BT'den sorumlu olmak şu anda en kolay iş değil. Dış saldırılara ilişkin sürekli uyarı ve sıfır güven ilkelerinin gerekliliğine ek olarak, iç tehditlere ilişkin uyarı da olduğunda, bir CISO olarak kendinize başka kime güvenmeniz gerektiğini sorabilirsiniz.
İçeriden gelen tehditler her tür ve büyüklükteki şirket için gerçek bir sorundur. Güncel bir örnek, elektrikli otomobil üreticisi Tesla'dır: Geçen yıl Berlin-Brandenburg Gigafactory'de, Avrupa çapında on binlerce çalışandan gelen 100 gigabaytın üzerinde hassas veri ve maaş bilgilerinin yanı sıra ürünlerdeki arıza ve sorunlara ilişkin raporlar, halka açıklandı - iki tanesi eski Tesla çalışanlarından şüphelenildi. Bunu kendilerini verilerle zenginleştirmek için değil, şirket içindeki şikayetleri ve güvenlik sorunlarını belirtmek için yaptılar. Bununla birlikte ihbar, çalışanların bilgilerinin kimliğe bürünme veya daha kötüsü amacıyla kötüye kullanılabileceği bir veri ihlalidir.
Veri sızıntıları varlığınız için bir tehdittir
Bu tür durumlar her zaman mevcut güvenlik önlemleriyle ilgilidir ve erişim haklarının yakından yönetilmesiyle önlenebilir. Aksi takdirde, suç enerjisi taşıyan ve hassas bilgileri veya erişim verilerini siber suçlulara satmaya istekli, yabancılaşmış bir çalışan, şirket sırlarını, müşteri verilerini ve muhtemelen tüm şirketin varlığını tehlikeye atmak için yeterlidir. Daha da kötüsü, beyinlerin stratejileri aynı zamanda karanlık ağ üzerinden suç ortakları toplamayı da içeriyor. Hassas giriş bilgileri karşılığında sahtekar veya anlamsız çalışanlara büyük miktarlarda para teklif ediyorlar.
Tehlikeler yeterli değilse veri sızıntıları da inanılmaz derecede pahalı olabilir. Yalnızca şirket ağına sızma riski ve sonrasında korkunç fidye talepleriyle dolu bir fidye yazılımı saldırısı riski mevcut değildir. Veri koruma ihlalleri durumunda yasama organı da devreye girer. Yetkililer, hasardan içeriden birinin mi, dikkatsiz bir çalışanın mı yoksa başka bir veri sızıntısının mı sorumlu olduğunu umursamıyor: Verilerini kaybeden herkesten ödeme yapması istenecek. AB GDPR'sine göre bu, şirketlere 20 milyon avroya kadar veya küresel yıllık cironun yüzde dördü kadar bir maliyete neden olabilir. Federal Anayasayı Koruma Dairesi de ülke içindeki faillerin tehdidine karşı açıkça uyarıyor. İçeriden gelen her tehdit kasıtlı, kötü niyetli eylemlerin sonucu değildir ve yanlış adım atan her çalışan doğrudan fail değildir. Çoğu zaman kazalara neden olan, kasıtsız hatalar veya bilgi eksikliğidir. Bu sorunun çözümü sadece teknik değil aynı zamanda kişilerarası yaklaşımları da gerektirir.
Rol Tabanlı Erişim Kontrolü
Kimlik yönetiminin temel bir parçası: Çalışanlar yeni işlerine veya yeni bir pozisyona geldiklerinde, şirketteki rolleri ve faaliyetlerine göre ihtiyaç duydukları erişim haklarını otomatik olarak alırlar. Bu, tüm çalışanların ve yöneticilerin yalnızca işleri için ihtiyaç duydukları bilgi ve sistemlere erişebilmelerini sağlar. Çalışanların erişim haklarının rollere göre gerekli olana düşürülmesiyle, yetkisiz erişim durumunda saldırganın hareket özgürlüğü (patlama yarıçapı olarak da bilinir) önemli ölçüde kısıtlanır. Bu, kimlik bilgilerini şirket içinde veya dışında kötüye kullanmaya çalışıp çalışmadıklarına bakılmaksızın, hileli çalışanları her senaryoda kısıtlar. Yapay zeka destekli çözümler, RBAC sistemlerini yeni boyutlara taşıyabilir ve bunları akıllı, bağlama dayalı tahsis ve otomasyonla verimli bir şekilde yönetebilir.
Ayrıcalıklı Erişim Yönetimi (PAM)
RBAC'a benzer şekilde PAM, kritik sistemlere ve verilere erişimin kontrol edilmesine yardımcı olur. Ayrıcalıklı izinlerin atanması, yönetilmesi ve izlenmesi, yalnızca CEO'lar, geliştiriciler ve ağ yöneticileri gibi yetkili kişilerin son derece hassas bilgilere erişmesini sağlar. PAM ve RBAC, birkaç kullanıcının erişim haklarının aniden artırılıp artırılmadığını hemen belirlemek için de kullanılabilir; örneğin, bir bilgisayar korsanı, suç ortaklarına hedef kuruluşun ağına erişim izni vermek için çalıntı bir kullanıcı hesabını kullanmak istemektedir.
Doğrama-taşıma-ayrılma sistemleri
Bu sistem şirketteki çalışan kimliklerinin yaşam döngüsünü kontrol eder. Gereksiz güvenlik risklerinden kaçınmak için bir çalışanın katılması, ayrılması veya ayrılması durumunda erişim haklarının buna göre ayarlanmasını sağlar. Önemli nokta: RBAC ve PAM'de olduğu gibi kendinizi hem dış hem de iç saldırılardan korursunuz. Bir yandan sözde yetim hesaplarından kaçınılıyor. Bunlar, artık aslında bir çalışana atanmayan, ancak açıklardan kaçan ve hâlâ erişim haklarına sahip olan, bazen de üst düzey olan kullanıcı hesaplarıdır. Bunlar bilgisayar korsanları arasında popülerdir çünkü iyi donanımlı, meşru bir kullanıcı hesabıyla BT savunmalarının radarına yakalanabilirler. Kimlik Yönetişimi ve Yönetimi (IGA) çözümleri, önemli özelleştirmeleri otomatik hale getirir ve aynı zamanda uyumluluğu sağlayan ve BT ekiplerinin üzerindeki yükü azaltan RBAC ve PAM işlevlerini de sağlar. Öte yandan bu, hoşnutsuz bir çalışanın şirketten ayrıldıktan sonra erişim verilerini eski işverenin zararına olacak şekilde kötüye kullanması veya hatta bunları Darknet'teki organize suçlulara kazançlı bir şekilde satması durumunun da önüne geçmektedir.
Yazılımın siyah beyaz listesi
Onaylanmış (beyaz liste) ve istenmeyen (kara liste) yazılımların belirtilmesi, kurumsal ağda kötü amaçlı yazılımların ortaya çıkması veya yetkisiz uygulamaların kullanılması olasılığını azaltır. Bu, sözde gölge BT'ye ve kontrolsüz kullanıcı hesapları oluşturulmasına son verir. Ancak çalışanlar, günlük işlerini kolaylaştıracak yeni araçların satın alınmasına yönelik önerilerde bulunmaya davet edilmelidir. Kendi inisiyatifleriyle indirilen yazılımların kötü amaçlı kod içerebileceği konusunda kendi iş gücünü duyarlı hale getiren herkes, içeriden kasıtsız faillerin önlenmesini sağlayacaktır.
Eğitim ve atölye çalışmaları
Tehlikeleri daha başlangıç aşamasında önlemek için onları bilmeniz ve tanıyabilmeniz gerekir. Siber suçluların taktikleri o kadar hızlı gelişiyor ki hiçbir çalışanın en son dolandırıcılık olaylarından haberdar olması beklenemez. En azından GenKI'nin olanakları sayesinde, kimlik avı e-postaları artık güvenilir büyük markalardan gelen e-postaların o kadar gerçek taklitleri haline geldi ki, yanlışlıkla kirlenmiş bir bağlantıya tıklamak ve dolayısıyla yanlışlıkla bir bilgisayar korsanının suç ortağı olmak çok kolay. Seslerin yapay zekayla kopyalanmasıyla sesli kimlik avı ve tehdit göstergelerinin tespiti gibi modern kimlik avı ve sosyal mühendislik yöntemlerine ilişkin düzenli eğitimler, çalışanların bu risklere ilişkin farkındalığını güçlendirir ve onlara bunları tanımayı öğretir. Çalışanlar arasındaki güveni güçlendirebilecek yararlı bir ekip oluşturma önlemidir.
Kullanıcı etkinliği izleme ve sıfır güven
Sıfır güven yaklaşımı, her modern BT güvenliği çözümünün temel ilkesi haline geldi ve bunun iyi bir nedeni var: her türlü erişimin kötüye kullanılmasının antitezidir. 'Kimseye güvenmeyin ve güvenirseniz, o zaman ancak yeterli incelemeden sonra' sloganı budur. Ancak normal kullanım davranışı ile şüpheli kullanım davranışı arasında ayrım yapmak zor olabilir. Bu nedenle oturum açma davranışını izlemek ve kimlik erişim yönetimi (IAM) sistemlerini ve çok faktörlü kimlik doğrulamayı (MFA) kullanmak, olağandışı veya yetkisiz erişim girişimlerini erken tespit etmek için çok önemlidir. Bu tür sistemler, içeriden gelen tehditlerin zarar vermeden önce tespit edilmesine yardımcı olur ve herhangi bir kuruluşun saldırı yüzeyini önemli ölçüde azaltır.
Çalışan refahı
Güvenlik kültürünün sıklıkla gözden kaçırılan bir yönü çalışanların refahıdır. Düzenli kontroller ve çalışanların görüş ve endişelerinin ciddiye alındığını hissetmelerini sağlamak, çalışanların bilerek veya bilmeyerek bir güvenlik tehdidi haline gelme riskini azaltmaya yardımcı olabilir. Bu aynı zamanda çalışanların güvenlik önlemlerini ciddiye alma, kendilerini ve çalışma ortamlarını korumaya özen gösterme motivasyonunu da artırıyor. Personel arasındaki iç çatışmalar da sabotaj eylemlerinde belirleyici bir faktör olabilir. Açık iletişim, arabuluculuk ve tahkim yoluyla bunun önlenmesi sonuçta yalnızca çalışma ortamına değil aynı zamanda uyumluluğa da yardımcı olur. Çünkü çalışanlar kendilerine saygıyla davranılıyor ve dinleniliyorsa neden işverene karşı çıksınlar ki?
İç tehditlere karşı insanlık ve teknoloji
İçeriden gelen tehditler büyüyen bir tehdittir ancak bu, güven veren bir kurum kültürünün, herkesin köstebeği bulmak için birlikte çalıştığı ve artık kimsenin kimseye güvenmediği bir casus gerilim filmine dönüşmesi gerektiği anlamına gelmez. İçeriden gelen tehditlerin önlenmesi, hem teknik erişim yönetimi önlemlerini hem de olumlu bir kurumsal kültürün desteklenmesini içeren kapsamlı bir yaklaşımı gerektirir. Kimlik Yönetimi şemsiyesi aynı zamanda CISO'ların ve BT yöneticilerinin dahili risk kaynaklarını hızlı bir şekilde tespit edip ortadan kaldırmak için ihtiyaç duyduğu tüm araçları bir araya getirir. Ancak kasıtsız veya planlı içeriden gelen tehditlerle mücadele etmenin en etkili yolu hâlâ işverenlerine karşı iyi niyetli ve aynı zamanda dolandırıcılık konusunda eğitimli çalışanlardır.
Daha fazlası Omada.com'da
Omada Hakkında
2000 yılında kurulan Omada, kanıtlanmış en iyi uygulama süreç çerçevemiz ve uygulama yaklaşımımızı temel alarak karmaşık hibrit ortamlar için yenilikçi kimlik yönetimi sağlar.
Konuyla ilgili makaleler