Gelecek
Bilim
Arkakapı
Güvenlik
Kültür
Politika
Iş
Donanım
Hakkımızda
Destek
Mağaza
Ara
Login
VIO News
EBRU KEMIKKIRAN
YAZILIM ELEŞTİRİLERİ
21 May 2024
23545 kişi görüntüledi
Google Güvenlik Uzmanı Etkisiz Kimlik Avı Testlerini Eleştiriyor ve Yangın Tatbikatı Tarzı Yenilik Çağrısında Bulunuyor
Siber güvenlik dünyasında geleneksel kimlik avı test yaklaşımları giderek daha fazla eleştiriliyor. Google'ın güvenlik müdahale ve olay yönetimi bölümünün başında bulunan Matt Linton, mevcut federal kimlik avı testlerine karşı güçlü eleştirilerde bulundu ve yangın tatbikatlarına benzer bir dönüşüm önerdi.
Paylaş:
Siber güvenlik dünyasında geleneksel kimlik avı test yaklaşımları giderek daha fazla eleştiriliyor. Google'ın güvenlik müdahale ve olay yönetimi bölümünün başında bulunan Matt Linton, mevcut federal kimlik avı testlerine karşı güçlü eleştirilerde bulundu ve yangın tatbikatlarına benzer bir dönüşüm önerdi. Mevcut Kimlik Avı Testlerinin Sorunu Linton, mevcut kimlik avı testlerinin, geçmişteki sürpriz yangın tatbikatlarını taklit ettiğini ve etkisiz olduğunu savunuyor. Bu testler, genellikle habersiz olarak yapılır ve çalışanların kimlik avı girişimlerine tepkisini ölçmeyi amaçlar. Ancak Linton, bu yöntemin IT ve güvenlik ekiplerini kötü göstermesine rağmen önemli bir fayda sağlamadığını düşünüyor. Bu testleri, binanın sakinlerini test etmek için önceden haber verilmeden yapılan yangın tahliye tatbikatlarına benzetiyor. Zamanla, daha geniş kapılar ve itme çubuğu tasarımları ile yangın sprinkler sistemleri gibi daha iyi güvenlik özellikleri tanıtıldı. Bu iyileştirmeler, bireysel tepkileri iyileştirmeyi amaçlamıyordu, ancak genel güvenlik altyapısını geliştirerek hayatta kalma oranlarını artırdı. Linton, kimlik avı testlerinde de benzer bir evrimin gerektiğini öneriyor. Yeni Bir Yaklaşım İçin Çağrı Güvenlik ürünleri ve e-posta istemcilerine entegre edilen anti-kimlik avı kontrollerine rağmen, kimlik avı saldırıları artmaya devam ediyor. Zscaler'ın yıllık kimlik avı raporuna göre, geçen yıl kimlik avı saldırılarında %58'lik bir artış gözlemlendi ve siber suçluların AI kullanımı bu artışı tetikledi. Federal Risk ve Yetkilendirme Yönetim Programı (FedRAMP) hala kullanıcı tabanlı kimlik avı testlerini teşvik ediyor, kullanıcıların son savunma hattı olduğunu ve test edilmesi gerektiğini savunuyor. Ancak Linton, kimlik avı testlerinde %100 başarı oranına ulaşmanın neredeyse imkansız olduğunu belirtiyor. Linton, kimlik avı tatbikatlarının sürpriz yerine net ve iyi duyurulmuş olması gerektiğini öneriyor. Çalışanlara testlerden önce bilgi verilmesi ve katılımın faydalarının açıklanması, olumlu bir siber güvenlik kültürü oluşturabilir ve çalışanların kimlik avı olaylarını rapor etme konusunda rahat hissetmelerini sağlayabilir.
Varsayılan Olarak Güvenli Sistemlerin Uygulanması Linton, varsayılan olarak güvenli sistemlere geçiş yapılmasını ve unphishable kimlik bilgileri (örneğin, geçiş anahtarları) ve hassas işlemler için çok taraflı onay süreçleri gibi mühendislik savunmalarına yatırım yapılmasını savunuyor. Bu önlemler sayesinde, Google'ın yaklaşık on yıldır ciddi anlamda parola kimlik avı konusunda endişelenmek zorunda kalmadığını belirtiyor. Mevcut Test Yöntemlerinin Zorlukları Mevcut kimlik avı testlerinin ana eleştirisi, bu testlerin başarılı kimlik avı kampanyalarının sayısını azalttığına dair bir kanıt olmamasıdır. FedRAMP tarafından zorunlu kılınan bazı testler, başarısız bir testin algılanan etkisini en üst düzeye çıkarmak için mevcut kontrolleri azaltmayı gerektirir. Bu, çalışanlara yanlış bir güvenlik hissi vermek ve testlerden sonra kaldırılmayan beyaz listeleme uygulamaları gibi sorunlara yol açabilir. Olumlu Bir Siber Güvenlik Kültürü Oluşturma Linton'ın vizyonu, Birleşik Krallık Ulusal Siber Güvenlik Merkezi'nin (NCSC) rehberliğiyle uyumlu olup, kimlik avı saldırılarını hafifletmek için çok katmanlı bir yaklaşım benimsemeyi vurgular. Bu, saldırganların kullanıcılara ulaşmasını zorlaştırmak, kullanıcıların şüpheli kimlik avı e-postalarını tanımlamasına ve bildirmesine yardımcı olmak ve olaylara hızlı bir şekilde yanıt vermeyi içerir. Çalışanların saldırılar sırasında güvenlik ekiplerini uyarma konusunda eğitilmesi önemlidir, ancak bu destekleyici ve karşılıklı güvene dayalı bir şekilde yapılmalıdır. Kimlik avı testlerinin yangın tatbikatlarına benzer bir dönüşüm çağrısı, daha bütünsel ve destekleyici bir siber güvenlik yaklaşımına duyulan ihtiyacı vurgulamaktadır. Varsayılan olarak güvenli sistemlere odaklanarak ve olumlu bir siber güvenlik kültürü oluşturarak, kuruluşlar kimlik avı tehditlerine karşı daha iyi hazırlıklı olabilir. Kimlik avı testlerinin geleceği, net iletişim, proaktif eğitim ve sağlam altyapıda yatmaktadır ve bu, herkes için daha güvenli bir dijital ortam sağlar.
EN YENİLER
Olaworks Yüzünüzü Sizden Daha İyi Tanıyor
Devamını Oku...
EBRU KEMIKKIRAN
Google ve Microsoft'un AI Sohbet Botlarının 2020 ABD Seçim Sonuçlarını Söylemeyi Reddetmesi
Devamını Oku...
VIO AI
Kuantum Kapıları ve Algoritmalarının AI ile Belirlenmesi
Devamını Oku...
EBRU KEMIKKIRAN
Kuantum Kapıları ve Algoritmalarının AI ile Belirlenmesi
Devamını Oku...
EBRU KEMIKKIRAN
Yeni Nesil Jeotermal Sistemler: Enerjinin Geleceği
Devamını Oku...
EBRU KEMIKKIRAN
Olaworks Yüzünüzü Sizden Daha İyi Tanıyor
Devamını Oku...
EBRU KEMIKKIRAN
Yenilikçi Malzeme: Sürdürülebilir Yapılar İçin Şeffaf ve Çok Fonksiyonlu Metamalzeme
Devamını Oku...
EBRU KEMIKKIRAN
IDC Türkiye CIO Summit 2024: Dijital Dönüşümün Geleceği
Devamını Oku...
EBRU KEMIKKIRAN
