Günümüzün tehdit ortamı, becerilerini test etmek veya kâr elde etmek isteyen saldırganların yanı sıra ulus devlet aktörlerini de içeriyor. Las Vegas’taki ISC2 Güvenlik Konferansı’nda, CISA danışmanı ve eski New York Times siber güvenlik gazetecisi Nicole Perlroth, son 10 yılda siber savaşta nelerin değiştiğini tartışmak üzere sahneye çıktı. Onun sunumu 13-16 Ekim’de düzenlenen konferansın kapanışını oluşturdu.
Ulus devlet saldırganları ‘hedef açısından zengin, siber açıdan fakir’ kurbanlar arıyor
Perlroth, 2011’den 2021’e kadar gazetecilik kariyeri boyunca ele aldığı ulus devlet saldırılarının zaman çizelgesini sundu. Hizmet olarak fidye yazılımının “iyi yağlanmış bir ekonomiye” dönüşmesiyle, kariyerine başladığından bu yana saldırganların girişindeki engeller daha da kötüleşti .” CrowdStrike kesintisi, yaygın bir saldırının operasyonları ne kadar aksatabileceğini gösterdi.
Perlroth, Amerika Birleşik Devletleri’nin coğrafi konumunun onu pek çok tehditten izole ettiği yönündeki geleneksel inanışa rağmen siber manzara söz konusu olduğunda “bu okyanusların artık mevcut olmadığını” söyledi. Benzer şekilde, dijital “uç” bulut dünyasına, hizmet olarak yazılıma ve hibrit iş gücüne dönüştü.
Perlroth, “Yeni sınır insanlardır, uç noktalardır” dedi.
Bu yeni sınıra yönelik saldırılar, CEO’ları hedef alan deepfake’ler veya kritik altyapılara yönelik ulus devlet saldırıları şeklinde olabilir. Perlroth, tartışmasını 2018’de Marriott otel zincirine yapılan siber saldırı gibi ABD altyapısına ve işletmelerine yönelik Çin devleti destekli saldırılara odakladı.
Perlroth, Marriott veya Change Healthcare’in “hedef açısından zengin, siber açısından fakir” ortamlar olduğunu söyledi. Bu ortamlarda büyük, özel siber güvenlik ekipleri bulunmayabilir ancak sağlık sistemini kullanmış veya bir oteli ziyaret etmiş olabilecek devlet çalışanlarının kişisel bilgileri gibi değerli veriler bulunabilir.
Perlroth’un savunucuların odaklanması gereken bir diğer hedef açısından zengin, siber açısından zayıf ortam ise su arıtmadır. Yerel su arıtma tesislerinin özel bir siber güvenlik uzmanı olmayabilir, ancak bir saldırganın su tesislerine müdahale etmesi felaketle sonuçlanabilir.
Perlroth, “Kod kritik altyapı haline gelmişti ve bunu gerçekten fark etme zahmetine girmemiştik” dedi.
Rusya ve Çin, askeri harekatla bağlantılı siber saldırıları araştırıyor
Daha geniş jeopolitik çıkarımlar açısından Perlroth, siber güvenlik profesyonellerinin özellikle Rusya’nın askeri saldırısından ve Çin’in 2027’de Tayvan’a olası bir saldırıyı planladığından haberdar olması gerektiğini belirtiyor. Tehdit aktörleri ABD askeri hareketliliğini geciktirmeyi hedefleyebilir veya kamuoyunu etkilemek için sosyal mühendislik kullanabilir. Perlroth, ABD’nin Tayvan’la karşılıklı bir savunma anlaşması bulunduğunu ancak Çin’in ABD’nin Ukrayna’nın savunmasında “boş durduğunu” gördüğünü söyledi.
Perlroth, jeopolitik yorumcuların Ukrayna’ya yapılan saldırıyla birlikte Rusya’dan daha fazla siber saldırı gelmemesine şaşırdıklarını söyledi. Öte yandan Ukrayna çevresinde, savaş başlamadan hemen önce DDoS saldırıları ve ticari ViaSat hizmetinin kesilmesi de dahil olmak üzere önemli siber saldırılar yaşandı. Perlroth, Rusya bağlantılı bir kötü amaçlı yazılım olan PIPEDREAM’in ABD altyapısına saldırmayı amaçlamış olabileceğini söyledi.
BAKIN: Etkili Bir Siber Güvenlik Farkındalığı Programı Nasıl Oluşturulur (TechRepublic Premium)
Üretken yapay zeka oyunu değiştiriyor
Perlroth, “Siber güvenlikteki en büyük değişiklik yapay zeka oldu” dedi.
Yapay zekanın şirketlerin ve tehdit aktörlerinin sıfır gün saldırıları oluşturmasına ve bunları hükümetlere satmasına olanak tanıdığını söyledi. Saldırganlar yapay zeka ile yeni kod üretebiliyor. Aynı zamanda yapay zekayla donatılmış savunmacılar, büyük saldırılara yanıt vermek için gereken maliyeti ve süreyi azaltabilir. SolarWinds saldırısı gibi bir sonraki büyük ölçekli kurumsal saldırının üretken yapay zeka ile ilgili sistemlerden başlayacağını öngörüyor.
Siber güvenlik profesyonellerinin, çalışanların üretken yapay zeka sistemleriyle güvenli bir şekilde etkileşime girmesinin nasıl sağlanacağını araştırması gerektiğini söyledi.
Siber güvenlik uzmanları büyük ölçekli saldırılara nasıl hazırlanabilirler?
Perlroth, “Her endüstride Sağlık Hizmetlerindeki Değişimin ne olduğunu görmek için bir tür sektör bazında sayım yapmaya başlamamız gerekiyor” dedi. “Çünkü düşmanlarımızın onları aradığını biliyoruz ve oraya ilk biz varabilirsek harika olur.”
İyi haber şu ki, siber güvenlik profesyonelleri tehditlere karşı her zamankinden daha bilinçli. Siber profesyoneller, tüm organizasyonun iyiliği için üst düzey yöneticileri güvenlik konularında nasıl ikna edeceklerini biliyorlar. Perlroth, CISO’ların bir tür iş sürekliliği görevlisi haline geldiğini ve bir saldırı olması durumunda işlerin mümkün olan en kısa sürede nasıl devam edebileceğine dair planları olduğunu söyledi.
Perlroth, siber güvenlik profesyonellerinin kuruluşlarındaki kültür, yönetim, bütçe, İK, eğitim ve farkındalığın yanı sıra teknik becerileri de dikkate alması gerektiğini söyledi. Siber güvenlik profesyonellerinin sorması gereken temel sorular hâlâ “Taç mücevherlerim neler ve bunları nasıl güvence altına alabilirim?”
Sunumunda tehditlerin kapsamı ve yaygınlığı vurgulansa da Perlroth, amacının güvenlik ürünleri satmak için kullanılan bir taktik olan insanları korkutmak olmadığını söyledi. Ancak siber güvenlik profesyonellerinin mevcut sistemlere olan güveni korumak ile ulus devlet tehditleri de dahil olmak üzere tehditlerin gerçek olduğunu açıklamak arasında bir denge kurması gerekiyor. PIPEDREAM saldırısının kesintiye uğraması gibi hikayelerin “bize büyük umut vermesi” gerektiğini söyledi.
Sözlerini şöyle tamamladı: “Siber savunma adına bir araya geldiğimizde devlet ve özel sektörde birlikte neler yapabileceğimiz konusunda ciddi dersler aldık.”
Yasal Uyarı: ISC2, 13-16 Ekim’de Las Vegas’ta düzenlenen ISC2 Güvenlik Kongresi etkinliği için uçak biletimi, konaklamamı ve bazı yemekleri ödedi.
Kaynak: https://www.techrepublic.com/article/isc2-security-congress-nation-state-cyber-threats/