Platform güvenlik açıklarına dikkat etmek önem taşıyor

HP, cihazların yaşam döngülerinin her aşamasında güvenliğinin sağlanmamasının geniş kapsamlı siber güvenlik etkilerini vurgulayan yeni bir rapor yayınladı. Bulgular, platform güvenliğinin (PC’lerin, dizüstü bilgisayarların ve yazıcıların donanım ve ürün yazılımının güvence altına alınması) genellikle göz ardı edildiğini ve gelecek yıllar için siber güvenlik duruşunu zayıflattığını gösteriyor.

800’den fazla BT ve güvenlik karar vericisi (ITSDM) ve 6000’den fazla her yerden çalışma (WFA) çalışanıyla yapılan küresel bir araştırmaya dayanan rapor, platform güvenliğinin artan bir endişe kaynağı olduğunu ve ITSDM’lerin yüzde 81’inin saldırganların savunmasız cihazları istismar etmemesi için donanım ve ürün yazılımı güvenliğinin bir öncelik haline gelmesi gerektiği konusunda hemfikir olduğunu gösteriyor. Bununla birlikte, yüzde 68’i donanım ve ürün yazılımı güvenliğine yapılan yatırımın cihazların toplam sahip olma maliyetinde (TCO) genellikle göz ardı edildiğini bildiriyor. Bu da maliyetli güvenlik sorunlarına, yönetim giderlerine ve ilerleyen aşamalarda verimsizliklere yol açıyor. Cihaz yaşam döngüsünün beş aşamasından elde edilen önemli bulgular şunlar:

1. Tedarikçi Seçimi: Buna ek olarak, yüzde 34’ü bir PC, dizüstü bilgisayar veya yazıcı tedarikçisinin son beş yıl içinde bir siber güvenlik denetiminde başarısız olduğunu ve yüzde 18’i bu başarısızlığın sözleşmelerini feshedecek kadar ciddi olduğunu söylüyor. ITSDM’lerin yüzde 60’ı cihaz tedarikinde BT ve güvenlik katılımının olmamasının kurumu riske attığını söylüyor.
2. İşe Alıştırma ve Yapılandırma: ITSDM’lerin yarısından fazlası (yüzde 53) BIOS şifrelerinin paylaşıldığını, çok yaygın olarak kullanıldığını veya yeterince güçlü olmadığını söylüyor. Dahası, yüzde 53’ü BIOS şifrelerini bir cihazın kullanım ömrü boyunca nadiren değiştirdiklerini itiraf ediyor.
3. Sürekli Yönetim: ITSDM’lerin %60’ından fazlası dizüstü bilgisayarlar veya yazıcılar için ürün yazılımı güncellemelerini hazır olur olmaz yapmıyor. ITSDM’lerin %57’si ürün yazılımı ile ilgili olarak FOMU (Güncelleme Yapma Korkusu) yaşadıklarını söylüyor. Yine de %80’i yapay zekanın yükselişinin saldırganların daha hızlı açıklar geliştireceği anlamına geldiğine ve bu nedenle hızlı güncelleme yapmanın hayati önem taşıdığına inanıyor.
4. İzleme ve İyileştirme: Her yıl, kaybolan ve çalınan cihazlar kurumlara tahmini olarak 8,6 milyar dolara mal oluyor. Uzaktan çalışan her 5 kişiden birinin bilgisayarını kaybetmiş ya da çaldırmış ve BT’ye haber vermeden önce ortalama 25 saat beklemiş olduğu görülüyor.
5. İkinci El Kullanım ve Hizmet Dışı Bırakma: ITSDM’lerin neredeyse yarısı (yüzde 47) PC’lerin veya dizüstü bilgisayarların yeniden kullanılması, yeniden satılması veya geri dönüştürülmesi söz konusu olduğunda veri güvenliği endişelerinin büyük bir engel olduğunu söylerken, %yüzde 9’u bunun yazıcılar için büyük bir engel olduğunu söylüyor.

Altyapılar dirençli hale gelmeli
HP Güvenlik Araştırma ve İnovasyon Baş Teknoloji Uzmanı Boris Balacheff, “Bilgisayar, dizüstü bilgisayar veya yazıcı satın almak, bir kurumun uç nokta altyapısı üzerinde uzun vadeli etkisi olan bir güvenlik kararıdır. Satın alma sırasında donanım ve ürün yazılımı güvenlik gereksinimlerinin önceliklendirilmesi ya da önceliklendirilmemesi, güvenlik ve yönetilebilirlik gereksinimlerinin mevcut en son teknolojiye kıyasla çok düşük belirlenmesi durumunda, riske maruz kalmanın artmasından maliyetlerin yükselmesine ya da olumsuz kullanıcı deneyimine kadar bir cihaz filosunun tüm ömrü boyunca sonuçlar doğurabilir. Son kullanıcı cihaz altyapılarının siber risklere karşı dirençli hale gelmesi çok önemlidir. Bu, donanım ve ürün yazılımı güvenliğine öncelik vermek ve filodaki cihazların tüm yaşam döngüsü boyunca nasıl yönetildiklerinin olgunluğunu geliştirmekle başlar” dedi.

Fabrikadan parmak ucuna – tedarikçi seçim sürecindeki dikkatsizlikler ve işe alım ve yapılandırma sınırlamaları, cihaz güvenliğini yaşam döngüsü boyunca etkiliyor
Bulgular, BT ve güvenliğin yeni cihazlar için satın alma sürecinin bir parçası olması, gereksinimleri belirlemesi ve tedarikçinin güvenlik iddialarını doğrulaması için artan ihtiyacı vurguluyor:

• ITSDM’lerin yüzde 52’si satın alma ekiplerinin tedarikçilerin donanım ve ürün yazılımı güvenlik iddialarını doğrulamak için BT ve güvenlikle nadiren işbirliği yaptığını söylüyor.
• ITSDM’lerin yüzde 45’i, RFP’lerdeki donanım ve ürün yazılımı güvenlik iddialarını doğrulama araçlarına sahip olmadıkları için tedarikçilerin doğruyu söylediğine güvenmek zorunda olduklarını itiraf ediyor.
• Hatta ITDMS’lerin yüzde 48’i satın alma ekiplerinin tedarikçilerin söylediği her şeye inanacakları için “kurbanlık koyun” gibi olduklarını söylüyor.

BT uzmanları ayrıca cihazları donanım ve ürün yazılımı seviyesine kadar sorunsuz bir şekilde devreye alma ve yapılandırma becerilerinin sınırlarından da endişe duyuyor.

• ITSDM’lerin yüzde 78’i, güvenliği artırmak için donanım ve ürün yazılımı güvenlik yapılandırmasını içerecek şekilde bulut üzerinden sıfır dokunuşla ilk katılım istiyor.
• ITSDM’lerin yüzde 57’si cihazları bulut üzerinden devreye alamamaktan ve yapılandıramamaktan dolayı hayal kırıklığı yaşıyor.
• Evlerine bir cihaz teslim edilen WFA çalışanlarının neredeyse yarısı (yüzde 48), ilk katılım ve yapılandırma sürecinin rahatsız edici olduğundan şikayet etti.

Zorluklar bitmiyor
ITSDM’lerin yüzde 71’i, her yerden çalışma modellerindeki artışın platform güvenliğini yönetmeyi daha zor hale getirdiğini, çalışan verimliliğini etkilediğini ve riskli davranışlar yarattığını söylüyor:
· Her dört çalışandan biri, BT’den tamir etmesini veya değiştirmesini istemek yerine kötü performans gösteren bir dizüstü bilgisayara katlanmayı tercih ediyor çünkü kesinti süresini göze alamıyorlar.
· Çalışanların yüzde 49’u dizüstü bilgisayarlarını tamire gönderdiklerini ve cihazın tamirinin ya da değiştirilmesinin 2,5 günden fazla sürdüğünü söylüyor; bu da birçoğunu iş için kişisel dizüstü bilgisayarlarını kullanmaya ya da ailelerinden veya arkadaşlarından bir dizüstü bilgisayar ödünç almaya zorluyor – kişisel ve profesyonel kullanım arasındaki çizgileri bulanıklaştırıyor.
· Yüzde 12’sinin bir iş cihazını yetkisiz bir üçüncü taraf sağlayıcıya tamir ettirerek potansiyel olarak platform güvenliğini tehlikeye atmış ve BT’nin cihaz bütünlüğüne ilişkin görüşünü bulanıklaştırmış olduğu görülüyor.

Tehdit aktörlerinin hassas verilere ve kritik sistemlere erişimini önlemek için donanım ve ürün yazılımı tehditlerinin izlenmesi ve düzeltilmesi hayati önem taşıyor. Ancak ITSDM’lerin yüzde 79’u donanım ve ürün yazılımı güvenliği konusundaki anlayışlarının yazılım güvenliği konusundaki bilgilerinin gerisinde kaldığını söylüyor. Dahası, filolarında donanım ve ürün yazılımı güvenliğini yönetmek için istedikleri görünürlüğü ve kontrolü sağlayacak olgun araçlardan yoksunlar:

· ITSDM’lerin yüzde 63’ü cihaz donanımı ve ürün yazılımı güvenlik açıkları ve yanlış yapılandırmalarla ilgili birden fazla kör noktayla karşı karşıya olduklarını söylüyor.
· Yüzde 57’si risk altındaki cihazları değerlendirmek için geçmiş güvenlik olaylarının donanım ve ürün yazılımı üzerindeki etkisini analiz edemiyor.
· Yüzde 60’ı donanım veya ürün yazılımı saldırılarını tespit etmenin ve azaltmanın imkansız olduğunu söylüyor ve ihlal sonrası iyileştirmeyi tek yol olarak görüyor.

İkinci el kullanım
Platform güvenliği endişeleri de kurumların ömrünü tamamlamış cihazları yeniden kullanma, geri dönüştürme veya yeniden satma imkanlarını kısıtlıyor:

· ITSDM’lerin yüzde 59’u cihazlara ikinci bir hayat vermenin çok zor olduğunu ve bu nedenle veri güvenliği endişeleri nedeniyle cihazları genellikle imha ettiklerini söylüyor.
· Yüzde 69’u, sterilize edebildikleri takdirde yeniden kullanılabilecek veya bağışlanabilecek önemli sayıda cihazın üzerinde oturduklarını söylüyor.
· ITSDM’lerin yüzde 60’ı, mükemmel şekilde kullanılabilir dizüstü bilgisayarları geri dönüştürme ve yeniden kullanma konusundaki başarısızlıklarının bir e-atık salgınına yol açtığını kabul ediyor.

Birçok çalışanın eski iş cihazlarını hiçbir şey yapmasa da elinde tutması işleri daha da karmaşık hale getiriyor. Bu sadece cihazların yeniden kullanılmasını engellemekle kalmıyor, aynı zamanda hala kurumsal veri taşıyabilen öksüz cihazlarla ilgili veri güvenliği riskleri de yaratıyor.

· WFA çalışanlarının yüzde 70’inin evinde ya da ofisindeki çalışma alanında en az 1 eski iş bilgisayarı/dizüstü bilgisayarı bulunuyor.
· WFA çalışanlarının yüzde 12’si cihazlarını hemen iade etmeden işten ayrılmış ve bunların neredeyse yarısı hiç iade etmediklerini söylüyor.

Cihaz yaşam döngüsüne yeni yaklaşım
Kurumların üçte ikisinden fazlası (yüzde 69), cihaz donanımı ve ürün yazılımı güvenliğini yönetme yaklaşımlarının yaşam döngülerinin yalnızca küçük bir bölümünü ele aldığını söylüyor. Bu durum cihazları açıkta bırakıyor ve ekipler tedarikçi seçiminden hizmet dışı bırakmaya kadar platform güvenliğini izleyemiyor ve kontrol edemiyor. Platform güvenliğini tüm yaşam döngüsü boyunca yönetmek için HP Wolf Security’nin önerileri şunları içeriyor:

· Tedarikçi seçimi: BT, güvenlik ve satın alma ekiplerinin yeni cihazlar için güvenlik ve esneklik gereksinimlerini belirlemek, satıcı güvenlik iddialarını doğrulamak ve tedarikçi üretim güvenlik yönetişimini denetlemek için birlikte çalışmasını sağlayın.
· İlk katılım ve yapılandırma: Cihazların ve kullanıcıların güvenli bir şekilde sıfır dokunuşla işe alınmasını ve BIOS parolaları gibi zayıf kimlik doğrulamasına dayanmayan ürün yazılımı ayarlarının güvenli bir şekilde yönetilmesini sağlayan çözümleri araştırın.
· Sürekli yönetim: BT’nin cihaz yapılandırmasını uzaktan izlemesine ve güncellemesine yardımcı olacak araçları belirleyin ve filonuzun saldırı yüzeyini azaltmak için ürün yazılımı güncellemelerini hızlı bir şekilde dağıtın.
· İzleme ve Düzeltme: Kayıp ve çalıntı cihaz riskini azaltmak için BT ve güvenlik ekiplerinin cihazlardaki verileri uzaktan bulabilmesini, kilitleyebilmesini ve silebilmesini sağlayın. Yetkisiz donanım ve ürün yazılımı değişikliklerini ve istismar belirtilerini tespit etmek gibi platform güvenlik risklerini belirlemek için cihaz denetim günlüklerini izleyerek dayanıklılığı artırın.

İkinci kez kullanım ve hizmet dışı bırakma: Güvenli bir şekilde hizmet dışı bırakmayı sağlamak için hassas donanım ve ürün yazılımı verilerini güvenli bir şekilde silebilen cihazlara öncelik verin. Cihazları yeniden hizmete almadan önce, gözetim zincirini, donanım ve ürün yazılımı bütünlüğünü doğrulamak için ömür boyu hizmet geçmişlerini denetlemeye çalışın.