Şirketler artık bir siber saldırı riskinin geniş çapta farkındalar, ancak yine de bu riskin doğası hakkında yeterince bilgi sahibi değiller. Bu nedenle, kurbanları büyük ölçüde uyaran bir dizi basın makalesine rağmen, siber saldırılar son on iki ayda %15 oranında artmaya devam etti. Şirketler, güvenlik çözümlerini uygulamak zorunda olduklarını anladılar, ancak bu çözümlerin ne rapor ettiğini nasıl izleyeceklerini bilmiyorlar. Onların kusuru deneyimsizliktir.
Gerçekten de, artan otomasyona rağmen, sözde “Algıla ve Yanıtla” araçları yardımcı olmaya devam ediyor, ancak işi kendi başlarına yapmıyorlar. İyi kararlar vermek ve uygun tepkiler vermek için uzmanlığa sahip, uzman bir geçmişe sahip insanlar tarafından çalıştırılmalıdır.
İşte sorun burada çünkü şirketler bu kaynaklara kendi bünyesinde sahip değil. Nedeni iki yönlü. Bir yandan, iş piyasasında yeterli nitelikli profil yok. Bu alandaki beceri eksikliği sadece Fransa’yı ilgilendirmiyor, aynı zamanda küresel. Öte yandan ekonomik bir sorun var. Büyük gruplar ve belirli stratejik şirketler dışında, bir şirket nadiren bir kişiyi bu görevlere adayacak araçlara sahiptir.
Deneyimsizliği gidermek için havuzlama
Bu nedenle çözüm, tehdit izlemeyi dış kaynak kullanmaktır. Bu alana tahsis edilen hizmet sağlayıcılar, MSSP’dir (Yönetilen Güvenlik Hizmet Sağlayıcısı). Bir MSSP ile çalışma seçeneği ekonomik ve teknik olarak ilginçtir çünkü ekipleri aynı anda birkaç müşterinin denetimini bir araya getirir.
Teknik olarak, tehditler herkes için aynıdır. Siber saldırganlar sanayileşmiştir, nadiren belirli bir şirketi hedef alırlar ve en fazla sayıda bulunan güvenlik açıklarından yararlanırlar. Şirketlerdeki güvenlik açıklarına ve dolayısıyla üzerlerine yüklenen yaygın tehditlere ilişkin işlevler arası bilgi, MSSP sağlayıcılarının tüm kalitesini oluşturur.
Hemen meşru bir korkudan kurtulalım: hayır, bilgi sisteminizin izlenmesini üçüncü bir kişiye emanet etmeniz başka bir güvenlik sorunu oluşturmaz. MSSP’lerin bir IS’den metrikleri çıkarmak için kullandıkları sondalar, gizli bilgileri almaz, yalnızca ekipman işletim verilerini, olay günlüklerini, zaman damgalı bağlantılarını alır. Bu unsurlar, bir saldırının tüm zayıf sinyallerini taşır. Bu, etkili koruma için temel malzemedir. Bir saldırıdan sonra, ölüm sonrası bir analiz sırasında şirketler, bu zayıf sinyallerin birkaç aydır IS’lerinde olduğunu fark ettiler.
Dış kaynak, ama akıllıca
Bu nedenle, IS’nin güvenlik denetimini bir MSSP’ye emanet etmek ve siber güvenlik sorunu duyulur mu? Hayır, hikaye burada bitmiyor. Etkili koruma, tehdidi olabildiğince erken tespit eder, hangi düzeltici çözümlerin mümkün olan en kısa sürede devreye alınacağını bilmeye olanak tanır, ancak saldırıdan mutlaka kaçınılması gerekmez. Sıfır risk imkansızdır. Ayrıca, hiçbir hizmet sağlayıcı herhangi bir siber saldırıyı kesinlikle önleme sorumluluğunu üstlenmeyecektir.
Saldırı her şeye rağmen gerçekleşebilir ve asıl zorluk onun olumsuz etkisini önlemektir. Bunun için İD üzerinde gecikmeden harekete geçmek gerekiyor. Sorun, siteye 24 saat nasıl müdahale edileceğini bilmek, araştırmak, olaya müdahale tedbirlerini ayarlamak doğuştan değildir. İşletmeler bir felaket kurtarma senaryosunu izlemeye hazır olmalıdır.
Olaydan sonra bu kurtarmanın tamamını veya bir kısmını dışarıdan temin etmek, DSİ’nin bilgi sisteminin kontrolü konusundaki hassasiyetine bağlıdır. Bununla birlikte, yapılacak tüm teknik işlemlerde bir firmaya destek olabilecek bir servis sağlayıcı bulmak zordur. Gerçekten de, güvenlik olaylarının ağ üzerinde, sunucular üzerinde, yedeklemeler üzerinde ve çok farklı beceriler içeren birçok alanda etkileri olacaktır.
Dışarıda aranacak uzmanlık, olay karşısında dahili ekiplerin nasıl senkronize edileceğini bilmektir. Her ekip bir siber saldırının neden olduğu hasar konusunda eğitildiyse işe yarar. Bu eğitim özellikle pentestleri (İngilizce Penetrasyon Testi), ayrıca uzman hizmet sağlayıcılar tarafından yürütülen izinsiz giriş testlerini içerir.
Bu testler, kimsenin düşünmediği kusurları vurgular. Bulutta üçüncü taraf hizmetleri ve işlevleri ile giderek daha heterojen, hibrit bilgi sistemlerinin benzeri görülmemiş karmaşıklığından kaynaklanırlar. Pentestler, şirketlerin nerede savunmasız olduklarını ve ekiplerinin birlikte bir saldırının sonuçlarını nasıl sınırlayabileceklerini bilmelerini sağlar.
Kısacası, harici bir hizmet sağlayıcıdan geçmek, zamanında tepki vermek için gerekli uzmanlığa sahip iş piyasasında profil bulma zorluğunun üstesinden gelmeyi mümkün kılar. Ayrıca, bir hizmet sağlayıcı, optimize edilmiş fiyatlar sunmasına olanak tanıyan araçları ve insan kaynaklarını bir araya getirdiğinden, ekonomik olarak daha ilginç olduğu ortaya çıkıyor. Öte yandan, bu hizmet sağlayıcı bir siber saldırı riskini etkili bir şekilde azaltacaksa, bazıları yine de başarılı olabilir. Aynı zamanda, bir şirketin feci sonuçları sınırlamak için tepki vermek üzere eğitilmesi gerekir. Bu eğitim aynı zamanda hizmet sağlayıcıların yardımına da dayanmaktadır.
Gördüğümüz gibi, bir dış hizmet sağlayıcının çeşitli düzeylerde müdahalesi, siber saldırıların oluşturduğu gerçek riskler karşısında şirketlerin deneyimsizliğini telafi etmeyi mümkün kılıyor. Ancak son bir unsur dikkate alınmalıdır: ekonomik denklemin olumlu kalması için küreselleştirilmiş hizmet tekliflerini aramak ilginçtir. Daha önce de söylediğimiz gibi insanları ve araçları bir araya getiren ama aynı zamanda hem denetim hem de iyileştirme yönlerini içeren.