Siber saldırıya karşı işte yeni trendler
Siber güvenlik saldırıları son yıllarda sık sık gündeme gelen konulardan...
HANİFE BAŞ- Geçen yıl kimlik avı dolandırıcılığı, fidye yazılımı ve kripto soygunlar gibi birçok siber saldırının yaşanması şirketlerin de odaklarını bu alana çevirmelerine neden oldu. Yapay zeka, metaverse, makine öğrenmesi gibi yeni teknolojiler de yeni riskleri beraberinde getiriyor. Bu yıl da siber güvenlik, tehditler ve korunma yollarının yine gündemden düşmeyeceği öngörüsü var. Sektörün önde gelen şirketlerine bu yılın siber güvenlik trendlerini sorduk...
2023 yılında da geçen yıl olduğu gibi siber saldırıların artarak devam edeceği tahmin ediliyor. Kimlik avı, fidye yazılımlar, oltalama gibi bilinen saldırı yöntemlerinin süreceği öngörülüyor. Ayrıca yapay zeka, metaverse de yeni riskleri beraberinde getiriyor. Peki başta iş dünyası olmak üzere siber saldırılara karşı ne gibi önlemler alınabilir? Sektör liderlerine son gelişmeleri ve trendleri sorduk...
“Her yıl olduğu gibi 2023 yılında da veri güvenliği önde gelen siber güvenlik trendlerinden olacak. Zaman zaman kurumları ve şirketleri zor durumlarda bırakabilen, itibarını zedeleyen veri güvenliği zafiyetleri saldırganların ilgisini çekecektir. 2023’e girmemizle beraber bu saldırılar artık daha agresif ve daha sarsıcı boyutlarda karşımıza çıkacak. Şirketlerin de bu saldırılara karşı alacağı önlemleri akabinde geliştirmesi ve daima güncellemesi lazım. Şirketler ve kurumları en çok etki alanında bulunduranlar, veri güvenliği, fidye yazılımı, bulut güvenliği oluyor. Fidye yazılımı saldırıları, para değeri taşıyan her şirketi hedef olarak alıyor. Bu yazılım önümüzdeki yıllarda da sıklıkla karşımıza çıkacak ve bu saldırılar giderek artacak. Bu saldırılar firmalar için ciddi maddi kayıplara yol açmakla beraber aynı zamanda sistemlerini çalışamaz hale getiriyor. Karşılaşılan saldırı sonucunda, işler sekteye uğruyor ve iş tedariğinde sıkıntılar yaşandığı için kurumsal prestij kaybı yaşanması kaçınılmaz oluyor. Veri ihlallerinde ise şirket ve kuruma ait olan gizli bilgiler yetkisi olmayan kişilere sızdırılıyor ve siber saldırganlar tarafından ele geçiriliyor. Siber güvenlik artık şirketlerin öncelikli ele alması gereken konuların başında. Siber saldırılara karşı şirketlerin alabileceği birçok önlem bulunuyor. Mobil alanda özellikle donanımsal ve yazılımsal açıklar konusunda çalışanlara eğitimler verilmesi gerekiyor. Bu konuda oluşturulacak farkındalık çalışanların olası kriz durumlarını engellemesini ve hızlı aksiyon almalarını sağlayacaktır.
Bir şirketi iflasa sürükleyebilir... Erkan Tuğral / ESET Türkiye Genel Müdür Yardımcısı
“Siber güvenlik, bireyleri, ticari işletmeleri ve de kamu kurumlarını içine alan geniş bir alan haline geldi. Büyük ölçekli kurumsal yapılara yönelik siber tehditler gelişerek artıyor, şirketleri iflas noktasına kadar getiriyor. Yaptığımız araştırmalar 2022’de, KOBİ’lere yönelik siber saldırılarda artış olduğunu ve bunun bu yıl da artacağını ortaya koyuyor. Başta kötü amaçlı yazılımlar olmak üzere, internet saldırıları, fidye yazılımları, üçüncü taraf güvenlik sorunları, uzak masaüstü protokol saldırıları şirketleri bekleyen siber güvenlik riskleri olarak ön plana çıkıyor. Kurumsal yapıların değişen ve gelişen tehditlere göre güvenliğe yatırım yapmaları gerekiyor. Konu sadece kurumun bilgi güvenliğini değil, itibarını ve iş sürekliliğini de tehdit eden bir duruma geldi, bunu gözden kaçırmamak gerekiyor. Bugün güvenlik sadece IT çalışanlarının ya da birimlerinin değil, tüm çalışanların birlikte hareket etmesi ve özen gösterilmesi gereken bir alan. Değişen iş yapış şekillerine göre güvenlik protokollerinin oluşturulması, bunlara uyulması ve herkesin gelişmelerle ilgili bilgilendirilmesi gerekiyor. Türkiye'de siber güvenlik bilinci her geçen gün artıyor. Siber güvenliğe bir bütün olarak bakmak gerekiyor. Siber güvenlik yazılımı kullanmak tek başına bir çözüm değil ya da yeterli değil. Türkiye’de birçok kategoride, lisanslı ürün kullanımı henüz istenen seviyeye gelmedi. Bu da birçok açıdan güvenlik açığı oluşturuyor. Bir güvenlik yazılımı tercih edilirken sadece fiyatına göre değil, ürünü ya da yazılımı aldığınız kurumun yetkinliğine göre de karar vermeniz gerekiyor.”
“Türkiye’nin güvenlik çözümleri pazarının önümüzdeki yıllarda istikrarlı bir şekilde büyümesi ve pazar büyüklüğünün 2025’te 344.89 milyon dolara yükselmesi bekleniyor. Siber güvenlik 2023’te herkesin gündeminin en üst sıralarında yer alacak. 2023’te bu alanda özellikle iki temel trend öne çıkacak... Evden çalışmanın artık iş dünyasının değişmez bir parçası olması ile siber güvenlik konusunda çalışanların bilgilendirilmesi ön plana çıkacak. Yapay zekayla beraber siber saldırı girişimlerinin sayısı hızla arttıkça, insanların siber güvenlik tehditlerinin hepsine yanıt vermesi ve bir sonraki en tehlikeli saldırıların nerede gerçekleşeceğini tahmin etmesi giderek daha da zorlaşıyor. İşte bu noktada yapay zeka devreye giriyor. Makine öğrenimi algoritmaları, ağlar üzerinde hareket eden büyük miktarda veriyi gerçek zamanlı olarak insanlardan çok daha etkili bir şekilde inceleyebilir ve bir tehdide işaret eden kalıpları tanımayı öğrenebilir. Yeni yılda bu konu da oldukça öne çıkacak diye düşünüyorum. Nitekim yapay zekâ temelli siber güvenlik ürünleri pazarının 2030 yılına kadar 139 milyar dolara yakın bir değere ulaşacağı tahmin ediliyor ki bu 2021 yılındaki pazar değerinde neredeyse 10 katı. Dijital dönüşüm şirketler için birçok fırsat yaratırken maalesef beraberinde siber saldırıları da getiriyor. Tüm şirketleri zarara uğratabilen siber saldırıların özellikle KOBİ’leri iflasa kadar götürebildiği gözlemleniyor. Artık bu riskin farkında olan KOBİ’ler de geçmişe kıyasla daha bilinçli diyebilirim. Çünkü rakamlar bu tehditlerin görmezden gelinemeyecek kadar büyük olduğunu ortaya koyuyor.”
“Geçen yıl birçok siber saldırı yaşandı ve bu saldırılarda geçtiğimiz yıllara göre büyük bir artış olduğunu gözlemledik. Bu artışın 2023’te de devam edeceğini öngörmek zor değil. 2023 yılında Zero Trust yaklaşımının benimsenmesini, güvenilir ve zengin özelliklere sahip siber güvenlik çözümlerine yönelik talebin artacağını öngörüyoruz. Zero Trust ortamında kullanıcılar birden fazla kimlik doğrulama yöntemi kullanılarak sürekli olarak doğrulanır ve yeniden yetkilendirilir. 2023’te yüzde 31 büyüyeceğini öngördüğümüz Zero Trust, gelecek yılın en önemli trendlerinden bir tanesi olacaktır. Ayrıca EDR ve MDR gibi bulut tabanlı algılama ve müdahale çözümlerinin kullanımının artmasını ve şirketlerin siber güvenlikleri için ayırdıkları payları artıracaklarını düşünüyorum. 2023 yılında yapay zeka tabanlı kod yazma asistanlarının yaratacağı güvenlik açıklarından elektrikli araçlara yönelik saldırılara, kripto para hacklerinden devletler arası yaşanabilecek siber savaşlara kadar birçok gelişmenin yaşanmasını bekliyoruz. 2025 yılına kadar dünya çapında tahmini 75.4 milyar IoT bağlantılı cihaz olacağı öngörülürken bu cihazların gelecek dönemde siber saldırı hedefi olacağını söyleyebiliriz. Ekonomik belirsizlik nedeniyle mali siber suçların gelecek yıllarda artarak devam edeceğini düşünürsek kimlik avı saldırıları, fidye yazılımı, sosyal mühendislik, patron dolandırıcılığı olarak da bilinen BEC saldırıları ve kötü amaçlı yazılımlar şirketler için 2023’te en büyük tehditler olacak.
“Siber saldırılarla dolu geçen 2022 yılı sona erdi. 2023’te bilgisayar korsanlarının yapay zekadan kimlik doğrulamasına, sürücüsüz araçlardan metaverse evrenine odaklanan yeni teknikler kullanarak siber güvenlik savunmalarını aşmaya çalışacağını tahmin ediyoruz. Öngörülerimizden bazıları, çok faktörlü kimlik doğrulamanın (MFA) kabulü, sosyal mühendislikte artışı besleyecek. MFA kullanımının giderek artması, saldırganların bu güvenlik doğrulama çözümlerini aşmanın bir yolunu bulmasını gerektirdiğinden tehdit aktörleri 2023’te MFA kullanıcılarını agresif bir şekilde hedefleyecektir. Siber güvenlik, tedarikçi ve iş ortağı seçiminde en önemli faktör haline gelecek. Geçtiğimiz iki yıl, beş yıllık gibi görünen dijital tedarik zinciri ihlalleriyle doluydu. Metaverse’teki ilk büyük siber saldırı, bir işletmeye yönelik olacak. Yapay zeka kodlama araçları, geliştiricilerin projelerinde temel güvenlik açıkları yaratacak. Makine öğrenmesi ve yapay zeka bazı kişilerin iddia ettiği kadar güçlü hale gelmemiş olsa da birçok yeni pratik yetenek sunmak için önemli ölçüde gelişti. Sürücüsüz araçlar, yapay zekaları hacklenerek kontrol edilecek. 2022 yılında birçok büyük kurum, sosyal mecra ve aracı kurum siber saldırıya maruz kalarak kullanıcı verilerinin hackerların eline geçmesine engel olamadı. Yaşanan bu olumsuz durumların sonucu olarak da bu verilerin, yapılacak saldırılarda kullanılması kaçınılmaz. Geçtiğimiz yıl sıklıkla karşılaştığımız ve önümüzdeki yıllarda da oldukça fazla karşı karşıya kalacağımız oltalama saldırıları ve kimlik avı saldırıları, şirket ve kurumları en çok zora sokan saldırılar olarak karşımıza çıkıyor. Bunun dışında yapay zekanın hayatımıza daha da fazla girmesiyle beraber şirketlerin karşılaştığı saldırılar hem çeşitlilik gösteriyor, hem de fark edilmesi daha uzun hale geliyor. Bu noktada yeterli siber güvenlik önlemi almayan kurumlar maalesef daha fazla risk altında olacaklar. Finans ve devlet kurumlarına baktığımızda ise daha çok hedefli saldırıların olduğunu gözlemliyoruz. Bu saldırıların öncesinde sosyal mühendisliğin oldukça fazla tercih edilerek saldırganların, şirket verilerine kullanıcı zafiyetinden faydalanarak ulaştıklarını sıklıkla görüyoruz. Tüm dünyada olduğu gibi ülkemizde de siber güvenlik alanında yetişmiş insan kaynağı oldukça sınırlı ve genellikle üst düzey kurumlar tarafından konumlandırılabiliyorlar. İnsan kaynağı eksikliğini bir nebze de olsa gidermek adına daha otonom güvenlik sistemleri ile siber güvenlik duruşlarını güçlendirmeye çalışıyorlar. Geçtiğimiz yıllara göre bilinç seviyesi çok daha iyi yerlere gelmiş olsa da maalesef siber güvenliğin en zayıf halkası olan insan faktörünü elimine etme konusunda hala çok başarılı olunduğunu söyleyemiyoruz. Yatırım konusunda her ne kadar içinde bulunduğumuz ekonomik durumun çok iyi olmadığını bilsek de firmaların, siber güvenlik ürünlere daha fazla yatırım yaparak mevcut işlerini koruma altına almaya çalıştıklarını görüyoruz.”
Yeterince yatırım yapılmıyor Siber güvenlik algısı gelişiyor Hakan Eryavuz / Brandefense Kurucu Ortağı
“Hackerların en büyük motivasyonlarından birisi maddi kazanç elde etmek. Bu nedenle özellikle sosyal mühendislik ve fidye yazılımı saldırıları kolay para kazandırdığı için hackerların kullandığı saldırı yöntemlerinin başında yer alacak. Siber tehdit aktörleri özellikle hızlı ve kolay para kazanabileceği zafiyetlere yöneliyor. Bu noktada da teknoloji zafiyetlerinden ziyade sosyal mühendislik tekniklerinin kullanılarak insanların hedef alındığını sıklıkla görüyoruz. Öncelikli olarak bilişim sistemleri kullanan kişilerin siber güvenlik saldırılarına karşı sürekli olarak bilinçlendirilmesi gerektiğini düşünüyoruz. Bunun akabinde özellikle internet açık olan sistemlerin periyodik olarak testlere tabi tutularak olası zafiyetlerin tespit edilmesi güvenlik açısından oldukça önemli. Bu zafiyetlerin hızlıca kapatılmasına yönelik olarak eyleme geçilmesi gerekiyor. Ayrıca, düzenli yama yapılması da yine önemli konuların başında geliyor. Siber güvenlik önlemleri almak için firmaların hatırı sayılır bir siber güvenlik bütçesi ayırması gerekiyor. Bunun yanında yapılan güvenlik yatırımlarının doğru işletildiğinden emin olunması için de yetişmiş teknik personel ihtiyaçları bulunuyor. Siber güvenlikle ilgilenen Türk mühendislerimizin çok başarılı. Ancak sektörde ciddi oranda teknik personel eksikliği olduğunu gözlemliyoruz. Buna paralel olarak finans sektörü gibi büyük sektörlerin dışında kalan birçok firmanın yeteri kadar siber güvenlik bütçesi ayırmadığını ve yatırım yapmadığını görüyoruz.”
Siber güvenlik algısı gelişiyor/ Melih Kırkgöz/ Fortinet Orta Doğu ve Türkiye Bölge Teknoloji Direktörü
“Türkiye’de siber güvenlik algısı iyi hale geldi. Bu algıda bankacılık, e-ticaret, enerji, sağlık gibi birçok sektörde yürütülen çalışmaların (BDDK, EPDK, KVKK, Sağlık Bakanlığı) etkisi büyük. Siber güvenliğin dijital ve siber fiziksel (IoT, giyilebilir teknolojiler, akıllı fabrikalar, sürücüsüz araçlar gibi) dünyanın sağlayıcısı ve koruyucusu olduğu düşünüldüğünde IT bütçelerinde daha çok yer bulması önemli. Peki nasıl önlemler alınabilir? Maliyet yönetiminin çok önemli olduğu günümüzde siber güvenliğe stratejik platform yaklaşımıyla sadeleşme, entegrasyon, verimlilik, etkinlik ve geleceğe yönelik uyarlanabilirlik katarak, siber güvenliğin bir maliyetten çok kurumların rekabetçiliğini gerçekleyen bir avantaj olduğunu fark ettirmek gerekiyor. Ne olursa olsun, çoğu saldırganın hedefi aynı. Ağlara sızmak ve hassas bilgileri çalmak. İyi haber şu ki, bu saldırıları gerçekleştirmek için kullandıkları taktiklerin çoğu tanıdık ve bu da güvenlik ekiplerini bunlara karşı korumak için daha iyi konumlandırıyor. Güvenlik çözümlerinin, saldırı modellerini tespit edebilmeleri ve tehditleri gerçek zamanlı olarak durdurabilmeleri için öğrenen makineler ve yapay zeka ile geliştirilmesi gerekiyor. Fakat noktasal güvenlik çözümlerinden oluşan bir koleksiyon günümüz ortamında etkili değil. Karmaşıklığı azaltmak ve güvenlik esnekliğini artırmak için kapsamlı, entegre ve otomatik bir siber güvenlik ‘mesh’ platformu gerekiyor. Daha sıkı entegrasyon, gelişmiş görünürlük ve ağ genelinde tehditlere daha hızlı, koordineli ve etkili yanıt verilmesini sağlayabiliyor.”
“2023 yılında özellikle nesnelerin interneti platformları, küresel tedarik zincirleri, bulut ortamları ve hibrit çalışma ortamları siber saldırganların en önemli hedefleri arasında yer alacak. Bu tehditlerin önlenmesinde risklere dayalı yamalar, XDR, sunucu güçlendirme, sıfır güven, ağ izleme, bütünsel siber güvenlik yaklaşımı büyük önem taşıyacak. Sosyal mühendislik ve fidye yazılımları işletmeler açısından büyük bir tehdit olmaya devam edecek. Bilinen ve bilinmeyen güvenlik açıkları siber saldırganların en önemli araçlarından biri olmaya devam edecek. Özellikle sıfırıncı gün açıkları işletmeler için büyük bir tehdit oluşturacak. Sunuculara yönelik kripto para madenciliği saldırıları önemli trendler arasında yer alacak. Özetle siber saldırılar 2023 yılında da artma trendi gösterecek. Trend Micro olarak 2023 yılına yönelik siber güvenlikle ilgili tahminleri içeren rapor yayınladık. Bu rapora göre sosyal mühendislik 2023 yılında da önemli bir tehdit olmaya devam edecek. İş e-postalarını ele geçirmeye yönelik siber saldırıların artmasını ve küresel işletmeleri daha da fazla tehdit edeceğini öngörüyoruz. 2022 yılında finans kuruluşlarını kandırmaya yönelik olarak kullanılan ‘deepfake’ yönteminin çevrimiçi nüfusun artmasıyla 2023 yılında farklı sektörlerde de kullanılacağını düşünüyoruz. Sosyal mühendislik, diğer yöntemlerle kıyaslandığında çok daha ucuz bir yöntem olduğundan sınırlı teknoloji bilgisine sahip saldırganlar tarafından yaygın olarak kullanılacak.”