Siber suçlular kuruluşların en acımasız denetçileri hâline geldi
Siber güvenliği akışa bırakmayın
Siber güvenlik alanında dünya lideri olan ESET, kuruluşların siber tehditlere karşı en büyük risklerinden birinin teknoloji eksikliğinden ziyade normallik önyargısı olduğu paylaşımında bulundu. Kurumlar güvenlik sistemlerinden alarm gelmemesini güvende olduklarının göstergesi olarak yorumlarken siber suçlular bu rehavet ortamını fırsata çeviriyor. Uzmanlar, siber dayanıklılığın ancak sürekli denetim, izleme ve proaktif güvenlik yaklaşımlarıyla mümkün olabileceğine dikkat çekiyor.
Son yıllarda dünya genelinde yaşanan büyük ölçekli veri ihlalleri ve fidye yazılımı saldırıları, siber risklerin giderek büyüdüğünü ortaya koyuyor. Buna rağmen birçok kuruluş güvenlik stratejilerini geçmiş dönem koşullarına göre şekillendirmeyi sürdürüyor. Siber güvenlik uzmanları, güvenlik ihlali yaşanmamış olmasının sistemlerin güvende olduğu anlamına gelmediğini, çoğu zaman bunun yalnızca yeterli görünürlük ve denetim eksikliğini yansıtabileceğini belirtiyor.
ESET uzmanlarının değerlendirmesine göre kurumlar ya düzenli sızma testleri, saldırı simülasyonları, tehdit analizleri ve güvenlik yatırımlarıyla kendi güvenlik durumlarını sürekli denetleyecekler ya da bu denetimi siber suçluların yapmasına izin verecekler. Siber güvenlik profesyonellerinin saldırganların kuruluşların güvenlik algısıyla gerçek güvenlik durumu arasındaki boşlukları tespit ederek istismar ettiğini göz önünde bulundurmaları gerekiyor.
Yapay zekâ saldırganların da hizmetinde
Siber suçluların kullandığı yöntemler de hızla gelişiyor. Yapay zekâ destekli dolandırıcılıklar, deepfake içerikler, gelişmiş sosyal mühendislik saldırıları ve otomatik güvenlik açığı taramaları tehdit ortamını daha karmaşık hâle getiriyor. Yapay zekâ, saldırganların operasyonlarını büyük ölçekte otomatikleştirmelerine ve çok daha kısa sürede daha fazla hedefe ulaşmalarına imkân sağlıyor. Bu değişim, geleneksel güvenlik anlayışının yerini sürekli izleme ve müdahale odaklı modellere bırakmasına neden oluyor. Son yıllarda MDR, XDR ve MXDR gibi yönetilen tespit ve müdahale hizmetlerinin hızla yaygınlaşması da bu dönüşümün bir sonucu olarak değerlendiriliyor.
Sessizliği güvenlikle karıştırmayın
ESET, kuruluşların güvenlik stratejilerini düzenli olarak gözden geçirmeleri gerektiğini vurgulayarak şu noktalara dikkat çekiyor:
- Denetim, test, siber farkındalık ve önleme teknolojilerine yatırım yapmıyorsanız para tasarrufu yapmıyorsunuz; sadece güvenliği suçlulara devrediyorsunuz.
· Siber güvenlik yatırımlarının büyük bir ihlal sonrasına bırakılması yerine proaktif şekilde ele alınması gerekiyor.
· Yapay zekâ destekli saldırılar sürekli devam ederken savunma mekanizmalarının da aynı dayanıklılığa sahip olması önem taşıyor.
- Kuruluşunuzun boyutu ne olursa olsun siber profilinizi ve dayanıklılığınızı sürekli olarak gözden geçirmeniz gerekir.
- (Olay) sessizliğini güvenlikle karıştırmayın. MDR – MXDR hizmetlerine yatırım yapın.
- Normallik önyargısı tuzağından kaçının.
ESET’in tehdit istihbaratı her gün 750 bin şüpheli örneği işliyor, 2,5 milyar URL’yi analiz ediyor ve bunların 500 binini engelliyor. Tehdit aktörleri acımasız ve saldırıları giderek daha sofistike hâle geldikçe bizler kendimizi bu saldırılara karşı korunduğumuzu düşünmekten vazgeçmeliyiz. Normallik önyargısının var olduğunu kabul etmeli ve buna göre hareket etmeliyiz. ESET uzmanlarına göre günümüzde asıl önemli konu, kuruluşların denetlenip denetlenmediği değil; bu denetimi kimin yaptığı. Güvenlik açıkları kurumların kendi ekipleri tarafından tespit edilmediğinde, bu görevi çoğu zaman siber suçlular üstleniyor.
