Küçük İşletmeleri Servet Harcamadan Gelişmiş Saldırılardan Nasıl Koruyabilirsiniz?



Küçük İşletmeleri Servet Harcamadan Gelişmiş Saldırılardan Nasıl Koruyabilirsiniz?

Amir Kanaan- Kaspersky Türkiye, Orta Doğu ve Afrika’dan Sorumlu Genel Müdürü

Bir siber güvenlik olayını tespit etmek için geçen süre, bir saldırının sonuçlarını etkileyebilir. Örneğin son araştırmamıza göre, bir sorunu meydana geldikten hemen sonra tespit eden 1000’den az çalışana sahip küçük ve orta ölçekli işletmeler, veri sızıntısını bir hafta veya daha sonra tespit edenlere göre %17 daha az mali zarar görüyor.

Aynı araştırma, bu segmentteki işletmelerin yalnızca %10'unun bir ihlali anında tespit etmeyi başardığını ortaya koyuyor. Peki, işletmeler bu kadar büyük bir sorunu nasıl gözden kaçırabilir?

Gelişmiş saldırılar daha ekonomik hale geldi

Siber suçluların, potansiyel gelir organizasyon maliyetinden daha yüksek olduğunda gelişmiş saldırılar gerçekleştirme olasılığı daha yüksektir. Örneğin, dosyaların şifresini çözmek için fidye olarak alınan para miktarı veya çalınan hassas verilerin satışından elde edilen gelir yüksek olacaksa bu yola yönelirler. Bu nedenle karmaşık saldırılar genellikle büyük işletmeleri hedef alır, çünkü vurgun şansı daha fazladır.

Bununla birlikte, küçük ve orta ölçekli işletmelere yönelik saldırılar da karlı hale geliyor. Neden? Birincisi, kötü niyetli kişilerin güvenlik çözümleriyle tespit edilmekten kaçınan kendi kötü amaçlı yazılımlarını geliştirmelerine gerek kalmıyor. Örneğin bir araç seti satın alarak daha önce denenmiş ve çalışan yöntemleri yeniden kullanabiliyorlar. Bu nedenle, orta ölçekli işletmelere yönelik gelişmiş saldırılar da bazı durumlarda zahmete değiyor.

Ayrıca siber suçlular her zaman kötü amaçlı yazılım kullanacak diye bir kural yok. Uç nokta önleme ürünleri tarafından fark edilmeden kimlik bilgilerini toplamak veya bilgilere erişmek için işletim sisteminin veya uzaktan yönetim yazılımının yasal işlevselliğini kötüye kullanmaları da mümkün. Olay müdahale ekibimiz, bu tür bir yazılımın müşteri yardım taleplerinin neredeyse üçte birinde (%30) yer aldığını tahmin ediyor.

Bu tür tehditleri tespit etmek sadece zor olmakla kalmıyor, aynı zamanda BT güvenlik yöneticisinin günlük eylemlerine çok benzedikleri için genellikle otomatik olarak engellenemiyor. Daha fazla araştırma yapılmadığı taktirde, bu tarz müdahaleler önemli iş süreçlerini kesintiye uğratabilir.

Şirketlerin kaynakları hala sınırlı

Sonuç olarak bu tür tehditlerle başa çıkmak için işletmelerin hem güvenlikle ilgili verileri toplayıp ilişkilendirebilen gelişmiş çözümlere, hem de olayı analiz ve müdahale etmek için deneyimli bir güvenlik ekibine ihtiyacı var.

Ancak güvenlik bütçeleri koruma ihtiyaçlarının gerisinde kalıyor. Araştırmamıza göre, ortalama 1000'den az çalışanı olan şirketler, 2020'de BT güvenliği korumasına yaklaşık 275 bin dolar harcadı. Bu miktar, bir önceki yıla göre fazla artmadı. Zorlu ekonomik koşullar göz önüne alındığında bu durum şaşırtıcı değil ve şirketlerin işin gelir getiren alanlarına daha fazla yatırım yaptığı anlamına geliyor.

Ek olarak, nitelikli personel söz konusu olduğunda, küçük işletmelerin daha azıyla daha fazlasını yapması gerekiyor. KOBİ'lerin %49'unda siber güvenlikten sorumlu yalnızca bir çalışan olduğu düşünüldüğünde, ekip günün her saati şüpheli olaylarla neredeyse hiç başa çıkamıyor.

Bu koşullarda en uygun seçenek, güvenlik operasyon merkezinin (SOC) maliyetlerini, potansiyel tehditlerin proaktif olarak araştırılmasından ve uyarıların analizinden sorumlu özel bir birimle paylaşması olacaktır. Bu, tam da yönetilen tehdit algılama ve yanıt (MDR) hizmetlerinin sunduğu vaade karşılık gelir. MDR uzmanları müşteri organizasyonlarında kurulu güvenlik çözümlerinden gelen bilgileri inceler ve şirketin saldırıya karşı yanıt vermesi gereken yolları önerir.

MDR sağlayıcısı seçerken nelere dikkat edilmeli?

Peki MDR sağlayıcısı nasıl seçilir? Her şeyden önce, saldırıları bulmadaki niteliği dikkate alınması gereken ana faktördür. Uzmanlığın bariz kanıtı, hizmet sağlayıcının kendi araştırma altyapısının varlığıdır. Böylece yeni kötü amaçlı taktikleri ilk elden bildiklerinden ve bu bilgilerin kamuya açık hale gelmesini beklemek zorunda kalmadıklarından, SOC analistleri müşterinin altyapısındaki yeni tehditleri hızlı bir şekilde tespit eder.

Ayrıca hizmetin üzerine kurulu olduğu teknolojilere de dikkat etmeniz önerilir. Öncelikle, bir satıcının güvenlik analistlerinin veya dahili siber güvenlik personelinin müdahalesi olmadan çoğu tehdidin önlenebilmesi için yeterince etkili olmaları gerekir. Ek olarak, bazı satıcılar uyarıları işlerken makine öğrenimi algoritmaları uygular. Otomasyon rutin görevleri devraldıkça, güvenlik analistleri gerçek olaylarla başa çıkabilir ve sonuç olarak bir saldırıya tepki vermek için gereken süreyi kısaltır.

İkinci olarak, çözümün maliyetini ve dağıtımının kolaylığını dikkate almak gerekir. Genellikle, bir MDR sağlayıcısı, analistlere güvenliği konusunda daha fazla görünürlük sağlamak için uç noktalardan verileri toplayan ve analiz eden karmaşık bir Uç Nokta Algılama ve Yanıt çözümünden toplanan bilgiler üzerinde çalışır. Böyle bir araç satın almak için çok pahalı olabilir ve şirket içi deneyim eksikliği göz önüne alındığında, yalnızca MDR uzmanları tarafından kullanılacak olması muhtemeldir. Bu yaklaşım maliyet açısından uygun değildir ve dış kaynak kullanımının tüm finansal faydalarını ortadan kaldırır.

Ayrıca satıcının sunduğu yanıt seçeneklerine de dikkat etmeniz gerekir. Bazı durumlarda MDR ekibi müdahale önlemlerini uzaktan gerçekleştirirken, diğerlerinde dahili personel talimatları izleyerek ve sağlanan araç setini kullanarak kendi başlarına müdahale eder. İkinci yaklaşım müşterinin tavsiyelerin iyi çalıştığından, ağlarının ve iş süreçlerinin özelliklerini hesaba katıldığından emin olmak istediği durumlarda faydalıdır. Ayrıca bazıları kritik varlıklarda, örneğin yöneticilere ait bilgisayarlarda meydana gelen olaylara kendi başlarına yanıt vermeyi tercih eder. Üst düzey bir yöneticinin bilgisayarının çevrimdışı olduğu bir saat bile iş fırsatlarının kaybolmasına neden olabileceğinden, bu durum iş sonuçları üzerinde daha iyi kontrol sağlar.

Ayrıca, saptanan bir olayın atanmış önceliğine bağlı olarak hizmet düzeyi sözleşmelerinde net bir tepki süresi tanımlamasını öneririz. İşletmenize büyük zarar verebilecek olaylara en hızlı şekilde tepki verebilecek bir MDR sağlayıcısını tercih etmek önemlidir. Ne zaman olursa olsun, erken aşamada saldırıyı tespit etmek ve önlemek için 7/24 operasyonlar hayati öneme sahiptir.

SOC analistlerinden oluşan bir MDR ekibine danışma fırsatı da önemli bir faktördür. Bu, dahili ekibin kendi ekibine ek olarak daha kapsamlı yardıma veya tavsiyeye ihtiyaç duyduğu durumlarda yardımcı olacaktır.

EDR mi, MDR mi veya her ikisi mi?

MDR, tehdit algılama ve müdahale yeteneklerini hızla iyileştirmesi gereken kuruluşlara yardımcı olabilir. Ancak bu, şirketin dahili uzmanlık geliştirmeyi bırakması anlamına gelmez. Her şey işletmenin stratejisine bağlıdır.

Kurum kendi içinde olgun bir siber güvenlik işlevi geliştirmek istiyorlarsa, MDR hizmeti geçiş döneminde yardımcı olacaktır. Sonrasında MDR, dahili güvenlik analistlerinin kritik olaylara odaklanmasına olanak sağlayan destekleyici bir güç olabilir.

Şirketin tehdit avcılığını ve olay müdahalesini dış kaynaklardan almayı tercih etmesi durumunda ise, dış kaynaklı işlevleri daha iyi idare edebilmek için üçüncü taraf yönetim becerilerini geliştirmek doğru bir yaklaşım olacaktır.


İlginizi Çekebilecek Yazılar






İletişim | Gizlilik | Kullanım Koşulları