2020 ile dijital ortamdaki aktiviteler çoğaldı. Bunu fırsat bilen siber saldırganlar da yeni fırsatların peşine düşerken BT ekiplerinin yükü de arttı. Peki şirketler, kısıtlı kaynakla saldırganların bir adım önünde kalmayı nasıl başarabilir? BugBounter bu ve daha birçok sorunun cevabını açıklıyor…
Bugbounter.com platformuna kayıtlı yüzlerce uzman araştırmacıyla siber güvenlik testleri ihtiyacını hızlı, hesaplı ve etkin bir şekilde çözen BugBounter, şirketlere siber güvenlik alanındaki en önemli sorunlardan birisi olan kısıtlı kaynakla siber güvenliği sağlamanın yöntemlerini aktarıyor.
Bilginin paradan daha değerli olduğu günümüzde siber güvenlik, artık milli güvenlik kapsamında değerlendirilecek kadar önemli bir noktaya geldi. Ancak bu kadar kritik bir alanda tüm dünyada yaşanan uzman eksikliği, siber suçluların kendisinden daha büyük bir tehdit haline gelebiliyor. Öte yandan siber saldırıların sayısı da artmaya devam ediyor.
Hackerlar bu yarışa avantajlı olarak başlıyor çünkü sisteme girebilmesi için bir açık bulması yeterliyken siber güvenlik uzmanları potansiyel tüm açıklardan sorumlu. Savunma amaçlı kurulan sistemlerde keşfedilen güvenlik açıklarının sayısı da her geçen gün artıyor.
Dijital dünyaya dahil olan herkes, siber güvenlik farkındalığını artırmalı
İş dünyası 2020’yi COVID-19’un olumsuz etkileriyle, mecbur tuttuğu kaynak kısıtlamalarıyla ve çalışma koşullarında yarattığı değişimlerle geçirdi. Uzaktan çalışmaya adapte oldular ancak sayısı artmaya devam eden kötü niyetli hackerlar ve beraberinde gelen siber tehditler hala varlığını sürdürüyor.
Bulut tabanlı bir bilgi güvenliği şirketi Zscaler da Ocak-Nisan 2020 arasında COVID-19 temalı oltalama, truva atları, kötü amaçlı web sitesi ve uzaktan çalışan kötü amaçlı yazılımlarda tam 300 kat artış olduğunu aktarıyor. Rakamsal olarak bakıldığında şirket ocak ayında bu şekilde 1.200 adet saldırı engellediklerini ve mart ayında bu sayının 380.000’e çıktığını kaydediyor.
Siber riskler sadece COVID-19 temalı tehlikeli içeriklerden ibaret değil. Şirketlerin uzaktan çalışma yöntemine geçmesiyle evlerdeki güvenlik seviyesi zafiyet gösteren modem, router gibi cihazlar ve Wi-Fi ağlar da şirketin bir parçası haline geldi. İş yapabilmek için gereken sunuculara bağlanma yazılımları, dosya gönderme/alma servisleri ve video konferans araçları da olağanüstü bir düzeyde kullanılmaya başlandı. Öyle ki 2019’da günlük 10 milyon toplantının yapıldığı Zoom’da 2020 Mart ayında günde 200 milyon, nisan ayında da günde 300 milyon toplantı yapıldı.
Ancak aynı dönemlerde video konferans uygulamalarında önemli güvenlik açıkları keşfedildi. Bu tür siber güvenlik zafiyetleri ile itibar ve müşteri kaybı yaşamak istemeyen kurumların ve siber güvenlik uzmanlarının dikkat etmesi gereken konular var. Çalışanları bilinçlendirmek ve bilgi güvenliği farkındalığı sağlamak ise önceliklerin başında geliyor.
Her şirket geleneksel veri güvenliği yöntemlerinin maliyetini karşılayamıyor
Başarılı bir siber saldırı şirketlerin büyük kayıplar yaşamasına yol açabildiği gibi bu saldırılara karşı korunmak da masraflı bir alan. Şirketlerin olası güvenlik açıklarını keşfetmek için hemen her şirketin başvurduğu klasik yöntemlerin başında sızma (penetrasyon) testleri geliyor. Adam/gün maliyet üzerinden hesaplanan bütçe ile tanımlı bir alandaki tüm güvenlik açıklarını bulup raporlamak üzerine kurulu olan bu model de maliyeti sebebiyle genellikle yılda bir kez, nadiren de birkaç kez yapıldığı için hackerları durduramıyor. Testlerin gerçekleştirildikten sonraki 2 hafta içinde yeni yazılım sürümleri çıkabiliyor ve olası yeni açıklar da beraberinde geliyor.
BugBounter Kurucu Ortağı Arif Gürdenli, konuyla ilgili şunları söyledi: “Şirketler siber güvenlik seviyelerini doğrulayabilmek için sızma testleri ve red team gibi yöntemler kullanıyor. Ancak o an hizmeti sunan kısıtlı sayıdaki uzmandan kurulu takımın becerileri ve motivasyonu ile sınırlı olan bu hizmetler, gerçekten ihtiyaç duyulan esnekliği, yaratıcılığı ve sürekliliği tam olarak sunamıyor. Öte yandan Ödül Avcılığı programları, sunduğu birçok avantaj sayesinde gün geçtikçe şirketlerin siber güvenlik test portföyüne katmayı tercih ettiği bir yöntem haline geliyor. Programın sunduğu en büyük avantaj, sistemi istismar edebilecek siber saldırganlarla benzer becerilere ve araçlara sahip bağımsız araştırmacılar, sistemdeki kritik açıkları hızla keşfederek doğrudan platforma raporluyor. Platformda doğrulanan ve derecelendirilen güvenlik açıkları da şirkete bildiriyor. Böylece şirketler hem hızlı ve etkili sonuç alıyor hem de hizmetin seviyesini kendi bütçesine uygun olacak şekilde esnek yönetebiliyor.”