Ekibinizi motive edebilmek ve herkesin aynı yönde hareket etmesini sağlamak için çabalarınızı nereye odaklamalısınız?

Geçen yıl ortaya çıkan trendleri ve süregelen zorlukları, ayrıca 2025'te siber güvenliği etkilemesi beklenen yeni faktörleri ele almanız gerekecek. Delinea Baş Güvenlik Bilimcisi Frank Vukovits ve ben kısa süre önce 401 Access Denied Podcast'te 2025'in görünümünü tartıştık.

Aşağıda 2025'i tanımlayacak en önemli beklentiler ve bunları nasıl ele alabileceğinize ilişkin öneriler yer alıyor.

 
Yapay zeka siber suçlular için çıtayı düşürdü

Yapay zeka sayesinde, kimlik avı e-postaları ve çevirileri artık eğitimli gözleri bile yanıltabilecek kadar gerçekçi görünüyor. Bazen devlet destekli bilgisayar korsanları tarafından desteklenen derin sahtecilikler, görüntüleri çalıntı bir kimlik gibi görünecek şekilde değiştiriyor ve ardından bu kimliği fikri mülkiyeti çalmak için kullanıyor. O kadar çok kaydedilmiş ses ve video var ki, gerçek bir kişinin sanal simülasyonunu yaratmak zor değil.

Yapılması gereken: MFA gibi kimlik güvence taktikleri aracılığıyla insanların gerçekten söyledikleri kişi olduklarını doğrulamak her zamankinden daha önemli.

 Fidye yazılımı savunması yedekleme ve kurtarmadan daha fazlasını gerektirir

Geçtiğimiz yıl, geleneksel, şifreleme tabanlı fidye yazılımlarından, saldırganların kimlik bilgilerini ele geçirip daha sonra bilgileri ifşa etmekle veya diğer suçlulara satmakla tehdit ettiği şantaja geçişi gördük. Kripto para biriminin değeri arttıkça, suçluların erişim aracıları ve fidye yazılımı tedarik zincirinin diğer bölümleriyle takas yoluyla bu parayı akladığını görmeye devam edeceğiz.

Yapılması gereken: Kimlik bilgilerini güvenli bir şekilde yönetmek ve erişimi en düşük ayrıcalıklarda tutmak, temel fidye yazılımı koruma stratejileri olmaya devam ediyor.

 
Hem insan hem de insan olmayan kullanıcılar için yapay zeka yönetişimi 

AI için sorumlu kullanım beyanınız var mı? AI komut dosyalarını ve modellerini kullanan insan kimliklerini göz önünde bulundurun ve yalnızca yetkili kişilerin erişebildiğinden emin olun. Ayrıca, yapay zekanın arka planda çalışan ve korunması gereken API'ler ve komut dosyaları ile insan olmayan kimliklerin patlamasına katkıda bulunduğunu unutmayın.

Yapılması gereken: Tüm makine ve hizmet hesapları için yaptığınız gibi, tüm AI aracılarının, erişimlerinin ve bağımlılıklarının envanterini tutun. Müşteri verilerinin kullanımı ve yapay zeka modellerinin eğitimi de dahil olmak üzere yapay zekanın nasıl kullanıldığını ele almak için şirketiniz için sorumlu bir yapay zeka kullanım beyanı geliştirin.

Değişen uyumluluk gereklilikleri

Uyumluluk gereklilikleri sık sık değişmektedir ve 2025 de bir istisna olmayacaktır:

• Digital Operational Resilience Act (DORA) Ocak ayında yürürlüğe girecek ve veri şifreleme için bağlayıcı gereklilikler getirecek.
• PCI 4.0 Nisan ayında zorunlu olacak ve bir PCI DSS değerlendirmesi sırasında tamamen dikkate alınmalıdır.
• Cybersecurity Maturity Model Certification (CMMC) ABD Savunma Bakanlığı yüklenicileri için zorunlu hale gelecek, yani yeni sözleşmelere hak kazanmak için belirli bir CMMC uyumluluk seviyesine ulaşmaları gerekecek.
• Beş yeni ABD eyaleti 2025 yılında veri gizliliği yasalarını uygulamaya koyarak toplamda 18 eyalet gizlilik yasasına ulaşacak.

Yapılması gereken: Değişen düzenlemelere ne kadar uyum sağladığınızı değerlendirin. Yasal gerekliliklere bağlı olmasanız bile, bunlar siber güvenlik ve risk yönetimi için en iyi uygulama çerçevesini sağlar. Çoğu uyumluluk çerçevesi, yetkilendirme, kimlik doğrulama ve yönetişim dahil olmak üzere kimlik güvenliği için ortak gereksinimleri paylaşır. Başlamak için bir yer arıyorsanız, yeni NIST Cybersecurity Framework (CFS) 2.0 yönergeleri harika bir kaynaktır.

 
Fazla güvenlik önlemleri almaya karşı çözüm konsolidasyonu

İşletmeler, birden fazla bulut ve SaaS uygulamasında birden fazla teknoloji aracı yığınına sahiptir ve güvenlik kontrollerinde çok fazla farklılıkla sonuçlanır. 2025 için hedef, karmaşıklığı azaltmaktır. Nirvana, BT ortamları genelinde tutarlı güvenlik kontrolleridir.

Birçok kişi satıcı konsolidasyonu ve gereksiz ya da kullanılmayan teknolojilerde azalma göreceğimize inanıyor. Neden aynı şeyi yapan birden fazla araca para ödeyelim ki? Bununla birlikte, kullanılabilirlikle ilgili endişeler de görüyoruz, bu da insanları savunma katmanları için aynı kullanım durumunu çözen birden fazla çözüm satın almaya teşvik ediyor.

Elbette, BT ve güvenlik ekipleri iş rolleri ve sorumluluklarının daha fazla entegrasyonunu görecekler, bu da çözümlerin yatay kullanım durumlarında birden fazla kullanıcıyı desteklemesi gerektiği anlamına geliyor. Kimlik güvenliği platformları IAM kontrolleri, yetkilendirme ve risk yönetimi arasındaki siloları yıkacaktır.

Yapılması gereken: Satın aldığınız herhangi bir siber güvenlik çözümünün kullanımının kolay, entegrasyon ve düzenlemeye açık olduğundan emin olun.

Stres ve tükenmişlikle başa çıkmak en az bir sonraki yazılımı satın almak kadar önemlidir

Hepimiz biliyoruz ki tehdit aktörlerine ayak uyduracak yeterli sayıda siber güvenlik uzmanı yok. Ayrıca, birçoğu uzun saatler çalışmaktan ve savaşmaktan tükeniyor. Otomasyon daha azıyla daha fazlasını yapmamıza yardımcı olabilir, ancak tüm sorunları çözemez. Geçtiğimiz birkaç yıl boyunca, sektörümüzün ruh sağlığına odaklanması gerektiğini söylemiştik; bu yıl bunu gerçekten yapmamız gereken yıl.

Yapılması gereken: Cybermindz ve Sober in Cyber gibi kuruluşlara göz atın. Yeni yılda çalışanlarınıza ve kendinize iyi bakın.

Verimli ve siber güvenli bir 2025 için ileriye!