(güvensiz hızla artan siber güvenlik konusunu ele alan haftalık bir köşe yazısıdır.
İçindekiler
- Sorun
- Her şey kimlik avına geri dönüyor
Ev güvenliği gibi insanlar da genellikle parasını ödedikten sonra siber güvenliği düşünmemeyi tercih ederler. Ödemeyi ve dua etmeyi tercih ediyorlar.
Peki bir güvenlik şirketinin yazılımının çalıştığını nasıl anlarsınız? Kendimizi ve çevrimiçi işletmelerimizi korumaya harcanan milyarlarca dolar varken, neden saldırıların sıklığı ve zararları artıyor gibi görünüyor?
Ören J. ile konuştuk. NSA ve Amerika Birleşik Devletleri Siber Komutanlığı'nda eski bir üst düzey çalışan olan Falkowitz, siber güvenlik şirketlerinin nasıl para kazanması gerektiğine dair radikal bir fikre sahip.
Sorun
Modern siber güvenlik fiyaskomuzun birçok nedeni var. Belki de hükümetin finansmanı ve düzenlemesi eksikliğidir. Belki de büyük teknoloji şirketlerinin gizliliğe yeterince önem vermemesidir. Belki de mesele sadece halkı eğitmek ve neyin tehlikede olduğunu basit terimlerle açıklamaktır.
“Şirketler siber güvenliğe yaklaşık 93 milyar dolar harcıyor ve bunun sonu görünmüyor…”
Falkowitz'in farklı bir yaklaşımı var. Asıl sorunun siber güvenlik kârlarının performansa bağlı olmaması olduğuna inanıyor. Digital Trends'e şunları söyledi: "Bizim için bu, performansa dayalı siber güvenlik ve sonuçlar için ödeme yapmak anlamına geliyor, başarısızlık değil." “Şirketler siber güvenlik için yalnızca tasarlandığı gibi performans gösterdiğinde ve performans gösterdiğinde ödeme yapmalıdır.”
Bugün işler böyle yürümüyor. Siber güvenlik uzmanları, şirketler ve antivirüs yazılımları bir sigorta planı gibi sunulur ve satın alınır. Aylık ödeme yaparsınız ve kötü bir şeyin olmamasını umarsınız. Eğer öyleyse, parçaları toplamanıza yardımcı olacaklar ve belki de size daha fazla güvenlik satmaya çalışacaklar.
Alan 1 GüvenliğiFalkowitz'in kendi siber güvenlik şirketi ise tam tersi bir yaklaşım benimsiyor. Alan 1, insanların “altı veya yedi rakamlı harcama yaparak üç ila beş yıl süren güvenlik sözleşmelerine bağlı kaldıkları” gerçeğini dile getiriyor. Ancak hâlâ ödedikleri paranın karşılığını alamıyorlar." Falkowitz, müşterilerin yalnızca durdurulan suç teşebbüsleri için ödeme yapması gerektiğine inanıyor. Bu, bilgisayar korsanlarını güvenlik açıklarını bulmaya ve ardından açıklamaya teşvik eden hata ödül programlarına benzer bir fikir.
Her Zaman Kimlik Avıdır
Falkowitz, "Şirketler siber güvenliğe yaklaşık 93 milyar dolar harcıyor ve bunun sonu görünmüyor, daha da kötüsü siber saldırıların şiddeti veya sıklığı da bitmiyor" dedi. "Performansa dayalı ve hesap verebilir siber güvenlik, iş modellerinde gelecekteki yenilikleri ve başarılı sonuçları yönlendiren şeyin sonuçların olmasını sağlayacaktır."
Müşterilerine saldırıların durdurulduğunu sürekli kanıtlamak zorunda kalan bir şirketin nasıl ayakta kalabileceğini merak edebilirsiniz. Area 1 Security, çabalarını siber güvenliğin belirli bir yönü olan kimlik avına odaklayarak çalışmasını sağlar.
Her şey kimlik avına geri dönüyor
Falkowitz, "Kimlik avı, saldırıyı başlatan saldırıdır ve tüm hasarların şaşırtıcı bir şekilde yüzde 95'inin temel nedenidir" dedi. “Performansa dayalı siber güvenliğin anahtarı kimlik avını durdurmaktır.”
"Kimlik avı, tespit edilmekten kaçınmak için gerçekliğe dayanan, sosyal olarak tasarlanmış bir saldırıdır."
Kimlik avı internetin varlığının belası haline geldi. Kötü amaçlı yazılımlardan çalınan verilere kadar, kimlik avı genellikle gördüğümüz en kötü siber saldırıların giriş noktasıdır. Genellikle resmi bir şirket veya kuruluş kisvesi altında şüphelenmeyen bir kurbana gönderilen sahte bir e-posta biçimini alır.
E-posta daha sonra okuyucunun bir bağlantıya tıklamasını isteyecek ve tıklama gerçekleştiğinde saldırganın tuzağı tetiklenecek. Basit olmasına rağmen, bilgisayar korsanları kimlik avını her şey için kullandılar. Clinton kampanyasında e-posta fiyaskosu yıkıcı olana 2017 WannaCry fidye yazılımı saldırısı.
Falkowitz, "Kimlik avı, tespit edilmekten kaçınmak için özgünlüğe dayanan, sosyal olarak tasarlanmış bir saldırıdır" diye açıkladı. “Kimseye yakalanmamak için tasarlandı! Bu yüzden çok iyi çalışıyor. Etkili olmasının yanı sıra inanılmaz derecede ucuzdur. İnternette kötü adam olmanın ekonomik açıdan bu kadar iyi olmasının bir nedeni de budur. Bir saldırgansanız ve işe yarayan ve çoğu şirketin savunamadığı bir şeye sahipseniz neden onu kullanmaya devam etmiyorsunuz?"
Area 1 Security'nin sistemi, tüm kimlik avı saldırılarının yüzde 99,99'unu durdurduğunu iddia ederek, önledikleri saldırıların kaydını tutmalarına olanak tanıyor. Felsefesi internetteki suçluları yakalamak değil, kapımızı çalanları durdurmaktır.
"Kimlik avını saldırganların elinden bir silah olarak alıncaya kadar, giderek daha tehlikeli ve pahalı hale gelen bu yola devam edeceğiz."
Belki de bizi koruduğunu iddia eden şirketlerden daha fazlasını istememizin zamanı gelmiştir. Sonuçta kötü adamları silahsızlandırmak, onların saldırmasını beklemekten çok daha iyi bir plan gibi görünüyor.
Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön bakışlarla okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.
