Ağ ve uç nokta güvenliğinde yerkürenin önder şirketi Sophos, “Siber Güvenliğin İmkânsız Bilmecesi” (The Impossible Puzzle of Cybersecurity) ismini verdiği memleketler arası güvenlik araştırmasının sonuçlarını açıkladı. Araştırma, malumat teknolojileri başkanlarının dört bir yandan gelen ataklar önünde deneyim, ehliyetli bütçe ve yeni teknolojilere ulaşabilme noktasında zorlandığını gösteriyor. Başkaca tedarik zinciri ehemmiyeti giderek artan bir atak noktası olarak dikkat çekiyor.

Başkanların Beşte Biri Nasıl Taarruza Uğradığını Bilmiyor

Araştırma, siber hücum tekniklerinin çeşitlenmesine ve akın adımlarının artmasına bağlı olarak savaşın giderek zorlaştığını gösteriyor. Siber taarruz mağduru olan kurumların yüzde 53’ü oltalama formülüyle tuzağa düşmüş. Yüzde 30’u fidye yazılımlarının kurbanı olurken, yüzde 41’i done kaybı yaşamış. Araştırmaya katılan malumat teknolojileri başkanlarının beşte biri, saldırganların sistemlerine nasıl sızdığını bilmiyor.

Sophos Kıdemli Güvenlik Araştırmacısı Chester Wisniewski, “Yazılımlarda konum alan açıklar taarruzların yüzde 23’ünde ana giriş noktası olarak kullanılsa da, bu sistemin tüm akınların yüzde 35’inde rastgele bir aşamada kullanıldığını gözlemliyoruz” diyor. “Bu nedenle yalnızca yüksek risk altındaki dışarıya açık sunucularını himaye altına alan tertipler, içerde oluşabilecek zafiyetleri ve öteki katmanlardaki güvenlik açıklarını göz arkası ediyor.”

Güvenliğin Yeni Zayıf Noktası: Tedarik Zinciri

Araştırmaya nazaran haber teknolojileri başkanlarının yüzde 75’i yazılım açıklarını, sistem zafiyetlerini ve şimdi keşfedilmemiş tehditleri en öncelikli güvenlik riskleri olarak pahalandırıyor. Yüzde 50’si en çok oltalama hücumlarından çekiniyor. Tedarik zincirini yüksek öncelikli riskler arasında görenlerin orantısı ise yalnızca yüzde 16.

Siber hatalıların daima yeni akın noktalarının arayışında olduğuna dikkat çeken Wisniewski, sıklıkla göz gerisi edilen tedarik zincirinin değerini şu laflarla vurguluyor: “Tedarik zinciri odaklı taarruzların daha çok devlet güdümlü tertipler tarafından yüksek nitelikli maksatlara yöneltildiğine dair yaygın bir inanış olsa da, sistem bir sefer ortaya çıktıktan sonra siber hata tertipleri arasında süratle yayılıyor. Bu da geniş bir gaye havuzu içinde mahal alan kurbanlar arasından ihtimamla seçilenlerin aktif, tespit edilmesi çetin ve karmaşık formüllerle taarruza uğramasına yol açıyor. Malumat teknolojileri başkanları tedarik zincirini kullanan hücumları kesinlikle öncelikli risk kapsamına almalı.”

Tecrübe, Bütçe ve Yeni Teknolojiye Ulaşmakta Mesele Var

Araştırmaya katılan haber teknolojileri başkanları devirlerinin ortalama yüzde 26’sını güvenlik idaresine harcıyor. Buna karşın yüzde 86’sı güvenlik konusundaki yeteneklerini daha da geliştirmeleri gerektiğini, yüzde 80’i daha deneyimli ekiplerle çalışmak istediklerini söz ediyor. Deneyimli işçi bulmak ise kendi başına bir sorun. Iştirakçilerin yüzde 79’u bu noktada nispeten zorlandıklarını söylüyor.

Iştirakçilerin yüzde 66’sı insan gücü ve teknolojiye dair muhtaçlıkları karşılamaya yönelik siber güvenlik bütçelerinin ehil olmadığı görüşünde. Yüzde 75’i de siber güvenlik teknolojilerinde günü yakalamada zorlandıklarını itiraf ediyor. Deneyim, bütçe ve aktüel teknolojiye erişimle ilgili problemlerin üst üste gelmesi, siber güvenlik eksperlerini geleceğe hazırlanmak mekanına mütemadi mevcut siber ataklarla baş etmek zorunda bırakıyor.

İmkansız Bilmecenin Tahlili: Senkronize Güvenlik

Wisniewski, bunun tahlilinin birlikte koordinasyon içinde çalışabilen, rastgele bir noktada algılanan istihbarat ve tehdit malumatını başka güvenlik katmanlarıyla anında paylaşabilen, güvenlik hattı boyunca daima birlikte tehditlere karşı koyabilen senkronize güvenlik yaklaşımında olduğunu söylüyor. “Böylece kendilerini mütemadi dünün tehditleriyle baş ederken bulan haber teknolojileri başkanları, bu kısır döngüden kurtularak tertiplerini yarına hazırlama fırsatı bulabilirler” diyor Wisniewski. “Senkronize güvenlik teknolojisine dayalı güvenlik sistemleri, yetenek eksikliğinden kaynaklanan boşlukların kıymetli bir kısmını doldurmaya yardımcı olur. Tertibin güvenlik altyapısında birbiriyle haberleşerek koordine olabilen, tasarrufu kolay güvenlik araçlarını tercih etmek; mevcut ve gelecek tehditlere karşı aktif bir himaye sağlamanın yanı sıra hengam ve maliyet açısından da büyük tasarruf sağlar.”

Sophos Senkronize Güvenlik teknolojisi uç nokta, ağ, mobil, Wi-Fi ve şifrelemeye yönelik güvenlik eserlerinin gerçek devirli olarak birbiriyle muhabere kurabilmesine ve tehditlere birlikte karşı koyabilmesine imkan sağlıyor.

Sophos’un Araştırması 6 Kıtada 12 Memleketin Nabzını Tuttu

Siber Güvenliğin İmkânsız Bilmecesi araştırmasında Amerika Birleşik Devletleri, Kanada, Meksika, Kolombiya, Brezilya, İngiltere, Fransa, Almanya, Avustralya, Japonya, Hindistan ve Güney Afrika olmak üzere 6 kıtadan 12 devlette malumat teknolojileri profesyonellerinin görüşlerine başvuruldu. Bağımsız araştırma şirketi Vanson Bourne tarafından Aralık 2018 – Ocak 2019 tarihleri arasında gerçekleştirilen araştırmaya, çalışan sayısı 100 ile 5 bin arasında değişen orta ölçekli şirketlere istikamet veren 3 bin 100 karar verici katıldı.

BASIN BÜLTENİNDEN DERLENMİŞTİR

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.