Tıp dünyasında her doktorun bildiği bir gerçek vardır: Korunma, tedaviden daha iyidir. Daha uygun maliyetlidir ve sonuçları daha başarılıdır. Aynı ilke siber güvenlik için de geçerlidir. Ancak siber güvenlik sektörü, bu basit kavramdan çok uzaklaşmış durumda. Yeni araçların çoğu tespit odaklı; yani bir sorun olduğunda onu bulmaya yönelik. Oysa asıl ihtiyaç, sorunları keşfetmekten çok engellemeye yatırım yapmaktır. Siber güvenlik inovasyonu ve risk sermayesi, yeniden bloklama ve önleme teknolojilerine odaklanmalı.
Siber güvenliğin neden tespit üzerine kurulu olduğunu anlamak zor değil. Bunun kökeni, ağ sistemlerinin ilk günlerine dayanıyor. İlk sistemler kırılgandı; kurtarma süreci yavaş ve kesintiler maliyetliydi. Bu nedenle ilk güvenlik kontrolleri, yetkisiz erişimi kısıtlamak için tasarlandı. Çalıştırmayı engelleme ve istismarı önleme odaklıydı. Çünkü bir saldırı başarılı olursa, örneğin bir bilgisayar virüsü çalışırsa, sonuçları geri döndürülemez olabiliyordu. Zamanla sistemler daha dayanıklı hale geldi, ancak güvenlik anlayışı hala tespit üzerine yoğunlaştı.
Günümüzde siber saldırıların karmaşıklığı ve hacmi arttıkça, tespit araçları da çoğaldı. Güvenlik bilgi ve olay yönetimi (SIEM) sistemleri, uç nokta tespit ve yanıt (EDR) çözümleri, ağ trafiği analizi... Bunların hepsi bir sorunu bulmaya yarıyor. Ancak bir saldırı tespit edildiğinde, çoğu zaman hasar çoktan oluşmuş oluyor. Veri sızıntısı, fidye yazılımı şifrelemesi veya sistem kesintisi gibi sonuçlar geri döndürülemez olabiliyor. Tespit, yalnızca yangını söndürmeye benziyor; oysa asıl yapılması gereken yangını çıkarmamak.
Önleme odaklı yaklaşımlar, saldırıların başarılı olmasını engellemeyi hedefler. Bu, uygulama beyaz listeleme, sıfır güven mimarisi, güvenli kodlama uygulamaları ve otomatik yama yönetimi gibi teknolojileri içerir. Amaç, bir güvenlik açığı bulunsa bile, saldırganın bunu kullanmasını zorlaştırmaktır. Örneğin, varsayılan olarak tüm çalıştırılabilir dosyaları engellemek, bilinmeyen kötü amaçlı yazılımların çalışmasını önler. Bu, tespit araçlarının yakalayamadığı sıfırıncı gün saldırılarına karşı bile etkilidir.
Siber güvenlik sektörünün tespit odaklı olmasının bir nedeni de, önlemenin 'imkansız' olarak görülmesidir. Saldırganların her zaman bir yol bulacağı düşünülür. Ancak bu, önlemenin tamamen terk edilmesi anlamına gelmemeli. Aslında, önleme ve tespit birbirini tamamlayan stratejilerdir. Önleme, saldırı yüzeyini azaltırken, tespit kalan tehditleri yakalar. Ancak dengenin önleme lehine kaydırılması, uzun vadede daha düşük maliyet ve daha az hasar anlamına gelir.
Yatırımcılar için bu, büyük bir fırsat sunuyor. Şu anda risk sermayesinin büyük kısmı tespit ve yanıt araçlarına gidiyor. Oysa önleme teknolojilerine yatırım yapmak, hem daha yenilikçi hem de daha sürdürülebilir bir siber güvenlik ekosistemi yaratabilir. Örneğin, donanım tabanlı güvenlik, yapay zeka destekli davranışsal engelleme veya bulut tabanlı sıfır güven ağları gibi alanlar, önleme odaklı yaklaşımlar için umut vadediyor. Siber güvenlikte artık tedaviden çok korunmaya odaklanmanın zamanı geldi.
Kaynak: csoonline.com