Siber Güvenlikte Varsayımlarla Hareket Etmek Tehlikeli

Sürekli olarak gelişen ve giderek daha karmaşık hale gelen siber saldırılarla mücadele edebilmek için kritik kararların hızla alınması gerekiyor.

Siber Güvenlikte Varsayımlarla Hareket Etmek Tehlikeli
kobiaktuel
kobiaktuel
04 Şubat 2023 Cumartesi 00:19

Ancak bu hız baskısı varsayımlarla hareket edilebilmesine de yol açabiliyor. Türkiye’nin önde gelen siber güvenlik markalarından PicusSecurity’nin Kurucu Ortağı ve PicusLabs Başkan Yardımcısı Dr. Süleyman Özarslan, siber güvenlikte varsayımlarla hareket etmenin daha büyük sorunlara yol açacağına dikkat çekerek, siber tehditlerle mücadelede bütünsel, otomatik ve sürekli bir çözüm sunan teknolojilere yönelmek gerektiğini vurguluyor.

Dünya Ekonomik Forumu’na göre 2021’de bir siber saldırının şirketlere maliyeti ortalama3.6 milyon dolar. Diğer yandan Gartner verilerine göre şirketlerin sadece %25’i siber güvenlik harcamalarının etkinliğini finansal olarak ölçebiliyor. Oysa sürekli olarak gelişen ve giderek daha karmaşık hale gelen siber saldırılarla mücadele edebilmek için kritik kararların hızla alınması gerekiyor. Hızlı ve dinamik bir ortamda hemen eyleme geçecek kararlar alması beklenen güvenlik uzmanlarının çoğu bu zaman kısıtı karşısında maalesef varsayımlara ve sezgilerine güvenerek adım atabiliyorlar. Ancak bu durumda mevcut ve olası siber saldırılara karşı yetersiz kalma ve emek, zaman ve kaynakların boşa harcanması gibi tehlikeler ortaya çıkıyor. Güvenlikle ilgili kararları gerçek risklerden ziyade algılanan risklere dayandırmanın, kuruluşlarının sorunlarını çözmeyeceğinin altını çizen Dr. Süleyman Özarslan, “Bu durum siber ataklara karşı en yüksek korumayı sağlamak amacıyla odaklanılması gereken alanın ne olduğu konusunda yanıltıcı sonuçlara da yönlendirebilir.” diyor.

Kuruluşların siber dayanıklılıklarını artırması için daha tehdit odaklı bir yaklaşım benimseyerek, risklerle ilgili anlayışlarını geliştirmeleri gerektiğini ifade eden Dr. Süleyman Özarslan,“Burada kritik nokta, hali hazırda oldukça stresli bir operasyon sürdüren güvenlik ekiplerine ve bu ekiplerin güvenlik bütçelerine daha fazla yük bindirmeden bu değişimi sağlamak olmalı. Bu noktada PicusSecurity’nin öncülüğünü yaptığı BAS (Siber İhlal ve Atak Simülasyonu) teknolojisi, karar alma süreçlerinin merkezine siber tehditleri yerleştirerek, şirketlerinihtiyacı olan siber savunmaiçgörüsünü kazandıran bütünsel, otomatik ve sürekli bir çözüm sunarak bu alanda önemli bir açığı kapatıyor. Üstelik yalnızca açıkları tespit etmekle kalmıyor, güvenlik araçlarının en etkinşekilde çalışmasına yardımcı olmak için eyleme geçirilebilir iyileştirme önerileridesunuyor.” şeklinde konuştu. 

Güvenlikle ilgili yetersiz ya da sınırlı farkındalıkla ve varsayımlara dayalı olarak alınan kararlar verimsiz yatırımlara neden olabileceği gibi, siber saldırılara karşı optimal korumanın sağlanmasını da engelleyebiliyor. Bununla birlikte güvenlik ekipleri odaklarını ve kaynaklarını önceliklendirebilmeleri için yanıtlamaları gereken güvenlik duruşları ile ilgili temel sorulara cevap vermekte zorlanmaktadır.

Picus Security bu sorunlarla karşılaşmak istemeyen güvenlik ve risk yöneticilerine öncelikle şu soruların yanıtlarını doğru şekilde vermelerini öneriyor;

  • Kurum için en büyük tehlikeyi oluşturan tehdit ne?
  • En kritik risklerimizi ve bunları nasıl yöneteceğimizi biliyor muyuz?
  • Bir saldırgan herhangi bir güvenlik açığından veya zafiyetlerden nasıl yararlanabilir?
  • Bir ihlalin olası sonuçları ne olabilir?
  • Saldırıları önlemede ve tespit etmede kullandığımız güvenlik kontrolleri ne kadar etkilidir?
  • Güvenlik harcamalarımızın karşılığını en iyi şekilde alıyor muyuz?

Ancak bu hız baskısı varsayımlarla hareket edilebilmesine de yol açabiliyor. Türkiye’nin önde gelen siber güvenlik markalarından PicusSecurity’nin Kurucu Ortağı ve PicusLabs Başkan Yardımcısı Dr. Süleyman Özarslan, siber güvenlikte varsayımlarla hareket etmenin daha büyük sorunlara yol açacağına dikkat çekerek, siber tehditlerle mücadelede bütünsel, otomatik ve sürekli bir çözüm sunan teknolojilere yönelmek gerektiğini vurguluyor.

Dünya Ekonomik Forumu’na göre 2021’de bir siber saldırının şirketlere maliyeti ortalama3.6 milyon dolar. Diğer yandan Gartner verilerine göre şirketlerin sadece %25’i siber güvenlik harcamalarının etkinliğini finansal olarak ölçebiliyor. Oysa sürekli olarak gelişen ve giderek daha karmaşık hale gelen siber saldırılarla mücadele edebilmek için kritik kararların hızla alınması gerekiyor. Hızlı ve dinamik bir ortamda hemen eyleme geçecek kararlar alması beklenen güvenlik uzmanlarının çoğu bu zaman kısıtı karşısında maalesef varsayımlara ve sezgilerine güvenerek adım atabiliyorlar. Ancak bu durumda mevcut ve olası siber saldırılara karşı yetersiz kalma ve emek, zaman ve kaynakların boşa harcanması gibi tehlikeler ortaya çıkıyor. Güvenlikle ilgili kararları gerçek risklerden ziyade algılanan risklere dayandırmanın, kuruluşlarının sorunlarını çözmeyeceğinin altını çizen Dr. Süleyman Özarslan, “Bu durum siber ataklara karşı en yüksek korumayı sağlamak amacıyla odaklanılması gereken alanın ne olduğu konusunda yanıltıcı sonuçlara da yönlendirebilir.” diyor.

Kuruluşların siber dayanıklılıklarını artırması için daha tehdit odaklı bir yaklaşım benimseyerek, risklerle ilgili anlayışlarını geliştirmeleri gerektiğini ifade eden Dr. Süleyman Özarslan,“Burada kritik nokta, hali hazırda oldukça stresli bir operasyon sürdüren güvenlik ekiplerine ve bu ekiplerin güvenlik bütçelerine daha fazla yük bindirmeden bu değişimi sağlamak olmalı. Bu noktada PicusSecurity’nin öncülüğünü yaptığı BAS (Siber İhlal ve Atak Simülasyonu) teknolojisi, karar alma süreçlerinin merkezine siber tehditleri yerleştirerek, şirketlerinihtiyacı olan siber savunmaiçgörüsünü kazandıran bütünsel, otomatik ve sürekli bir çözüm sunarak bu alanda önemli bir açığı kapatıyor. Üstelik yalnızca açıkları tespit etmekle kalmıyor, güvenlik araçlarının en etkinşekilde çalışmasına yardımcı olmak için eyleme geçirilebilir iyileştirme önerileridesunuyor.” şeklinde konuştu. 

Güvenlikle ilgili yetersiz ya da sınırlı farkındalıkla ve varsayımlara dayalı olarak alınan kararlar verimsiz yatırımlara neden olabileceği gibi, siber saldırılara karşı optimal korumanın sağlanmasını da engelleyebiliyor. Bununla birlikte güvenlik ekipleri odaklarını ve kaynaklarını önceliklendirebilmeleri için yanıtlamaları gereken güvenlik duruşları ile ilgili temel sorulara cevap vermekte zorlanmaktadır.

Picus Security bu sorunlarla karşılaşmak istemeyen güvenlik ve risk yöneticilerine öncelikle şu soruların yanıtlarını doğru şekilde vermelerini öneriyor;

  • Kurum için en büyük tehlikeyi oluşturan tehdit ne?
  • En kritik risklerimizi ve bunları nasıl yöneteceğimizi biliyor muyuz?
  • Bir saldırgan herhangi bir güvenlik açığından veya zafiyetlerden nasıl yararlanabilir?
  • Bir ihlalin olası sonuçları ne olabilir?
  • Saldırıları önlemede ve tespit etmede kullandığımız güvenlik kontrolleri ne kadar etkilidir?
  • Güvenlik harcamalarımızın karşılığını en iyi şekilde alıyor muyuz?

Yorum Ekle
İsim
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, müstehcen, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.