Geçtiğimiz 12 ayda, jeopolitik olaylar, küresel kötü amaçlı yazılım tehditleri ve bildik isimlere yönelik veri ihlali ile sıkça karşılaştık. Bu sene CIA Vault 7 ve NSA Shadow Brokers veri sızıntıları ile başlayan, WannaCry ve NotPetya‘nın “fidye yazılımı” saldırıları ve Uber’in geçen ayki şok edici açıklamaları ile devam eden tablo, Birleşik Krallık CISO’ların üzerinde derinlemesine düşünmesi gereken çok önemli konular. Ancak artık yıl bittiğine göre, 2017 yılının en büyük olaylarını – gelecek 12 ay boyunca sistemleri pekiştirecek bir gözle – özetlemek yararlı olabilir.

Belli bir sırada olmayan ilk beşimiz şöyle:

Fidye yazılımları (Ransomware) gelişiyor

Ransomware birkaç yıldır kuruluşların başını ağrıtıyor. Ancak 2017’de tehditlerin benzeri görülmemiş bir şekilde küresel ölçekte bir karmaşaya yol açmak için kullanıldığını gördük. Mayıs ve Haziran aylarındaki WannaCry ve Petya / NotPetya saldırıları, biraz farklı hedeflere saldırı gruplarına ve taktiklere sahip olsalar da, fidye saldırısı yazılımlarının, devletlerin geliştirdiği istismar araçlarının ağlarda yayılmasında nasıl etkili olabileceğini ortaya koydu. Bad Rabbit bu temanın başka bir türünün, “watering hole” saldırıları kullanarak çok sayıda kurbana zararlı yazılım bulaştırmak üzere tasarlandığını bizlere gösterdi.

Bu olaylar, bir güvenlik açığı ortaya çıktıktan sonra bilinen yamaları hemen eklemenin önemini öğretti. Ayrıca devletlerin popüler yazılımlardaki açıkları araştırarak yüz milyonlarca kullanıcının güvenliğine kast ettiğinde neler olacağı konusunda da bir ikaz niteliği taşıyor.

BEC firmalara milyarlarca dolara mal oluyor

Günümüzde kuruluşların yüzleştiği siber risklerinden biri olan Business Email Compromise (BEC), aynı zamanda riski azaltması en kolay olanlardan biri. FBI’a göre, Ekim 2013’ten Aralık 2016’ya kadar olan dönem zararı 5.3 milyar dolara ulaştı. Bu sayının kurumsal çalışanların ve süreçlerin sosyal mühendisliğe karşı savunmasız kalmalarının devam etmesi nedeniyle önümüzdeki yıl 9 milyar dolara yükseleceğini tahmin ediyoruz.

Çoğu BEC aldatmacasında zararlı yazılım algılanmayabilir, ancak iyi bir personel eğitimi ve büyük fon transferlerinin iki kıdemli finans yöneticisi tarafından imzalanması gibi basit bir önlemlerle kuruluşlar kendilerini daha etkin korumaya alabilir.

Büyük markalar hala çaylak hatalar yapıyor

Ne zaman öğrenecekler? Son 12 ayda “daha iyi biliyor olmalılar” diye düşünülen büyük markaların veri ihlallerine ve mahremiyet olaylarına maruz kaldıkları görüldü. Kaynakları olan ancak korsanların dışarda tutulması için doğru kurumsal kültürün veya stratejinin olmadığı firmaların en vahşi örnekleri olarak ilk anda Yahoo (3 milyar), Uber (57 milyon) ve Equifax (145.5 milyon) akla geliyor. Pek çok organizasyon – çoğunlukla bir üçüncü parti iş ortağının elinde bulunan – yanlış yapılandırılmış bulut veri tabanı nedeniyle internet kullanıcılarına ait hassas veya özel bilgilerin ortaya dökülmesinden utanç duymuştu. Verizon, Accenture, WWE ve hatta ABD Savunma Bakanlığı bunlardan bazıları. Bir davada, Cumhuriyetçi bir veri analizi şirketi, on yıl öncesine dayanan 198 milyon ABD seçmeninin PII verisini sızdırmayı başardı.

Bu olaylar, şirketlerin siber güvenlik konusunda temelleri sağlayamadığı veya bu kuralları iş ortaklarına ve taşeronlarına genişletemediğini bir kez daha ortaya koyuyor.

GDPR uyumluluğu hala eşit seviyede değil

Zaman ilerliyor ve AB Genel Veri Koruma Yönetmeliği’nin (GDPR) nihayet yürürlüğe gireceği 25 Mayıs 2018 tarihine doğru yaklaşıyoruz. Firmalar için geniş kapsamlı siber güvenlik ve gizlilik etkileri olan yeni bir yasayı hatırlamak zordur. Yine de, uyumsuzluk durumundaki çok büyük para cezalarına rağmen, yaygın farkındalık eksikliği ve kurul toplantısında bulunmak endişe kaynağı olmaya devam ediyor. Gartner, son başvuru tarihine kadar tüm işletmelerin yarısından azının tamamıyla uyumlu olacağını tahmin ediyor.

Bu yıl Trend Micro araştırması, C-suite’ten endişe verici bir eksikliği ortaya çıkardı: Üst düzey yöneticiler işletmeleri % 57’sinde sorumluluk almadı. Firmaların tuttukları verileri daha iyi anlamaları, ihlal bildirim planları hazırlamaları ve tehditleri sınırda tutmak için doğru teknolojiye yatırım yapmaları gerekir.

IoT’den buluta kadar, güvenlik açıkları bir numaralı ‘Aşil topuğu’ olmaya devam ediyor

Daha önce de belirttiğimiz gibi, güvenlik açıkları firmaların karşılaştığı en büyük güvenlik tehditlerinden biridir. Bilgisayar donanımında, aygıt yazılımı, web uygulamaları, şirket içi yazılımlar veya bulut altyapılarınızın içinde olup olmadıkları önemli değildir. Eğer bilgisayar ortamınızda sömürülebilecek bir delik varsa mutlaka hedef alınacaktır. NHS ve Equifax gibi, bilinen hataların çabucak düzeltilmemesi yüzünden ciddi derecede etkilenen çeşitli kurumlar gördük. Sağlık Servisi vakasında, yaklaşık 19.000 operasyonun ve randevuların iptaline neden olan WannaCry ile ilgili kesintiler yaşandı.

Devil’s Ivy‘den KRACK’e her ay yeni güvenlik açıkları ve saldırı yöntemleri ortaya çıkıyor; bazıları birçok organizasyonun çalıştığı sistemlerin güvenliği açısından büyük etkiler yaratıyor. CISO’lar yama yönetimine kapsamlı, otomatik bir yaklaşım ve yeni keşfedilen tehditlere hızlı ve etkili bir şekilde yanıt verebilecek çevikliğin bulunmasını sağlamalıdır.

Trend Micro’nun 2018 için öngördüğü tahminler hakkında daha fazla bilgi edinmek için yeni raporumuzu okuyun: Paradigma Değişiklikleri.