2021’de siber güvenliğin geleceği nasıl şekillenecek?
10.03.2021
Sosyal Medya

2021’de siber güvenliğin geleceği nasıl şekillenecek?

COVID-19 sonrasında 2021’de siber güvenliğin geleceği nasıl olacak? Bu soruyu yanıtlayabilmek için öncelikle 2020’de yaşananlara bakmak gerekiyor, zira her konuda olduğu gibi 2020, siber güvenlik için de zor bir yıldı.

COVID-19 salgını yaygın ve uzun süreli kapanmaları tetiklediğinden, güvenlik ekipleri uzaktan çalışma ortamlarını birkaç gün içinde tesis etmek zorunda kaldı. Daha sonra, kaynaklara fiziksel erişimleri olmadan yıl boyunca operasyonları güvende tutmaları gerekti. Aynı zamanda, fidye yazılımı saldırıları ölçek ve yoğunluk olarak genişledi, kimi senaryolarda bir kuruluşun bilgisayarlarının çoğunu aynı anda kullanılamaz hale getiren ve hassas verileri çalan saldırılar gerçekleşti.

Siber saldırganların tüm sektörlerdeki on binlerce kuruluşa sızdığı ve birkaç ay boyunca fark edilmeyen SolarWinds olayı, gelecekte siber güvenlik konusunda herkesin daha fazla önlem alması gerektiğinin altını çizdi. Önümüzdeki yıllarda siber güvenlik çalışmalarını şekillendirecek olan trendlerden başlıca önemli olanlarını sizler için derledik.

2021 siber güvenlik trendleri

Her yerden çalışma kalıcı hale geliyor

COVID-19 salgını, birçok kuruluşta kabul edilen işte iş kültürünü büyük ölçüde değiştirdi. Birkaç hafta evden çalışıp normale dönme beklentisi, birçokları için aylara dönüştü. Her yerden verimli olabildiklerini gören kurumlardan bazıları, uzaktan çalışma akımını kalıcı hale getirmeye karar verdi. Diğer birçok kuruluştaysa işgücü herhangi bir yerden yarı zamanlı veya tam zamanlı çalışmaya devam etmeyi talep etti.

COVID-19 salgını başladığında, çoğu kuruluş hizmetlerini ve uygulamalarını hızla şirket içinden bulut bilişime geçirmek zorunda kaldı. Bu yeni mimarinin, bulut tabanlı kaynaklar ve her yerden çalışabilen iş gücüyle birlikte geçici bir önlem olması bekleniyordu. Dolayısıyla güvenlik yerine işlevselliğe odaklanıldı çünkü amaç kurumların olağanüstü şartlarda çalışmaya devam etmesini sağlayabilmekti. Ancak, kuruluşların uzaktan çalışmak için uzun vadeli ve kalıcı vardiyalara geçmesiyle, güvenlik ekiplerinin "geçici" düzenlemeleri yeniden düşünmesi ve güvenlik politikalarını, süreçlerini ve teknolojilerini güncellemek için gerekenleri yapması ihtiyacı ortaya çıktı. Bu noktada VPN gibi çözümler de yaygın kullanılmaya başlandı ve şirketlerin politikalarını siber farkındalık kültürü aşılayacak şekilde güncellemesi gerekti.

Otomasyon

Siber güvenlik ekipleri yıllardır zorlu bir mücadelenin içerisinde. Sürekli genişleyen ve karmaşıklaşan bilgi işlem ağlarının karşılaştığı tüm tehditlere ayak uydurmaya çalışıyorlar. Ancak ekipler güvenlik uzmanlarının sayısından ziyade, bu uzmanların elindeki araçların yetkinliğiyle başarılı olabiliyor.

Kuruluşlar, araç ve teknolojilerindeki eksiklikleri gidermek için insan kaynaklarını artırmaya çalışmak yerine, otomasyona olan bağımlılıklarını artırmalıdır. Yapay zeka ile makine öğrenimi kullanan ve izlenen güvenlik olay verileri üzerinde sürekli veri analizi yapan güvenlik teknolojileri, yeni tehditleri insanlardan çok daha hızlı tespit eder. Bir insanın göremeyeceği çok küçük kötü niyetli faaliyet kalıplarını saptayabilirler. Benzer şekilde, güvenlik otomasyonu yeni yazılım açıklarının, yapılandırma hatalarının ve diğer sorunların varlığını sürekli olarak belirleyebilir ve her sorunun hızla giderilmesini sağlayabilir.

Otomasyonun artırılması ve otomasyon teknolojilerinin kalitesinin iyileştirilmesi, sayıca yetersiz siber güvenlik uzmanlarının üzerindeki günlük iş yükünü azaltmaktadır. Bu sayede uzmanlar, zamanlarını kuruluşa uzun vadede büyük fayda sağlayabilecek daha stratejik konulara odaklanarak geçirebilirler.

Sıfır Güven (Zero Trust) ilkesini benimseyin

Sıfır güven, eski bir kavrama verilen yeni bir isimdir. Kurumdaki hiçbir şeye veya kimseye güvenilmemesi gerektiğini varsaymayın. Erişim izni vermeden önce her bir cihazın, kullanıcının, hizmetin veya sistemin güvenilirliğini doğrulayın. Verilerin ve ağın tehlikeye atılmadığından emin olmak için erişim sırasında güvenilirliği sık sık yeniden kontrol edin. Herhangi bir güven ihlalinin etkisini en aza indirmek için her istemciye yalnızca ihtiyaç duyduğu kaynaklara erişim verin. Sıfır güven ilkeleri, siber güvenlik ihlallerinin sıklığını ve meydana gelen olayların ciddiyetini azaltabilir.

Sıfır güven bir güvenlik kontrolü veya teknoloji değil, bir ilkedir. Her bir varlığın kimlik ve güvenlik durumunu doğrulamak, yeniden kontrol etmek ve faaliyetleri sürekli olarak izlemek için tasarlanan tüm teknoloji altyapısına dayanır. Bunu başarmak için güvenlik mimarları ve mühendisleri, sistem ve ağ yöneticileri, yazılım geliştiricileri ve diğer teknoloji profesyonelleri arasında yaygın bir iş birliği gerekir. Uygulama neredeyse her zaman aşamalı, çok yıllık bir çabadır ve bu nedenle, sıfır güven ilkelerini mümkün olan en kısa sürede benimsemeye başlamak için artan bir baskı vardır.

Tepki yeteneklerini geliştirin

Çoğu kuruluşun güvenlik olaylarına tepki gösterme yeteneklerini iyileştirmesi gerektiği aşikar. Fidye yazılımı yoluyla kuruluşlara saldırmak, saldırganların kullanıcıları sistemlerinden ve verilerinden etkin bir şekilde kilitleyerek ve ardından erişimi yeniden sağlamak için büyük fidye talep etmesi, sık karşılaşılan mağduriyetler haline geldi.

Kuruluşların büyük ölçekli fidye yazılımı olaylarına yanıt vermeye hazırlıklı olması gerekir. Müdahalenin sorunsuz bir şekilde devam etmesini ve hizmetlerin hızlı bir şekilde geri yüklenmesini sağlamak için yalnızca güvenlik uzmanları değil, aynı zamanda sistem yöneticileri, hukuk müşavirleri, halkla ilişkiler ve diğerleriyle de yakın çalışan olay müdahale ekiplerinin kurulması gerekir.

Tedarik zincirlerinden kaynaklanan riskleri tanımlayın

Genellikle satıcılarımızın ve hizmet sağlayıcılarımızın bize verdiklerine güveniriz. Ancak SolarWinds olayı, tedarik zincirlerimize olan güvenin ne kadar riskli olduğunu bir kez daha kanıtladı. Bu olayda gördüğümüz gibi büyük kurumlara başarılı bir şekilde sızılabilir ve bir şirketin diğer binlerce şirkete riskli teknoloji ürünleri veya hizmetleri sağlamasına sebep olabilir. Bu şirketler sırayla, yalnızca kendilerinin güvenliğini tehlikeye atmakla kalmıyor, aynı zamanda kendi müşterilerinin verilerini saldırganlara ifşa ediyor veya müşterilerine güvenliği ihlal edilmiş hizmetler sunabiliyor.

Bu tarz siber saldırıları ele almanın kolay bir yolu ne yazık ki yok. Güvenlik stratejilerimizin ve teknolojilerimizin birçok yönünün iyileştirilmesi gerekiyor. Şu anda en önemli olan şey, kuruluşların tedarik zincirlerinden kaynaklanan riskleri tanıması, anlaması ve daha iyisini talep etmesidir.

Öne Çıkan Yazılar
Kripto para güvenliği için Soğuk Cüzdan nedir ve nasıl kullanılır?
Kripto para güvenliği için Soğuk Cüzdan nedir ve nasıl kullanılır?
Kripto para güvenliği, dijital para birimlerine yatırım yapan, bunların alım satımıyla uğraşan herkes için dikkat edilmesi...
26.07.2021
Güvenlik
İki faktörlü kimlik doğrulama (2FA) internette güvende kalın
İki faktörlü kimlik doğrulama (2FA) ile internette güvende kalın
İki faktörlü kimlik doğrulama ya da kısaca 2FA olarak bilinen güvenlik önlemi, internetteki giriş işlemlerinde hızlı ve pratik...
28.09.2020
Güvenlik
Güvenli işlemler için Blockchain alternatifi: Akıllı Kontratlar
Güvenli işlemler için Blockchain alternatifi: Akıllı Kontratlar
Akıllı Kontratlar, bilgisayar protokollerine bağlı çalışan sözleşmelerdir ve Blockchain (blok zinciri) üzerinde çalışan dijital...
18.11.2020
Güvenlik
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital dönüşümde, sürecin ilerleyen adımlarına bırakılan siber güvenlik, planlama aşamasında ele alınarak dijitalleşmeye...
18.09.2020
Güvenlik
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO27001 2013 revizyonu ile neler değişti? Belgelendirme ve belge yenilemesi sürecinde şirketleri neler bekliyor?
11.11.2013
Güvenlik
KVKK Hakkında Bilinmesi Gerekenler  
KVKK Hakkında Bilinmesi Gerekenler
Bilgi teknolojilerinin yaygınlaşması, bazı güvenlik risklerini de beraberinde getiriyor. Bireylerin yanı sıra, kurumların...
20.08.2020
Güvenlik