İşletmeler, özellikle siber güvenlikle ilgili olarak, doğadan dayanıklılık hakkında çok şey öğrenebilir. Doğa, sistemlerin öngörülemeyen tehditlerle dinamik ortamlarda kalıcı olmaya nasıl adapte olduğunun mükemmel bir örneğini sunar. Doğal bir sistem ne kadar esnek olursa, zararı absorbe etmek ve ondan kurtulmak için o kadar iyi hazırlanır.
Siber saldırıların artmasıyla kuruluşlar, önleyici siber güvenliğin tek başına büyük olaylara hazırlanmak için yeterli olmadığını fark ediyor. Kuruluşlar, bir sistemin zorluklar karşısında devam etme yeteneğine odaklanan siber dayanıklılık merceği aracılığıyla yatırımları ve harcamaları değerlendirmeyi tercih ediyor. Esneklik kavramı, iş liderlerinin, işletmelerin en ciddi siber tehditleri bile önlemesine, tespit etmesine, yanıt vermesine, kurtarmasına ve bunlardan öğrenmesine yardımcı olabilecek bir dizi ilkeyi kullanmalarına olanak tanır. Kuruluşlar, hendek inşa etmek ve her şeyi sistemlerinden uzak tutmak gibi geleneksel reaktif duruştan uzaklaşmalı ve hiçbir engelin geçirimsiz olmadığı zihniyetine doğru hareket etmeli ve buna göre güvenlik stratejileri geliştirmelidir. Bu, dedektif ve duyarlı kontrollere odaklanmayı ve önceki olaylardan öğrenebilecek bir sistem oluşturmayı gerektirir.
Siber Güvenliğe Karşı Siber Dayanıklılık
Siber güvenlik, geleneksel olarak, kapsamlı bir savunma modeli aracılığıyla saldırılara karşı koruma yeteneği ve bu kontrollerin başarısız olması durumunda, algılama ve müdahale yoluyla tanımlanmıştır. Geleneksel ağ çevresi çözülürken, organizasyonu güvenlikle korunan “hendekler” aracılığıyla koruma kavramı da ortadan kalkar.
Tersine, siber esneklik, sistem operasyonları üzerinde mümkün olan en az etkiyle, herhangi bir olumsuz olaya dayanma, ondan öğrenme ve kurtarma yeteneğidir. Esnek bir organizasyonda, bir olay, iyi işleyen bir tespit ve müdahale yeteneğinin merkezinde kontrol doğrulaması ve etkinliği olan bir kapalı döngü sistemi sağlamalıdır. Bu ikisi prensipte farklı olmakla birlikte, örtüşen faydalar sağlayarak birbirlerini tamamlarlar. Esneklik, şirketlerin etkileri azaltarak ve hızlı bir şekilde geri çekilerek en kötü olaylara bile dayanmalarını sağlarken, iyi siber güvenlik genel hasarı en aza indirir.
Siber Esneklik Çerçeveleri
Siber güvenlik çerçeveleri, temel fikirleri test edilmiş ve paylaşılabilir bir şekilde ifade eder. Yedeklilik, kurtarma ve beka gibi kavramların güç şebekelerini ve diğer hayati sistemleri operasyonel olarak esnek tutmaya yardımcı olduğu diğer uzmanlık disiplinlerinden farklı teknikleri birleştirir. Çerçevelerin, tek başına bir kuruluşu siber daha dayanıklı hale getirmeyen ana hedefleri vardır. Ancak, işletmelerin inşa edebileceği bir fikir ve sonuç iskelesi sağlarlar.
• Anlayın: Tehdit istihbaratı, tehdit ortamındaki düşmanları takip eder; geçmiş, şimdiki ve gelecekteki faaliyetler; güdüler ve yetenekler; ve bir siber güvenlik olayının göstergesi olabilecek herhangi bir durum. Kurumsal zeka, IOC’lerin tespit edilebileceği, tanımlanabileceği ve hasar ve güvenilirlik açısından değerlendirilebileceği işlevler ve sistemler genelindeki tüm ortak kritik kaynakları tanımlar. Tüm varlıkları her tehdide karşı korumak imkansızdır; bu nedenle, siber güvenlik kaynakları en çok ihtiyaç duyulan ve en büyük etkiye sahip olan yerlere odaklanmalıdır.
• Hazırla: Beklenen olaylara karşı koymak için kullanılabilecek bir dizi politika, süreç ve eylemi sürdürün. Kuruluşlar, gerektiğinde kullanılması mümkün olan mevcut kaynakları kullanmalıdır. İhlal ve saldırı simülasyonu veya kırmızı-mavi-mor takım oluşturma, önerilen bir aktif hazırlıktır.
• Önleme: Siber dayanıklılık için yararlı teknikler arasında, “anlama” hedefinden toplanan bilgilere dayalı olarak varlıkları güçlendirme yer alır. Bir hedefin çekiciliğini azaltan ve saldırı yüzeyini azaltan sistemler. Günümüzün çevresi olmayan ortamlarında, çok faktörlü kimlik doğrulama gibi şeyler hayati önem taşımaktadır.
• Devam Et: Bu organizasyonel tasarımda, süreçlerde veya sistem tasarımında tek başarısızlık noktalarından ve tasarımın kırılganlığından kaçınmak gibi bir düşman saldırısıyla karşı karşıya kaldıklarında, kuruluşları temel işlevlerini tam kapasiteyle çalışır durumda tutmaya zorlar. Bir iş sürekliliği işlevi, siber alanın ötesinde hizmetler sunabilir ve genellikle tasarım süreci için değerli olan öngörüler sağlar.
• Kısıtlama: Saldırı yüzeyi ne kadar küçükse, müteakip maliyet o kadar küçük olur. Bu aynı zamanda kuruluşlara savunma ve izlemeye odaklanmaları için daha fazla zaman verir. Üçüncü taraf veya genişletilmiş tedarik zincirleri, her büyüklükteki kuruluş için sürekli genişleyen bir riski temsil eder. Dahili saldırı yüzeyleri zaten var olacak ve kritik varlıklara beklenmedik erişimleri ortaya çıkarabilir. İşletmeler asla yalnızca dışsallıklara odaklanma hatasına düşmemeli, ancak herhangi bir sistemdeki en olası saldırı vektörlerini beklenen aktörlere karşı haritalayan bir tehdit modeliyle başlamalıdır.
• Yeniden oluşturma: Bir saldırıdan sonra bilinen bir “iyi durumun” nasıl tanınabileceğini, korunabileceğini ve yeniden konuşlandırılabileceğini tanımlar. Kaynakların hızlı bir şekilde yeniden konuşlandırılabilmesi ve kesintilerin minimum düzeyde tutulabilmesi için tasarımda belirli bir esneklik gerektirir.
• Dönüştürme: Herhangi bir alışılmış süreçle, işlevsellik ve kapsam dikkatli bir şekilde incelenmeli ve değerlendirilmelidir. Kuruluşlar, dönüşümün maliyetinin bir siber saldırının maliyetinden daha fazla olup olmadığına karar vermek için bunu kullanmalıdır. Bu bir risk iştahı meselesidir.
• Yeniden Mimar: İşletmelerin ve çalışanların eski teknolojileri kullanma ve yenilerini sistemlerinde benimseme biçimleri sürekli değişmektedir. Bu nedenle, kuruluşlar siber dayanıklılık hedeflerine ulaşmak için sistemleri değiştirmelidir.
Herhangi bir çerçevenin benimsenmesi, sonuçların ve ilkelerin kişinin kendi özel koşullarına göre uyarlanmasını gerektirir. Siber esnekliğe ulaşmak için kuruluşların siber güvenliğe yönelik geleneksel “her şeyi durdur” yaklaşımını yeniden düşünmesi gerekir. Her saldırıyı durdurmak imkansızdır ve nihayetinde, yeni saldırılarla başa çıkmak için daha fazla duvar inşa etmek veya parçalanmış bir güvenliğe veya BT yığınına daha fazla niş güvenlik teknolojisi eklemek, yalnızca bu yaklaşım çöktüğünde etkiyi artırır. Kuruluşlar, ikili başarıya karşı başarısızlık zihniyetinden kaçınan ve bunun yerine saldırı sonrası kendini dönüştüren ve operasyonları devam ettiren bir sistem geliştirerek daha fazla değer görecekler.
Pek çok kuruluş için bu kolay bir gerçek değil, çünkü dönüşüm süreci aşırı maliyetler biriktirebilir. Tesis dışı yedekleme, kritik varlıkların yedekliliğini ve izolasyonunu sağlamak için birden fazla sunucu gibi stratejilerin hepsinin ilişkili maliyetleri vardır. Bu durumda işletmeler risk iştahlarını değerlendirmelidir. Başarılı bir siber olayın maliyeti, siber dayanıklılığa ulaşmanın maliyetinden daha ağır basacak mı?
Siber suçlular gelişmeyi asla bırakmayacak; son derece sofistike, yeni taktiklerin sonuçlarına zaten katlanıyoruz ve bu yavaşlamıyor. Doğa, ister ekolojide ister siber uzayda uygulansın, her zaman esnek sistemleri tercih edecektir. Düşman bir ortamda var olan ve hayatta kalmak isteyen herhangi bir sistem, dayanıklılığa ulaşmalıdır.