniz Microsoft yatırımlarınızdan en iyi şekilde nasıl yararlanabileceğiniz ve Sıfır Güven stratejinizi nasıl güçlendirebileceğiniz hakkında daha fazla bilgi edinin.

  • Temel güvenlik hijyeni hâlâ saldırıların %98'ine karşı koruma sağlıyor.
  • Azure müşterilerinin yalnızca %22’si güçlü bir kimlik doğrulama koruması uyguluyor.

Personel ve bütçeler kısıtlı olduğundan, güvenlik liderlerinin riski yönetmesi ve önceliklerini doğru belirlemesi her zamankinden daha önemli hale geldi. Birçok lider, siber hijyenlerini, en yaygın saldırıları önleyecek şekilde güçlendirmenin en önemli öncelikleri olduğunu söylüyor, özellikle de dijital ayak izleri büyürken. Verilerimiz ve araştırmalarımız da bu düşünceyi destekliyor. Temel güvenlik hijyeninin hala saldırıların yüzde 98'ine karşı koruma sağladığını tahmin ediyoruz (bkz. sayfa 124, Microsoft Dijital Savunma Raporu, Ekim 2021).

Neredeyse tüm siber saldırılar; çok faktörlü kimlik doğrulamasını (MFA) etkinleştirerek, en az ayrıcalıklı erişim uygulayarak, yazılımı güncelleyerek, kötü amaçlı yazılımdan koruma yükleyerek ve verileri koruyarak engellenebilir. Ancak güçlü kimlik doğrulamasının benimsenme oranı düşük kalmaya devam ediyor. Şirket içi araştırmamız, sektörler genelinde, Microsoft'un Bulut Kimlik Çözümü olan Microsoft Azure Active Directory’yi (Azure AD) kullanan müşterilerin yalnızca yüzde 22'sinin Aralık 2021 itibarıyla güçlü kimlik doğrulama koruması uyguladığını gösteriyor (Siber Sinyaller).

Güvenlik liderlerinin yapabilecekleri: Kimlikle başlayın. Microsoft Tehdit Analizi Merkezi (MSTIC) Baş Tehdit Analiz Lideri Christopher Glyer, kurumları kimliğe daha yüksek bir güvenlik primi vermeye çağırıyor: “İster MFA ve parolasız giriş ister koşullu erişim ilkeleri gibi diğer savunmalar olsun, güvenli kimlik korumalarına sahip olmak saldırganlara daha az fırsat verecek ve saldırı çıtasını yükseltmelerini çok daha zor hale getirecektir.”  Microsoft Güvenlik En İyi Uygulamaları ile kimlik ve sistemlerinizin geri kalanı hakkında rehberlik alın.

Siber dayanıklılığa giden yol

İçinde bulunduğumuz dönem bir geçiş dönemi. Son yıllarda esnek işyerlerine gereksinimi artan ve dijital dönüşümlerini hızlandıran kurumlar, kendilerini yeni ve daha ciddi saldırılara maruz bırakmış oldu. Çevre genişledi ve giderek daha hibrit bir hal alarak birden fazla bulutu ve platformu kapsar hale geldi. Yeni teknolojiler birçok kurum için bir nimet olmuş, zorlu zamanlarda bile üretkenliği ve büyümeyi mümkün kılmış olsa da bu değişimler aynı zamanda, giderek daha karmaşık hale gelen dijital ortamlarda bulunan güvenlik açıklarından faydalanmaya çalışan siber suçlular için de bir fırsat sunmuş oldu. Kurumların, saldırılar karşısında dayanıklılık elde etmek için iyi bir siber hijyen uygulaması, Sıfır Güven prensiplerini destekleyen mimarileri hayata geçirmesi ve siber risk yönetimini işin içine yerleştirmesi şart.
  1. [1]

    İlginç bir şekilde, anket sonuçları önemli bir saldırıya maruz kalanlar ile daha güçlü bir güvenlik duruşuna sahip olanlar veya Sıfır Güven’i daha iyi benimseyenler arasında bir korelasyon ortaya koymamıştır. Bu da güvenlik açığının daha güçlü bir güvenlik duruşu getirdiğini ya da önemli olanın saldırıyı değil, etkiyi azaltmak olduğunu gösteriyor olabilir.

Cihazlar ve altyapı Siber dayanıklılık Fidye yazılımı

İlgili makaleler

Siber Sinyaller: Sayı 1

Yeni savaş alanı, kimlik. Gelişen siber tehditler ve kurumunuzu daha iyi korumak için atmanız gereken adımlar hakkında bilgi edinin.
Daha fazla bilgi edinin

Kendinizi fidye yazılımlarına karşı korumanın üç yolu

Modern fidye yazılımı savunması, algılama önlemlerini ayarlamaktan çok daha fazlası gerektirir. Fidye yazılımlarına karşı ağınızı güçlendirmenin en iyi üç yolunu hemen keşfedin.
Daha fazla bilgi edinin

Uzman Profili: David Atch

En son uzman profilimizde Microsoft IoT/OT Güvenlik Araştırma Başkanı David Atch ile IoT ve OT bağlantısının artan güvenlik riskleri hakkında konuştuk.
Daha fazla bilgi edinin

Microsoft Güvenlik'i takip edin