Forrester Research’e göre, ulus devletlerden gelen siber tehditlerin küresel ölçekte yükselişi, tüm sektörlerdeki özel sektör güvenlik liderlerinin gelecekte daha sık ve küstah saldırılara hazırlanmaları için kırmızı bayrak olmalı.
Şirketlerin değişen ulus-devlet saldırı ortamına hazırlanmalarına yardımcı olmak amacıyla Forrester, 2 Mart’ta kendilerini savunmak ve bunu takip etmesi beklenen düzenlemelere hazırlanmak için yeni bir model açıkladı.
Forrester kıdemli analisti ve raporun baş yazarı Allie Mellen, ülkelere göre rapor edilen siber operasyonların %40’ının özel sektörü hedef aldığına dikkat çekti. Devlet destekli saldırılar 2019 ve 2022 yılları arasında neredeyse %100 artmıştır ve bu saldırıların niteliği değişmiştir – önceki yıllara kıyasla veri imhası, hizmet reddi ve finansal hırsızlık için daha fazla saldırı gerçekleştirilmektedir.
Forrester modeli üç adım üzerine inşa edilmiştir.
İlk olarak, ulus devletlerin kuruluşlara nasıl saldırdığını anlamak. İyi bir başlangıç noktası, modelde bulunan ulus-devlet tırmanma merdiveni.
Clearwater, Fla’da bir güvenlik bilinci eğitimi sağlayıcısı olan KnowBe4’te güvenlik bilinci savunucusu olan Erich Kron, “Bu akıllıca bir yaklaşım,” diyor.
“Sonuçta kurban için, para ya da hassas bilgi çalan bir saldırıdan hangi aktörün sorumlu olduğu gerçekten önemli mi?” diye sordu.
Kron TechNewsWorld’e verdiği demeçte, “Özellikle siber suç grupları olgunlaşmaya devam ettikçe, bu saldırıların nasıl gerçekleştirildiğine odaklanmak, çoğu kuruluş için kaynak hakkında endişelenmekten çok daha önemlidir” dedi.
“Yine de hedef olabileceğinizin farkında olmak önemlidir ve planlama tehdit modellerinin bir parçası olmalıdır” diye ekledi.
Tehdit Modellemesi
İkinci olarak, kuruluşa özgü ulus-devlet tehditlerine dayalı tehdit modelleri oluşturun.
Raporda, “Jeopolitik aktörler için tehdit modelleri, ulus devlet saldırganlarının kuruluşunuzu kim, ne, nerede, ne zaman, neden ve nasıl hedef aldığına dair canlı referanslardır” denildi. “Gelecekteki saldırgan faaliyetlerini tahmin etmeye, görünürlük ve tespit açıklarını kapatmaya, gelecekteki pazar hamlelerini planlamaya ve yönetici tartışmaları için somut bir referans sağlamaya yardımcı olurlar.”
Sunnyvale, Kaliforniya’daki bir kurumsal güvenlik şirketi olan Proofpoint’in tehdit araştırmaları kıdemli müdürü Alexis Dorais-Joncas, “Ulus-devlet aktörlerinden bahsederken doğru tehdit modellemesi kesinlikle önemlidir” dedi.
“Savunmasını güçlendirmek isteyen bir kuruluş, devlet destekli yüzlerce aktörden hangilerinin kendilerini hedef aldığını belirlemek zorundadır. Ardından da bu tehditlere karşı alınacak önlemlere öncelik vermelidir,” diyor Dorais-Joncas TechNewsWorld’e.
Üçüncü adım ise siber güvenlikle ilgili anlatıyı etkilemeye dahil olmaktır. Bunu yapmak için güvenlik liderlerinin hangi hükümet yetki alanlarının işletmeleri için güvenlik gereksinimleri olduğunu bilmeleri; bilgi paylaşımı gibi araçlarla hükümetle ilişkilerini yönetmeleri; jeopolitik olaylara önceden hazırlanmaları ve yönetmelik haline gelmeden önce yasa tekliflerini etkilemeleri gerekir.
Raporda ayrıca yasama sürecinde güç kazanmak için sektördeki diğer şirketlerle güçlerin birleştirilmesi ve yönetim kurulu üyelerinin durum hakkında soru sormaya gelmeden önce ulus-devlet tehditleri konusunda neler yapıldığı konusunda bilgilendirilmesi tavsiye ediliyor.
Güçlü Bir Temel Gerekiyor
Kirkland, Wash’da bir uç nokta yönetimi sağlayıcısı olan Tanium’da uç nokta güvenliği araştırma uzmanı olan James Lively, “Forrester yaklaşımının iyi bir yönde ilerlediğini düşünüyorum” dedi.
Bununla birlikte, modelin etkili olabilmesi için zaten güçlü bir temel üzerine inşa edilmesi gerektiğini de sözlerine ekledi. TechNewsWorld’e konuşan Lively, “Eğer şirketiniz bir uyumluluk ya da yama etkinliği programını sürdürmekte zorlanıyorsa, o zaman çoğu model zaten etkisiz hale gelmiş demektir,” dedi.
McLean, Va.’da bir ağ güvenliği şirketi olan IronNet’te siber tehdit istihbarat analisti olan Morgan Demboski, Forrester’ın modelini ulus-devlet sorunuyla mücadelede “akıllı bir yaklaşım” olarak nitelendirdi.
Demboski TechNewsWorld’e yaptığı açıklamada “Ulus-devlet saldırılarına karşı savunma yaparken stratejik ve bilinçli bir yaklaşıma sahip olmak kritik önem taşıyor” dedi.”
“Ulus-devlet tehdit aktörlerinin siber faaliyetleri ve stratejik hedefleri, jeopolitik ve siber tehdit ortamları arasındaki karşılıklı ilişkiyi göstermeye devam etmekte ve siber alandaki potansiyel etkilerini değerlendirmek için hükümet eylemlerini ve uluslararası ilişkileri izlemenin önemini vurgulamaktadır.”
“Farklı işletmelerin karşı karşıya olduğu tehditler çok yönlü olduğundan ve sektör ile bölgeye göre farklılık gösterdiğinden, kuruluşa özgü faaliyetlere hazırlanmak önemlidir.”
Saldırılar Devam Ediyor
Bedford, Mass’ta bir siber güvenlik şirketi olan RSA’nın baş bilgi güvenliği sorumlusu Robert Hughes, Forrester modelinin çok ihtiyatlı bir tavsiye gibi göründüğünü belirtti.
TechNewsWorld’e konuşan Hughes, “İşin özü, işletmenizin karşı karşıya olduğu risk düzeyini bilmekte yatıyor,” dedi. “Her ne kadar bir düzeyde evinizi bir füze saldırısından korumaya çalışmak gibi olsa da, risklerinizi göz önünde bulundurmak ve çok yönlü bir strateji kullanarak bunları ele almaya başlamak için bir işletme olarak farkında olmanız gereken sorular ve tartışma noktaları üzerinde düşünmeye başlamak için sağlam bir çerçeve var.”
“Ulus-devlet saldırıları ortadan kalkmıyor,” diye devam etti. “Hacim ve kabiliyet olarak artıyorlar ve önümüzdeki birkaç yıl içinde daha azını değil daha fazlasını görmeyi beklemeliyiz.”
İsrail’in Tel Aviv kentinde kurumsal siber risk iyileştirmesi için SaaS sağlayıcısı olan Vulcan Cyber’da kıdemli teknik mühendis olan Mike Parkin, Forrester’ın yaklaşımının sağlam olmakla birlikte yeni bir şey olmadığını savunuyor.
Parkin TechNewsWorld’e verdiği demeçte, “Bu, siber güvenlik camiasının ve genel olarak iş dünyasının yıllardır üzerinde durduğu ve devlet düzeyindeki tehdit aktörlerine ilişkin farkındalığın da eklendiği fikirlerle hemen hemen aynı” dedi.
“Yine de bu fikirleri pekiştiriyor ve bu iyi bir şey” diye ekledi.
Gereksiz Dikkat Dağınıklığı
Paris’te bir tehdit istihbarat şirketi olan CybelAngel’in siber operasyonlardan sorumlu kıdemli başkan yardımcısı Todd Carroll, kuruluşların kendilerini tüm saldırılardan korumaları ve saldırı raporlarının nasıl ve kime sunulması gerektiği konusunda bilgi sahibi olmaları gerektiği konusunda hemfikir olmakla birlikte, ulus-devlet tehditlerinin kapsamının bunaltıcı olabileceğini gözlemledi.
TechNewsWorld’e konuşan Carroll, “Oradaki her ulus-devleti, organize ekibi ve saldırı yöntemini düşünmeye çalışırken daireler çizersiniz,” dedi. “Yalnızca Çin’de farklı yöntemlerle ve çeşitli nedenlerle dikey sektörlere saldıran düzinelerce devlet destekli ekip var.”
“Nedenini bilmek için zamanınız yok, ancak sınırlı kaynaklarınızı erişimi korumaya, saldırı yüzeyinizi bilmeye ve kritik verilerinizi izlemeye harcamanız gerekiyor” dedi.
Ancak hibrit bulut veri güvenliği çözümleri sağlayıcısı San Francisco’daki Symmetry Systems’ın veri güvenliği baş müjdecisi Claude Mandy, Forrester modeline şüpheyle yaklaştı.
TechNewsWorld’e konuşan Mandy, “Daha az sofistike saldırganlarla ve basit saldırılarla başa çıkmaya çalışan bir sektörde, ulus-devlete özgü bir tehdit modeli, önce temelleri doğru bir şekilde ele almaktan en çok fayda sağlayacak kuruluşlar için gereksiz bir dikkat dağıtıcı olarak algılanabilir” dedi.
“Ulus-devlet gibi sofistike bir saldırganı engellemeye çalışmak için siber güvenlik kontrollerine yatırım yapmak yerine, kurumları tehditlerden yola çıkıp saldırganların ne yapacağını tahmin etmeye çalışmak yerine siber güvenliklerini kendileri için en önemli şey olan verileri üzerinde önceliklendirmeye teşvik etmek istiyoruz” dedi.
