On yıl geriye dönük: 2010'dan 2019'a siber güvenlik

On yıl siber ana akım haline geldi

Evet, teknik olarak onlarca yıl, bir yılla biten yıllarda başlar, ancak 2010'ları söylemek 2011'leri söylemekten daha kolaydır. 2010'dan önce, siber güvenlik dar görüşlü bir bölgeydi. Kullandıkları bir şey işe yaramayıncaya kadar kimse umursamadı. Cihazlar, kötü amaçlı yazılım veya reklam yazılımı nedeniyle havaya uçtu ve kullanıcılar, bir makinenin BT tarafından yeniden yüklenmek üzere ortadan kaybolmasından rahatsız oldu, ancak olay bittikten sonra endişeler azaldı. 2010'lu yıllara girerken çoğu şirket aynı şekilde davrandı, ancak 2018 ve 2019'a gelindiğinde siber güvenlik uzmanları ile güvenlik ve risk profesyonelleri yönetim kurullarının ve haber odalarının vazgeçilmezi haline geldi. "Siber" üzerine yapılan savaş tüm şiddetiyle devam etti ve direniş kaybedildi, dolayısıyla buna baştan beri bu deniyor... Yenilgiyi zarafetle kabul ederken, bunu teslimiyetimiz olarak kabul edin. Son 10 yılın dikkate değer güvenlik trendlerine ve olaylarına bakalım.

On yılın sözü: 'Gizliliğinizi ve güvenliğinizi ciddiye alıyoruz'

Bir şirket bu gizliliği ve güvenliği ihlal eden bir şeyin nasıl olduğunu açıklamaya başlamadan hemen önce herkes bu cümleyi duymuş veya okumuştur. Çoğu güvenlik ve risk uzmanı, yukarıdaki cümlede bir anahtar kelimenin eksik olduğunun farkındadır: "şimdi" -- "gizliliği önemsiyoruz ve güvenlik artık ciddiye alınıyor." Bu ifade o kadar yaygınlaştı ki Forrester analistleri bunun için yeni bir ölçüm oluşturdu: "CEO Özür Dilemeden Önceki Ortalama Süre (MTBCA)."

On yılın bahanesi: 'Bilgisayar saldırganlar güvenlik kontrollerini atladı...' vesaire.'

Ortalık yatıştıktan sonra neredeyse her zaman saldırganların o kadar da bilgili olmadıklarını keşfettik. Ya da öyle olsalardı, ortamın içine girebilmek için çok fazla zihinsel kasları esnetmelerine gerek kalmazdı. Alçaktan sarkan meyveler ve topraktan geçinme kombinasyonu, saldırganların şirkete sızmak için ihtiyaç duyduğu her şeyi sağladı.

On yılın birleşme ve satın alma fiyaskosu: Intel ve McAfee

Intel ve McAfee'nin duyurusu, on yıldır devam eden birleşme ve satın alma faaliyetleri ve siber güvenlik pazarına sermaye akışı eğilimini başlatacak. Etkinliğin çoğu olumluydu ama bu kesinlikle değildi:

• McAfee, Intel yönetimindeki yedi yılı boyunca yenilik yapma konusunda başarısız oldu. Bu bir oldu uzun bir süre önce - ya da en azından öyle görünüyor ama öyle değildi: Bu, 2010'un ortalarında duyuruldu. Bunu yazmadan önce size bunun son on yılda gerçekleştiğini söylerdim ama hayır. 10 yıllık dönemimiz başladı ve bu ne büyük bir sinyaldi. Intel, bağımsız donanım ve güvenlik satıcılarının asla yakalayamayacağı benzersiz bir rekabet avantajı yaratmak amacıyla güvenliği donanıma dahil etmek için McAfee'yi kullanmayı düşündü. Ne yazık ki bu vizyon hiçbir zaman meyve vermedi ve Intel sonunda McAfee'yi ayırmak zorunda kaldı. Forrester bunu aradı ve yedi yıl sonra haklı çıktığımız ortaya çıktı.
• Saygıdeğer sözler: FireEye ve Mandiant

Dönüm noktası anları: Ölüm zinciri ve APT1 raporu

Tüm ihlallerin dışında, siber güvenlik açısından on yılın çoğunu Mandiant'ın 2013'te yayınladığı APT1 raporu kadar tanımlayan başka bir an olmadı.

• Bu, siber güvenliği bir casusluk romanına dönüştürdü ve sektör pazarlamasını değiştirdi. Güvenlik ve risk uzmanları için bu rapor çoğumuzun bildiği şeyleri özetledi: Çin, ABD'deki firmaların fikri mülkiyet haklarını hızlı bir şekilde çalıyordu. Ancak dışarıdakiler için bu onları, ulus devletlerin kişiliklerle siber çatışmaya girdiği, kişiselleştirilmiş bir yolculuğa taşıdı. On yılın sonuna kadar, her şirket tehdit istihbaratı raporlarını, potansiyel müşteriler yaratmak ve iyi niyetli olduklarını göstermek için içerik pazarlaması olarak kullanacak.
• Lockheed Martin Öldürme Zinciri siber güvenliği daha erişilebilir hale getirdi. Her sektör jargonla gevşek davranıyor ve bizimki de farklı değil. Bu araştırma başkalarının ne olduğunu, neden olduğunu, nasıl sınıflandırıldığını ve daha da önemlisi bir saldırının aşamaları hakkında gelecekte neler yapılabileceğini açıklamak için kullanabileceği bir sınıflandırma oluşturdu. Teknik ve teknik olmayan kitleler arasındaki iletişim boşluğunu çözmedi, ancak saldırıların çerçevelenmesi söz konusu olduğunda siber güvenlik içindeki iletişim boşluğunu çözdü.

'En iyi' (veya en kötü) kötü amaçlı yazılım

Seçenek sıkıntısı yok ama bu ikisi, saldırı araçları açısından on yılı tanımlayan örnekler olarak gerçekten göze çarpıyordu:

• Stuxnet her şeye sahipti: gelişmişlik, jeopolitik ve endüstriyel kontrol sistemleri. Stuxnet bununla ilgili kitapları, bir belgeseli vardı ve Birleşik Devletler Ordusu'ndaki bir General, Stuxnet'in aslında Olimpiyat Oyunları kod adlı bir ABD girişimi olduğunu ifşa ettiği için disiplin cezasına çarptırıldı. Stuxnet'in teslimi, HUMINT teknik kapasitesinin bir kombinasyonunu gerektirdi ve diplomatik kanalların sorunları çözmesi için gerekli zamanı sağladı.
• WannaCry ve NotPetya fidye yazılımı şampiyonu unvanını kazandı. On yılın ikinci yarısı, telekomünikasyon, lojistik, kamu hizmetleri, belediyeler ve daha fazlasını felce uğratan fidye yazılımlarıyla bilinmelidir. Belki de başka hiçbir kötü amaçlı yazılım, siber güvenliğe bu ikisinin, özellikle de siber güvenlikle ilgilenmeyen uygulayıcıların dikkatini çektiği kadar dikkat çekmedi. Meydana gelen yıkıma rağmen, siber güvenliğin bağlantılı tüm kuruluş için öneminin anlaşılmasına da yardımcı oldular.
• Saygıdeğer sözler: PoisonIvy, Magecart, Anthem, Toplum Sağlığı Sistemleri ve tüm bankacılık truva atları

En önemli ihlaller

Her büyük veya mega ihlalden bahsetmek imkansızdır ve bunlara "en iyi" denemez. Bunu aklımızda tutarak, on yıl içinde büyük değişikliklerin meydana gelmesine neden olan ihlallere bakalım:

• Hedef, satış yapmak için FUD kullanan her satıcı için pazarlama yemi haline geldi. sonuçlar Hedef ihlali kesinlikle geniş kapsamlıydı, ancak sektördeki tüm tarafları en çok rahatsız eden şey, her satıcı pazarlama destesinde bir varsayılan haline geldi: Üçüncü ve yedinci slaytlar arasında bir yerde, mutlaka duyacağınız bir şey vardı Hedef.
• OPM, Amerika Birleşik Devletleri'nin istihbarat yeteneklerini harap etti. 20 Mart 2014'te ABD'deki Personel Yönetimi Ofisi şunu öğrendi: Bilgisayar korsanları verileri sızdırdı güvenlik izinleri için geçmiş kontrollerinde kullanılan hassas Standart Form 86 kopyasından.
• Sony Pictures, Seth Rogen, Aaron Sorkin ve Kuzey Kore'yi bir araya getirdi. Bu saldırının ilk dikkati Kuzey Kore'den siber güvenliğe misilleme için GörüşmeÇeşitli ünlülere gönderilen, onlardan gelen ve onlar hakkındaki e-postalar internetteki web sitelerine dağıldığından, sonrasında yaşananlar Sony Pictures için tüyler ürperticiydi. Bu durum, fikri mülkiyet sahipliği ve sızdırılan verilerden kimin kâr elde edebileceği konusunda hararetli tartışmalara yol açtı. Ünlü yazarların ve dizi yapımcılarının bazen özel okul harçlarını ödemek için senaryo yazdıklarını ve Sony'nin Pictures, sonunda sevilen bir filmin yeniden başlatılması başarısız olan filmde yıldızları görünmeye zorlamak için avukat kullanmayı düşündü franchise.
• Saygıdeğer sözler: RSA, Equifax, Yahoo, Marriott ve SWIFT

En çok zarar veren güvenlik açıkları

Bu güvenlik açıklarının her birine girmeden önce, bunların oluşturduğu bir kategoriyi ele almamız gerekiyor; "'Son on yılın nefret ettiğimiz parçası': Her güvenlik açığının bir logosu ve web sitesi var. Açıklayıcı olduğu için yazmaya gerek yok, ancak 2010'dan 2019'a kadar internetin altyapısını sarsan bir güvenlik açığı ve fidye yazılımında patlamaya yol açacak başka bir güvenlik açığımız vardı:

• Heartbleed, OpenSSL'de bir sorundu ve OpenSSL de öyleydi ve hala da öyle. Piyasada birkaç ünlü CVE var, ancak pek çoğu CVE-2014-0160'ın ne olduğunu bilmiyor. Ama sen söylediğinde Kalp kanaması, hemen biliyorlar. Şöhret olarak MS08-067'yi aşıyor ve haklı olarak öyle. Bu hata her şeyi etkiledi: web siteleri, cihazlar (güvenlik donanımı dahil), uygulamalar... her şey. Peki saldırganların ne elde etmesini sağlayabilir? Her şey: Özel anahtarlar, kullanıcı adları, şifreler, e-postalar, veriler... OpenSSL'in etkilenen sürümleri tarafından şifrelenen her şeyin güvenliği ihlal edilebilir. Teknolojideki hemen hemen her şeyi bozabilecek bir hata bulmak istiyorsanız aradığınız şey buydu.
• EternalBlue, NSA'nın açıklardan yararlanma konusunda gerçekten iyi olduğunu doğruluyor. Ayrıca siber silahların yanlış ellere geçtiğinde gerçekten tehlikeli olduğunu da kanıtladı. EbediMavi Yamaların 2017'den bu yana yaygın olarak bulunmasına rağmen firmaları rahatsız etmeye devam ediyor. WannaCry, NotPetya ve Bad Rabbit de Microsoft'un SMB Protokolündeki bir kusurdan yararlanarak ilk uzlaşma veya yanal hareket için EternalBlue'yu kullandı.
• Saygıdeğer sözler: Meltdown ve Spectre ve VPN cihazı güvenlik açıkları

En iyi siber güvenlik çerçeveleri

Çerçeveler konusunda heyecanlanmak kolay değil ancak güvenlik ve risk profesyonelleri, programları şekillendirmeye ve güvenlik programları için bir hedef sağlamaya yardımcı olacak bazı ortak noktalara umutsuzca ihtiyaç duyuyordu. NIST ve MITRE tam olarak şunu sağlamak için harekete geçti:

• NIST Siber Güvenlik Çerçevesi güvenlik programlarının dili haline geldi. Şubat 2014'te tanıtılan NIST CSF, kapsamlı bir program olarak -hak ettiği şekilde- büyük bir tantanayla giriş yaptı. Tanımlama, koruma, tespit etme, yanıt verme ve kurtarma kavramlarını ortak anlayışımıza yerleştiren çerçeve sözlük. Forrester bulundu NIST CSF'nin siber güvenlik programınızı tartışırken ağ etkisi yoluyla yayılan yönetim kurulu düzeyinde dil haline geldiğini. Birçok yönetim kurulu üyesi birden fazla kurulda yer alır ve bir CISO'dan NIST CSF'yi duyduktan sonra başkalarına da bu konuyu sormaya başladı ve bu da siber tartışmalarda öne çıkan bir yer edinmesine yol açtı programlar.
• MITRE ATT&CK siber güvenliğin tehdit dili haline geldi. ATT&CK artık ATT&CK'ye göre endüstri çapında kabul edilen bir standarttır İnternet sitesi: "ATT&CK, siber düşman davranışı ve yaşam döngüleri boyunca düşmanca eylemlere yönelik sınıflandırmaya ilişkin bir bilgi tabanıdır." Kill Chain'in saldırı aşamaları için yaptığını ATT&CK, saldırganların daha derindeki davranış ve eylemleri için yaptı. seviye. Son kullanıcıların ve yatırımcıların tespite odaklanan şirketlere akıttığı büyük miktardaki fon göz önüne alındığında, ATT&CK, satıcı güvenlik araçlarının çeşitli sınıflandırmalarda nasıl performans gösterdiğini anlamanın bir yolunu geliştirdi kategoriler.

Yukarı yönlü rotamızı koruyalım

On yılın bazı önemli anları ve pek çok olumsuz yanı vardı. Ancak kariyerlerine 2010'dan önce başlayan güvenlik ve risk profesyonelleri için işler daha iyiye doğru değişti. yöneticilerin katılımı, siber güvenliğin önemi konusunda farkındalığın artması ve siber güvenliğin toplumsal sonuçlarına odaklanma teknoloji. Güvenlik, risk ve gizlilik sorunları ortadan kalkmayacak. Yine de, on yıl boyunca yaşanan aksiliklerden pek çok ders aldık ve ilerlemeye anlamlı bir şekilde katkıda bulunabilmek için bunları nasıl ele aldığımız konusunda güvenilirliğe ulaştık. Oraya ulaşmak biraz acı ve umutsuzluk gerektirdi, ama çoğu değerli şey bunu gerektiriyor.

Forrester'ın tahminlerini okuyun 2020'de neler olacağına dair konuşun ve rekabet avantajı elde etmek için bu potansiyel enerjiden nasıl yararlanabileceğinizi öğrenin.

Bu yazı Başkan Yardımcısı, Baş Analist Jeff Pollard tarafından yazılmıştır; Baş Analist Jinan Budge, Sandy Carielli ve Josh Zelonis; Kıdemli Analist Sean Ryan; Başkan Yardımcısı, Araştırma Direktörü Amy DeMartine, Joseph Blankenship ve Merritt Maxim; ve Başkan Yardımcısı, Grup Direktörü Stephanie Balaouras. Başlangıçta ortaya çıktı Burada.