2023 için en önemli siber güvenlik tehditleri
Gelecek yıl, siber suçlular her zamanki gibi meşgul olacak. BT departmanları hazır mı?
2023’e girerken, siber güvenlik hala CIO endişeleri listesinin başında yer alıyor . Hiç şaşırtıcı gelmedi. 2022’nin ilk yarısında dünya çapında 2,8 milyar kötü amaçlı yazılım saldırısı ve 236,1 milyon fidye yazılımı saldırısı gerçekleşti . 2022 yılı sonuna kadar altı milyar kimlik avı saldırısının başlatılması bekleniyor.
İşte BT’nin 2023’te görmesi muhtemel olan en önemli sekiz güvenlik tehdidi.
Gelecek yıl için en önemli 8 güvenlik tehdidi
1. Kötü amaçlı yazılım
Kötü amaçlı yazılım, bilgisayarlara, sunuculara, iş istasyonlarına ve ağlara zarar vermek amacıyla ağlara ve sistemlere enjekte edilen kötü amaçlı yazılımdır. Kötü amaçlı yazılım gizli bilgileri çıkarabilir, hizmeti reddedebilir ve sistemlere erişim sağlayabilir.
BT departmanları, kötü amaçlı yazılımları ağlara ve sistemlere girmeden önce izlemek ve durdurmak için güvenlik yazılımları ve güvenlik duvarları kullanır, ancak kötü amaçlı yazılım kötü niyetli kişiler bu savunmalardan kurtulmanın yollarını geliştirmeye devam eder. Bu, güvenlik yazılımı ve güvenlik duvarlarına yönelik güncel güncellemelerin sürdürülmesini zorunlu hale getirir.
2. Fidye yazılımı
Fidye yazılımı bir tür kötü amaçlı yazılımdır. Bir sisteme erişimi engeller veya özel bilgileri yayınlamakla tehdit eder. Fidye yazılımı failleri, kurban şirketlerinden sistemlerin kilidini açmak veya bilgi döndürmek için onlara nakit fidye ödemelerini talep ediyor.
2022’de şu ana kadar şirketlere yapılan fidye yazılımı saldırıları, 2021’dekinden %33 daha yüksek . Pek çok şirket, sistemlerini geri almak için fidye ödemeyi kabul ediyor, ancak aynı fidye yazılımı failleri tarafından tekrar saldırıya uğruyor.
Fidye yazılımı saldırıları maliyetlidir. Şirket itibarına zarar verebilirler. Çoğu zaman fidye yazılımları, ağında güvenliği daha zayıf olan bir satıcı veya tedarikçiyle açık olan bir kanal aracılığıyla kurumsal bir ağa girebilir.
Şirketlerin atabileceği adımlardan biri, uçtan uca tedarik zincirinin güvenli olduğundan emin olmak için tedarikçilerinin ve satıcılarının kullandığı güvenlik önlemlerini denetlemektir.
3. Kimlik Avı
Hemen hemen herkes şüpheli bir e-posta aldı veya daha da kötüsü, meşru gibi görünen ve güvenilir bir taraftan gelen ancak olmayan bir e-posta aldı. Bu e-posta hilesi, kimlik avı olarak bilinir.
Kimlik avı, şirketler için büyük bir tehdittir çünkü şüphelenmeyen çalışanların sahte e-postaları açması ve virüsleri serbest bırakması kolaydır. Sahte e-postaları tanıma, bildirme ve asla açmama konusunda çalışan eğitimi gerçekten yardımcı olabilir. BT, sağlam e-posta alışkanlıklarının öğretilmesini sağlamak için İK ile birlikte çalışmalıdır.
4. Nesnelerin İnterneti
2020’de şirketlerin %61’i IoT kullanıyordu ve bu oran artmaya devam ediyor. IoT’nin yaygınlaşmasıyla birlikte güvenlik riskleri de artıyor. IoT satıcıları, cihazlarında çok az güvenlik uygulamakla veya hiç güvenlik uygulamamakla ünlüdür. BT, güvenlik için RFP sürecinde IoT satıcılarını önceden inceleyerek ve kurumsal standartlara uymaları için cihazlardaki IoT güvenlik varsayılanlarını sıfırlayarak bu tehditle mücadele edebilir.
Kuruluşunuz IoT güvenliği hakkında daha fazla rehberlik arıyorsa TechRepublic Premium uzmanları, BT liderleri için nelere dikkat edilmesi gerektiği ve tehditlerle başa çıkma stratejileriyle dolu bir e-kitap hazırladı.
5. Dahili çalışanlar
Canı sıkılan çalışanlar ağları sabote edebilir veya fikri mülkiyet ve özel bilgilerle kaçabilir ve zayıf güvenlik alışkanlıklarına sahip çalışanlar yanlışlıkla parolaları paylaşabilir ve ekipmanı korumasız bırakabilir. Bu nedenle, çalışan güvenlik politikalarının ve prosedürlerinin ne kadar iyi çalıştığını kontrol etmek için sosyal mühendislik denetimlerini kullanan şirketlerin sayısında bir artış olmuştur. 2023’te, BT’nin iş gücü güvenlik politikalarının ve uygulamalarının sağlamlığını kontrol edebilmesi için sosyal mühendislik denetimleri kullanılmaya devam edecek.
6. Veri zehirlenmesi
Bir IBM 2022 araştırması, şirketlerin %35’inin işlerinde yapay zekayı kullandığını ve %42’sinin onu keşfettiğini ortaya çıkardı . Yapay zeka, her sektördeki şirketler için yeni olanaklar açacak. Ne yazık ki kötü oyuncular da bunu biliyor.
Yapay zeka sistemlerinde veri zehirlenmesi vakaları görülmeye başlandı. Bir veri zehirlenmesinde, kötü niyetli bir aktör, bir AI sorgulamasının sonuçlarını çarpıtacak ve potansiyel olarak şirket karar vericilerine yanlış olan bir AI sonucu döndürecek bozuk verileri bir AI sistemine enjekte etmenin bir yolunu bulur.
Veri zehirlenmesi, kurumsal sistemlere yönelik yeni bir saldırı vektörüdür. Buna karşı korunmanın bir yolu, AI sonuçlarınızı sürekli olarak izlemektir. Aniden geçmişte ortaya koyduğundan önemli ölçüde uzaklaşan bir sistem görürseniz, verilerin bütünlüğüne bakmanın zamanı gelmiştir.
7. Yeni teknoloji
Kuruluşlar biyometri gibi yeni teknolojileri benimsiyor. Bu teknolojiler çok büyük faydalar sağlar, ancak BT’nin bunlarla sınırlı deneyimi olduğundan yeni güvenlik riskleri de getirir. BT’nin atabileceği adımlardan biri, bir satın alma sözleşmesi imzalamadan önce her yeni teknolojiyi ve satıcılarını dikkatle incelemektir.
8. Çok katmanlı güvenlik
Ne kadar güvenlik yeterlidir? Ağınızı güvenlik duvarı ile donattıysanız, güvenlik izleme ve müdahale yazılımı yüklediyseniz, sunucularınızın güvenliğini sağladıysanız, çalışanlara çok faktörlü kimlikle oturum açtıysanız ve veri şifreleme uyguladıysanız, ancak sunucuları içeren fiziksel tesisleri kilitlemeyi veya en son güvenlik güncellemelerini yüklemeyi unuttuysanız akıllı telefonlarda, kapalı mısınız?
BT’nin azaltması ve izlemesi gereken birçok güvenlik katmanı vardır. BT, bir iş akışındaki her güvenlik ihlali noktası için bir kontrol listesi oluşturarak güvenliği sıkılaştırabilir.
Kaynak: