Siber hücumlarla dolu geçen 2022 yılı sona eriyor. Bu yıl birfazlaca kurum siber güvenlik algısını değiştirse de yeni yılda neler beklendiği merak konusu. 2023’te bilgisayar korsanlarının yapay zekadan kimlik doğrulamasına, şoförsüz araçlardan metaverse cihanına odaklanan yeni teknikler kullanarak siber güvenlik savunmalarınızı aşmaya çalışacağını varsayım eden WatchGuard Technologies, 2023’e dair 6 değerli öngörü paylaşıyor.
2022 yılı biroldukça kurum için siber hücumlarla dolu bir yıldı. Belirsizliklerle geçen bir yılın akabinde ise yeni yılda neler olacağı biroldukça kişinin aklını karıştırıyor. Bütünleşik siber güvenlik alanında global bir önder olan WatchGuard Technologies, yapay zekadan kimlik doğrulamasına, şoförsüz araçlardan metaverse kozmosuna kadar uzanan 2023 yılı siber güvenlik öngörülerini paylaşıyor.
1. Yapay zeka kodlama araçları, geliştiricilerin projelerinde temel güvenlik açıkları yaratacak. Makine öğrenmesi (ML) ve yapay zeka (AI), birtakım şahısların tez ettiği kadar kuvvetli hale gelmemiş olsa da, biroldukça yeni pratik yetenek sunmak için kıymetli ölçüde gelişti. AI/ML araçları, yazılı yanıtlar verip yeni sanat yapıtları üretirken geliştiriciler için kod yazmaya da başladı. Yapay zeka, yeni algoritmalar oluşturmak için mevcut bilgisayar kodlarından yararlanır. GitHub’ın Copilot’u bu biçimde bir otomatik kodlama aracıdır. GitHub, depolarında bulunan milyarlarca kod satırından oluşan “büyük verileri” kullanarak Copilot’u eğitir. birebir vakitte, rastgele bir AI/ML algoritmasında olduğu üzere, çıktısının kalitesi sırf eğitim datalarının kalitesi ve birlikte çalışması için verilen bilgi istemleri kadar uygundur. Öbür bir deyişle, yapay zekayı makus yahut inançsız bir kodla beslerseniz, onun da birebirini sunmasını bekleyebilirsiniz. Araştırmalar, Copilot’un ürettiği kodun %40’a varan bir kısmının güvenlik açıkları içerdiğini ve geliştiricinin kendi kodu da güvenlik açıkları içerdiğinde bu oranın arttığını aslına bakarsanız göstermiştir. 2023’te, Copilot’a yahut benzeri bir AI kodlama aracına çok derecede güvenen bir geliştiricinin, otomatik kod tarafınca sunulan kritik bir güvenlik açığı içeren uygulama yayınlayabileceğini varsayım ediyoruz.
2. Çok faktörlü kimlik doğrulamanın kabulü, toplumsal mühendislikte artışı besleyecek. MFA kullanmasının giderek artması, saldırganların bu güvenlik doğrulama tahlillerini aşmanın bir yolunu bulmasını gerektirdiğinden tehdit aktörleri 2023’te fazlaca faktörlü kimlik doğrulama (MFA) kullanıcılarını agresif bir biçimde hedefleyecektir. 451 Research tarafınca yürütülen bir Thales anketine göre, MFA’nın benimsenmesi, daha evvel varsayım ettiğimiz şeyi doğrulayarak, bu yıl altı puan artışla %40’a yükseldi. 2023’te birkaç yeni MFA güvenlik açığının ve baypas tekniklerinin ortaya çıkmasını bekliyoruz. Fakat, siber hatalıların bu tahlillerden kaçınmasının en yaygın yolu akıllı toplumsal mühendisliktir. Saldırganlar, kullanıcılarınızı kandırabiliyorlarsa yahut sonunda onları makûs gayeli bir irtibata tıklamaya iten bir dizi onay isteğiyle onları yıpratabiliyorlarsa, MFA’yı hacklemek zorunda kalmazlar. Saldırganlar ayrıyeten ortadaki düşman ( AitM ) tekniklerini MFA sürecini içerecek biçimde güncelleyebilir. bu biçimdece kullanıcılar, yasal olarak oturum açtıklarında kimlik doğrulama oturumu ayrıntılarını yakalayabilirler. Her iki durumda da 2023 boyunca fazlaca daha fazla MFA gayeli toplumsal mühendislik saldırısı bakılırsaceğiz.
3. Siber güvenlik, tedarikçi ve iş ortağı seçiminde en kıymetli faktör haline gelecek. Geçtiğimiz iki yıl, beş yıllık üzere görünen dijital tedarik zinciri ihlalleriyle doluydu. Dijital tedarik zinciri ihlali, tedarikçilerinizden birinin eser kusuru yahut kendi ağındaki bir ihlal niçiniyle yazılım yahut donanım güvensizliği niçiniyle sizi yahut kuruluşunuzu ihlale açık hale getiren bir güvenlik açığıdır. Bu tedarik zinciri hücumlarının artmasıyla birlikte kuruluşlar, birlikte iş yaptıkları ortakların ve tedarikçilerin güvenliği konusunda giderek daha fazla kaygı duymaya başlıyor. Kendi savunmalarını düzgünleştirmek için bu kadar hayli vakit harcadıktan daha sonra, bir diğerinin güvenlik yanlışları niçiniyle ihlale uğramak bilhassa şirketler için hudut bozucu olabiliyor. Sonuç olarak, şirketler bir satıcının kendi iç güvenlik uygulamalarını eser seçim sonucunın değerli bir kesimi haline getiriyor. Aslında, satıcı doğrulaması ve üçüncü taraf risk tahlili, satıcıların güvenlik programlarını araştırmaya ve takip etmeye yardımcı olan eserlerle yeni bir bölüm haline geldi. özetlemek gerekirsesı, 2023 boyunca satıcıların iç güvenliği, yazılım ve donanım eserleri ile hizmetleri için fiyat ve performansın çabucak altında en kıymetli seçim faktörü haline gelecek.
4. Metaverse’teki birinci büyük siber atak, bir işletmeye yönelik olacak. Fikri sevseniz de sevmeseniz de metaverse son vakit içinderda manşetlerde yer alıyor. Meta (Facebook) ve TikTok’un ana şirketi ByteDance üzere dev şirketler, hayli da uzak olmayan bir gelecekte toplumun ana akım bir modülü olacağına inandıkları temaslı sanal/karma/artırılmış dünyaları inşa etmek için milyarlarca dolar yatırım yapıyor. şahsi bilgilerimizin birçoklarını aslına bakarsanız fare ve klavye aracılığıyla çevrimiçi olarak sızdırıyoruz. Artık başınızı, elinizi, parmaklarınızı, yüzünüzü ve göz hareketlerinizi de izleyen epey sayıda kamerası ve kızılötesi (IR) ve derinlik sensörleri olan bir aygıt hayal edin. Ek olarak, aygıtın siz hareket ederken odanızı, mobilyalarınızı ve hatta konutunuzu 3 boyutlu olarak haritalandırdığını ve beraberinde dizüstü bilgisayarınızın klavyesi üzere şeyleri izlediğini düşünün. Artık tüm bu izlenen bilgilerin tarihi kaydını tutan bir yazılım hayal edin. Berbat niyetli bir bilgisayar korsanı bununla ne yapabilir? Tahminen de sizin üzere hareket edebilen çevrimiçi avatarınızın sanal bir sahtesini oluşturabilir. Bu potansiyel tehdit vektörleri hala beş ila on yıl uzakta olsa da, bu metaverse’nin bugün aslına bakarsanız hedeflenmediği manasına gelmiyor. Bu niçinle, 2023’te bir işletmeyi etkileyen birinci büyük meta bilgi deposu saldırısının, kurumsal kullanım örneklerini hedefleyen en son kuşak VR/MR başlıklarında kullanılan uzak masaüstü üzere yeni kurumsal üretkenlik özelliklerindeki bir güvenlik açığından kaynaklanacağına inanıyoruz.
5. Şoförsüz araçlar, yapay zekaları hacklenerek denetim edilecek. Cruise, Baidu ve Waymo üzere birkaç teknoloji şirketi, San Francisco ve Pekin de dahil olmak üzere dünya çapında birfazlaca kentte robotaksileri test etmeye başladı. Robotaksi, temel olarak Uber yahut Lyft gibisi bir tecrübe sağlayan lakin insan şoförü olmayan otomobillerdir. Baidu üzere şirketler, birden fazla yolcuyu şad eden bu otonom seyahatlerin bir milyondan fazlasını muvaffakiyetle tamamladıklarını tez ediyor.
Haziran ayında, Cruise’un robotaksilerinden biri, 4 yolcunun da yaralandığı bir kazaya karıştı. Cruise, şoförü olan aracın kusurlu göründüğünü tez etse de bu, insanların bu araçların kullandığı yapay zekaya (AI) güvenmemesine yol açıyor. Evvelki güvenlik araştırmaları, internete bağlı otomobillerin hacklenebileceğini gösterdi. Bunu her insanın kullanabileceği cep telefonu tabanlı bir hizmetle birleştirdiğinizde, tehdit aktörlerinin cümbüş ve kar için robotaksileri amaç aldığı en az bir siber güvenlik olayı nazaranceğimizi katılaştırıyor. Otonom araç hizmetleri fazlaca yeni ve hala test kademesinde olduğu için bir hack saldırısının yakın gelecekte tehlikeli bir kazaya yol açacağına inanmıyoruz. tıpkı vakitte, 2023’te kimi güvenlik araştırmacılarının yahut gri şapkalı bilgisayar korsanlarının, bu biçimde bir aracın trafiği tıkamasına niye olan teknik bir robotaksi latifesi yapabileceğinden şüpheleniyoruz.
6. Bilgisayar korsanları satıcıları ve iş ortaklarını hedeflemeye karşı dikey tarafa geçiyor. Siber sigorta, son birkaç yılda hem maliyetler tıpkı vakitte uyumluluk gereklilikleri arttığı için değerli bir bahistir. Sigortacıların, fidye yazılımı saldırısına uğrayan şirketlerin ziyanını direkt karşılamaları maliyetlerini artırdığından pek ziyana uğradıkları görülüyor. Sonuç olarak, artan maliyetleri müşterilerine yansıtmaya başladılar ve sigortalamadan evvel müşterilerinden istedikleri teknik güvenlik gerekliliklerini kıymetli ölçüde artırdılar. Müşteriler, değerli yeni ihtiyaçlar ve poliçelerini yenilemek için gereken daha büyük faturalar niçiniyle şimdiden güç durumda olsalar da, 2023’te birtakım kesimlerin işinin başkalarından daha güç olacağını düşünüyoruz. Sigortacılar, belli kesimlerin siber hatalılar için daha cazip maksatlar olduğunun ve onları zorlayacaklarının farkında. en çok etkilenen kesimler bununla birlikte siber akınlar niçiniyle manşetlerde yer alan bölümlerdir. Dalınız siber saldırganlar tarafınca hedefleniyorsa daha yüksek primler ve aşılması gereken daha fazla pürüz için plan yapmak isteyebilirsiniz.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
2022 yılı biroldukça kurum için siber hücumlarla dolu bir yıldı. Belirsizliklerle geçen bir yılın akabinde ise yeni yılda neler olacağı biroldukça kişinin aklını karıştırıyor. Bütünleşik siber güvenlik alanında global bir önder olan WatchGuard Technologies, yapay zekadan kimlik doğrulamasına, şoförsüz araçlardan metaverse kozmosuna kadar uzanan 2023 yılı siber güvenlik öngörülerini paylaşıyor.
1. Yapay zeka kodlama araçları, geliştiricilerin projelerinde temel güvenlik açıkları yaratacak. Makine öğrenmesi (ML) ve yapay zeka (AI), birtakım şahısların tez ettiği kadar kuvvetli hale gelmemiş olsa da, biroldukça yeni pratik yetenek sunmak için kıymetli ölçüde gelişti. AI/ML araçları, yazılı yanıtlar verip yeni sanat yapıtları üretirken geliştiriciler için kod yazmaya da başladı. Yapay zeka, yeni algoritmalar oluşturmak için mevcut bilgisayar kodlarından yararlanır. GitHub’ın Copilot’u bu biçimde bir otomatik kodlama aracıdır. GitHub, depolarında bulunan milyarlarca kod satırından oluşan “büyük verileri” kullanarak Copilot’u eğitir. birebir vakitte, rastgele bir AI/ML algoritmasında olduğu üzere, çıktısının kalitesi sırf eğitim datalarının kalitesi ve birlikte çalışması için verilen bilgi istemleri kadar uygundur. Öbür bir deyişle, yapay zekayı makus yahut inançsız bir kodla beslerseniz, onun da birebirini sunmasını bekleyebilirsiniz. Araştırmalar, Copilot’un ürettiği kodun %40’a varan bir kısmının güvenlik açıkları içerdiğini ve geliştiricinin kendi kodu da güvenlik açıkları içerdiğinde bu oranın arttığını aslına bakarsanız göstermiştir. 2023’te, Copilot’a yahut benzeri bir AI kodlama aracına çok derecede güvenen bir geliştiricinin, otomatik kod tarafınca sunulan kritik bir güvenlik açığı içeren uygulama yayınlayabileceğini varsayım ediyoruz.
2. Çok faktörlü kimlik doğrulamanın kabulü, toplumsal mühendislikte artışı besleyecek. MFA kullanmasının giderek artması, saldırganların bu güvenlik doğrulama tahlillerini aşmanın bir yolunu bulmasını gerektirdiğinden tehdit aktörleri 2023’te fazlaca faktörlü kimlik doğrulama (MFA) kullanıcılarını agresif bir biçimde hedefleyecektir. 451 Research tarafınca yürütülen bir Thales anketine göre, MFA’nın benimsenmesi, daha evvel varsayım ettiğimiz şeyi doğrulayarak, bu yıl altı puan artışla %40’a yükseldi. 2023’te birkaç yeni MFA güvenlik açığının ve baypas tekniklerinin ortaya çıkmasını bekliyoruz. Fakat, siber hatalıların bu tahlillerden kaçınmasının en yaygın yolu akıllı toplumsal mühendisliktir. Saldırganlar, kullanıcılarınızı kandırabiliyorlarsa yahut sonunda onları makûs gayeli bir irtibata tıklamaya iten bir dizi onay isteğiyle onları yıpratabiliyorlarsa, MFA’yı hacklemek zorunda kalmazlar. Saldırganlar ayrıyeten ortadaki düşman ( AitM ) tekniklerini MFA sürecini içerecek biçimde güncelleyebilir. bu biçimdece kullanıcılar, yasal olarak oturum açtıklarında kimlik doğrulama oturumu ayrıntılarını yakalayabilirler. Her iki durumda da 2023 boyunca fazlaca daha fazla MFA gayeli toplumsal mühendislik saldırısı bakılırsaceğiz.
3. Siber güvenlik, tedarikçi ve iş ortağı seçiminde en kıymetli faktör haline gelecek. Geçtiğimiz iki yıl, beş yıllık üzere görünen dijital tedarik zinciri ihlalleriyle doluydu. Dijital tedarik zinciri ihlali, tedarikçilerinizden birinin eser kusuru yahut kendi ağındaki bir ihlal niçiniyle yazılım yahut donanım güvensizliği niçiniyle sizi yahut kuruluşunuzu ihlale açık hale getiren bir güvenlik açığıdır. Bu tedarik zinciri hücumlarının artmasıyla birlikte kuruluşlar, birlikte iş yaptıkları ortakların ve tedarikçilerin güvenliği konusunda giderek daha fazla kaygı duymaya başlıyor. Kendi savunmalarını düzgünleştirmek için bu kadar hayli vakit harcadıktan daha sonra, bir diğerinin güvenlik yanlışları niçiniyle ihlale uğramak bilhassa şirketler için hudut bozucu olabiliyor. Sonuç olarak, şirketler bir satıcının kendi iç güvenlik uygulamalarını eser seçim sonucunın değerli bir kesimi haline getiriyor. Aslında, satıcı doğrulaması ve üçüncü taraf risk tahlili, satıcıların güvenlik programlarını araştırmaya ve takip etmeye yardımcı olan eserlerle yeni bir bölüm haline geldi. özetlemek gerekirsesı, 2023 boyunca satıcıların iç güvenliği, yazılım ve donanım eserleri ile hizmetleri için fiyat ve performansın çabucak altında en kıymetli seçim faktörü haline gelecek.
4. Metaverse’teki birinci büyük siber atak, bir işletmeye yönelik olacak. Fikri sevseniz de sevmeseniz de metaverse son vakit içinderda manşetlerde yer alıyor. Meta (Facebook) ve TikTok’un ana şirketi ByteDance üzere dev şirketler, hayli da uzak olmayan bir gelecekte toplumun ana akım bir modülü olacağına inandıkları temaslı sanal/karma/artırılmış dünyaları inşa etmek için milyarlarca dolar yatırım yapıyor. şahsi bilgilerimizin birçoklarını aslına bakarsanız fare ve klavye aracılığıyla çevrimiçi olarak sızdırıyoruz. Artık başınızı, elinizi, parmaklarınızı, yüzünüzü ve göz hareketlerinizi de izleyen epey sayıda kamerası ve kızılötesi (IR) ve derinlik sensörleri olan bir aygıt hayal edin. Ek olarak, aygıtın siz hareket ederken odanızı, mobilyalarınızı ve hatta konutunuzu 3 boyutlu olarak haritalandırdığını ve beraberinde dizüstü bilgisayarınızın klavyesi üzere şeyleri izlediğini düşünün. Artık tüm bu izlenen bilgilerin tarihi kaydını tutan bir yazılım hayal edin. Berbat niyetli bir bilgisayar korsanı bununla ne yapabilir? Tahminen de sizin üzere hareket edebilen çevrimiçi avatarınızın sanal bir sahtesini oluşturabilir. Bu potansiyel tehdit vektörleri hala beş ila on yıl uzakta olsa da, bu metaverse’nin bugün aslına bakarsanız hedeflenmediği manasına gelmiyor. Bu niçinle, 2023’te bir işletmeyi etkileyen birinci büyük meta bilgi deposu saldırısının, kurumsal kullanım örneklerini hedefleyen en son kuşak VR/MR başlıklarında kullanılan uzak masaüstü üzere yeni kurumsal üretkenlik özelliklerindeki bir güvenlik açığından kaynaklanacağına inanıyoruz.
5. Şoförsüz araçlar, yapay zekaları hacklenerek denetim edilecek. Cruise, Baidu ve Waymo üzere birkaç teknoloji şirketi, San Francisco ve Pekin de dahil olmak üzere dünya çapında birfazlaca kentte robotaksileri test etmeye başladı. Robotaksi, temel olarak Uber yahut Lyft gibisi bir tecrübe sağlayan lakin insan şoförü olmayan otomobillerdir. Baidu üzere şirketler, birden fazla yolcuyu şad eden bu otonom seyahatlerin bir milyondan fazlasını muvaffakiyetle tamamladıklarını tez ediyor.
Haziran ayında, Cruise’un robotaksilerinden biri, 4 yolcunun da yaralandığı bir kazaya karıştı. Cruise, şoförü olan aracın kusurlu göründüğünü tez etse de bu, insanların bu araçların kullandığı yapay zekaya (AI) güvenmemesine yol açıyor. Evvelki güvenlik araştırmaları, internete bağlı otomobillerin hacklenebileceğini gösterdi. Bunu her insanın kullanabileceği cep telefonu tabanlı bir hizmetle birleştirdiğinizde, tehdit aktörlerinin cümbüş ve kar için robotaksileri amaç aldığı en az bir siber güvenlik olayı nazaranceğimizi katılaştırıyor. Otonom araç hizmetleri fazlaca yeni ve hala test kademesinde olduğu için bir hack saldırısının yakın gelecekte tehlikeli bir kazaya yol açacağına inanmıyoruz. tıpkı vakitte, 2023’te kimi güvenlik araştırmacılarının yahut gri şapkalı bilgisayar korsanlarının, bu biçimde bir aracın trafiği tıkamasına niye olan teknik bir robotaksi latifesi yapabileceğinden şüpheleniyoruz.
6. Bilgisayar korsanları satıcıları ve iş ortaklarını hedeflemeye karşı dikey tarafa geçiyor. Siber sigorta, son birkaç yılda hem maliyetler tıpkı vakitte uyumluluk gereklilikleri arttığı için değerli bir bahistir. Sigortacıların, fidye yazılımı saldırısına uğrayan şirketlerin ziyanını direkt karşılamaları maliyetlerini artırdığından pek ziyana uğradıkları görülüyor. Sonuç olarak, artan maliyetleri müşterilerine yansıtmaya başladılar ve sigortalamadan evvel müşterilerinden istedikleri teknik güvenlik gerekliliklerini kıymetli ölçüde artırdılar. Müşteriler, değerli yeni ihtiyaçlar ve poliçelerini yenilemek için gereken daha büyük faturalar niçiniyle şimdiden güç durumda olsalar da, 2023’te birtakım kesimlerin işinin başkalarından daha güç olacağını düşünüyoruz. Sigortacılar, belli kesimlerin siber hatalılar için daha cazip maksatlar olduğunun ve onları zorlayacaklarının farkında. en çok etkilenen kesimler bununla birlikte siber akınlar niçiniyle manşetlerde yer alan bölümlerdir. Dalınız siber saldırganlar tarafınca hedefleniyorsa daha yüksek primler ve aşılması gereken daha fazla pürüz için plan yapmak isteyebilirsiniz.
Kaynak: (BYZHA) – Beyaz Haber Ajansı