Siber güvenlik her geçen gün ehemmiyet kazanan bir husus haline gelirken, son trendler bulut tabanlı ve taşınabilir odaklı tehditlerin arttığını ortaya koyuyor. Keepnet Labs’in açıkladığı 2021 kurumsal siber güvenlik trendlerine nazaran atak tiplerinde bilgisayar korsanlığını kimlik avı izliyor.
Pandemi ile farklı sanayilerden milyonlarca insanın uzaktan çalışamaya geçişi, güvenlik açıklarındaki artışı da beraberinde getirdi. 2020’de çok fazla konuştuğumuz meskenden çalışma ile artan güvenlik açıkları, siber güvenlik kesiminde belirleyici hale geldi. Bir öteki değerli etken ise Covid-19 sonra dijitalleşme ve otomasyona yatırım yapılırken siber güvenlik tarafındaki yatırımların kâfi olmaması idi. Güvenlik yatırımlarını öncelik haline getirmeyen kurumlar ise yeni güvenlik açıkları ile karşı karşıya kaldı. Yapılan araştırmalar da bu tespiti destekliyor.
En büyük yükseliş data ihlallerinde
Uluslararası danışmanlık şirketi Accenture’a nazaran iş önderlerinin 68’i siber güvenlik risklerinin arttığını düşünüyor. Farklı kaynaklara nazaran iş dünyasında şirketlerin dijital ortamdaki klasörlerinin sadece 5 ila 10’u uygun halde korunuyor. Covid-19 sonrası süreçte, kurumsal taarruzlar içerisinde en fazla artış yaşanan alanlardan biri bilgi ihlalleri.
ABD’li telekomünikasyon şirketi Verizon’ın tahlillerine nazaran bu devirde ihlallerin yüzde 86’sı finansal yüzde 10’u casusluk kaynaklı. Tekrar birebir kaynağa nazaran ihlallerin 45’i bilgisayar korsanlığı, 17’si makûs gayeli yazılım ve 22’si kimlik avı içeriyordu. Bu ve gibisi senaryoları 2021’de de yaşamamız muhtemel. Zira görünen o ki; 2021’de uzaktan çalışanlar siber hatalılar için gaye olmaya devam edecek.
Bilgi güvenliği pazarının büyüklüğü 170,4 milyar dolara ulaşacak
Siber güvenlik dünyasındaki eğilimleri pahalandıran Keepnet Labs Türkiye Genel Müdürü Erdinç Balcı, “Gartner, dünya çapındaki bilgi güvenliği pazarının 2022’de 170,4 milyar dolara ulaşacağını kestirim ediyor. Uzaktan çalışma konusunda tecrübe kazanan iş dünyası, pandemi sonrası büyüyen ekonomik kriz sonucunda güvenlik konusunda 2021’de gerekli yatırımları yapmak durumunda. Doğal teknoloji yatırımı kadar siber güvenlikte farkındalık kazanmak ve bunu iş kültürünün modülü haline getirebilmek de çok kıymetli. Böylesine belirsizliklerle dolu bir süreçte 2021’de siber güvenlik bölümünü etkileyecek trendler, kurumların kritik datalarını koruyabilmeleri için tüm dallara ışık tutuyor” dedi.
5G ile temaslı aygıtlar daha savunmasız hale gelecek
2021’de uzaktan çalışmanın bir sonucu olarak bulut ihlalleri artacak. 5G konusunda atılan adımlar ile bağlı aygıtların bant genişliğinin artması ve otomasyondaki yaygınlaşma IoT aygıtları siber taarruzlara daha savunmasız hale getirecek. 5G dünya çapında yaygınlaştıkça, daha büyük ve daha sık DDoS taarruzları mümkün olacak.
Bir manzara yahut görüntüde yer alan bir kişinin, yapay hudut ağları kullanarak bir diğer kişinin manzarası ile değiştirildiği bir medya çeşidi olan Deepfake’in kurumsal hücumlarda daha fazla kullanıldığına şahit olacağız. Kripto paralara ilgi arttıkça her türlü siber taarruzda fidye taleplerinin kripto para üzerinden döndüğü olayları yaşayacağız. Tüm bu muhtemel senaryolar dahilide kurumsal firmaların siber güvenlik maharetlerinin yetersizliği en büyük sorun olarak gündemde yer almaya devam edecek.
İçeriden gelen tehditler öncelikli olacak
Çalışan gereksinimlerindeki karışıklık ve uzak bir işgücüne daima bağımlılık, içeriden gelen tehditlerden yararlanmak isteyen hatalılar için 2021’de de potansiyel akın ortamı olmaya devam edecek. Araştırmacılar, uzaktan iş gücü eğiliminin içeriden gelen tehditlerde artışa neden olacağına inanıyor. Araştırma şirketi Forrester’a nazaran yüzde 25’i içeriden gelen tehditlere bağlı olan data ihlallerinin 2021’de yüzde 33’e yükselmesi bekleniyor.
Balcı, memleketler arası arenada faaliyet gösteren yerli ve ulusal bir siber güvenlik firması olan Keepnet Labs’in 2020 yılında gerçekleştirdiği araştırmayı işaret ederek, “Başarılı siber hücumların 90’ı e-posta tabanlı akınlar üzerinden gerçekleşiyor. Bu siber akınlar, bilhassa çeşitli güvenlik mekanizmalarını/kontrollerini atlamak için aldatıcı, aldatıcı ve hileli olan toplumsal mühendislik tekniklerini kullanıyor. Geçtiğimiz sene hazırladığımız 2020 Oltalama Yönelimleri Raporu ile 1 yıllık süreyi kapsayan bir devirde 410 bin oltalama e-postası verisinden faydalandık ve çok çarpıcı sonuçlara ulaştık. Buna nazaran, her 2 çalışandan 1’i oltalama e-postalarını açıyor ve okuyor. Her 3 çalışandan 1’i oltalama e-postalarında bulunan (kötü amaçlı yazılım / fidye yazılımının sessiz kurulumuna neden olabilecek) bağlantılara tıklıyor yahut belge eklerini açıyor. Her 8 çalışandan 1’i oltalama e-postalarında talep edilen bilgileri paylaşıyor. Hazırladığımız bu kapsamlı çalışma, kurumların bu hususta önemli tedbirler almaları gerektiğini ortaya koyuyor” dedi.
Geniş çaplı mızrak avı taarruzlarına dikkat
Araştırmalara nazaran 2021’de otomasyonun yaygınlaşmaya devam etmesi nedeniyle amaçlı kimlik avı hücumlarında büyük bir artış bekleniyor. Bu bağlamda kurumsal ağların güvenliğinin ihlal edilmesinin en yaygın yollarından olan mızrak avı akınlarını otomatik hale getirecek formüllerin artacağını da söyleyebiliriz. Bu, saldırganların tek seferde gönderebilecekleri gaye kimlik avı e-postalarının hacmini kıymetli ölçüde artıracak ve bu da muvaffakiyet oranlarını artıracaktır. Tabi öteki yandan bu otomatik, amaçlı kimlik avı taarruzları muhtemelen daha az karmaşık olacak ve manuel olarak oluşturulan klasik çeşitliliğe nazaran fark edilmesi daha kolay olacak.
Bulut tabanlı ataklar artacak
Pandemi ile birlikte buluta geçişin sürat kazandığını görüyoruz. Hal bu türlü olunca bulut tabanlı siber taarruzlar da katlanmış durumda. 2021’de şirketlerin bulut yapılarını koruyabilmek için bulut güvenliğine yapacakları yatırımları artırmaları kural. Şirketlerin daha inançlı bulut tahlilleri arayışında “dağıtılmış bulut” yeterli bir alternatif olabilir. Genel bulut hizmetlerinin farklı pozisyonlara dağıtılması olarak söz edebileceğimiz dağıtılmış bulut mimarisi, merkezi olmayan bir bulut sistemi olarak son kullanıcıya daha yakın. Gartner’ın raporuna nazaran, dağıtılmış bulut sistemleri önümüzdeki yıllarda bulut bilişimde yeni bir periyoda yol açacak.
Otomasyon yaygınlaşırken yeni güvenlik açıklarını beraberinde getirecek
Stanford Üniversitesi tarafından yapılan bir araştırmaya nazaran üretimde yapay zekayı kullanan şirketlerin oranı dünya genelinde yüzde 58’e ulaşmış durumda. Covid-19’un tesiriyle dijitalleşmenin artmasına paralel olarak şirketler yalnızca yapay zeka alanında değil, makinede tahsilinden RPA’ya otomasyon odaklı yatırımlarını 2021’de arttırmaya devam edecekler. Buradaki temel mevzu, siber güvenliksiz bir teknoloji yatırımının şirketlere faydadan çok ziyan getireceği. Hakikaten birçok araştırma salgın başladığından beri siber akınlarda yaşanan artışın otomasyona yatırım yapılırken işin güvenlik ayağının pas geçilmesi ile ilgili olduğu görüşünde. Yaşanan siber ataklar çoğunlukla insan odaklı olsa da iş süreçlerindeki otomasyon yeni taarruz tiplerini beraberinde getirecek üzere duruyor.
Mobil aygıtlara yönelik ataklar katlanacak
Uzaktan çalışmaya geçişle birlikte artan öteki bir siber hücum kalemi taşınabilir taarruzlar. Konuttan çalışma çağında hepimiz, herkese açık Wi-Fi ağlarına, uzaktan iş birliği araçlarına ve iş için bulut ağlarına güvenerek taşınabilir aygıtlarımızla her yerden çalışıyoruz. 2021’de de bu eğilimin devam etmesi beklenirken, bununla birlikte taşınabilir taraftaki siber ataklar da artarak devam edecek. Şifrelenmiş iletileşme uygulamalarını gözetlemek için tasarlanmış özel casus yazılımlarından Android tabanlı güvenlik açıklarından faydalanan taarruz cinslerine kadar çok fazla tehdit var. Bu nedenle kurumlar 2020’de bu açıdan dersler çıkararak taşınabilir taraftaki güvenlik tedbirlerini artırmalı ve çalışanlarının bu husustaki farkındalığı artırma konusunda eğitimler düzenlemeli.
Kaynak: (BHA) – Beyaz Haber Ajansı
