Çoğu şirket, siber suçla mücadelede dış saldırganlara odaklanır. Ancak kendi saflarında da büyüyen bir tehdit pusuda bekliyor. FireEye Mandiant'taki BT güvenlik uzmanları, 33'deki tüm güvenlik olaylarının yüzde 2021'ünün içeriden gelen tehditlerden kaynaklanacağını tahmin ediyor. Şirketler kendilerini korumak için ne yapabilir?
Meşru erişim her şeyden önce gelir; çalışanlar buna sahiptir ve saldırganlar bunu ister. Kapıdaki en iyi güvenlik kilidi, suçlu zaten içerideyse işe yaramaz. Her suç fanatiği bunu bilir. Şirketin kendi saflarından gelen siber saldırılarda da durum benzer. Failler gerçekten güvendiğimiz insanlar olduğu için özellikle tehlikelidirler. İçeriden gelen tehditlerin sayısının önemli ölçüde artması daha da endişe verici. 2019 ve 2020'de Mandiant ekipleri, iş açısından kritik sistemleri tehlikeye atan, gizli verileri ifşa eden veya işverenlerine şantaj yapan içeriden her zamankinden daha fazla vaka gördü. Bu tür olaylar önemli mali zararlara neden olabilir ve itibar zedelenmesine neden olabilir.
İçeriden saldırıların arkasında kim var?
İçeriden gelen tehditlerin çoğu, hiçbir kötü niyeti olmayan, bunun yerine bilgisayar korsanlarına dikkatsizlik yoluyla bir geçit sağlayan ihmalkar çalışanlara kadar izlenebilir. Bununla birlikte, içeriden kişiler tarafından yapılan hedefli saldırılar da vardır. Tıpkı dış aktörlerin saldırıları gibi, bunlar genellikle daha uzun bir süre boyunca gerçekleşir. Saldırganlar genellikle fark edilmeden faaliyetlerini gizlemeye çalışırlar. Hatta bazı durumlarda, dikkati kendilerinden uzaklaştırmak için diğer çalışanların hesaplarını bile kullanırlar.
İçeriden gelen saldırıların arkasında artık sadece eski işvereninden intikam almak veya ondan çalmak isteyen hoşnutsuz eski çalışanlar yok. Temelde, ağlara, sistemlere ve verilere erişimi olan herkes potansiyel bir risk oluşturur.Bu, kendi çalışanınız olabileceği gibi iş veya tedarik zinciri ortağınız da olabilir. Önemli fikri mülkiyete sahip kuruluşlar veya birleşen, satın alınan veya önemli değişikliklere ve zorluklara maruz kalan şirketler, kötü niyetli kişilerin kurbanı olma riskini artırır.
Beklenenin aksine, günümüzde aktörler genellikle tek başlarına değil, uyarıları ve soruşturmaları engelleyen BT yöneticileri ve içeriden gelen tehdit ekibi üyelerini içeren gruplar halinde hareket etmektedir. Bu grubun kısmi üyeleri, veri erişimi ve hırsızlığı sağlamak için teknik faaliyetler yürüten suç ve hatta devlete bağlı kuruluşlar gibi şirketlerin dışındadır.
En yaygın dört içeriden tehdit
Zorunlu müfettişler, pratikte çeşitli türde içeriden saldırıları incelediler. Dört trend ortaya çıkıyor:
Dijital Şantaj
İçerideki kötü niyetli kişi, çalınan verileri yayınlamakla tehdit eder ve dışarıdan bir bilgisayar korsanı gibi davranabilir. İçeriden biri genellikle Bitcoin gibi bir dijital para biriminde fidye talep eder.
endüstriyel casusluk
Bu senaryoda, kötü niyetli kişi fikri mülkiyeti çalar ve verileri tazminat veya bir iş fırsatı için hükümet aktörleri dahil üçüncü taraflarla paylaşır.
Varlık İmhası
İçeriden kötü niyetli kişi, iş açısından kritik sistemleri bozmaya, operasyonel bir arızaya neden olmaya veya önemli veri stoklarını yok etmeye çalışır.
Stalking
Mandiant Küresel Devlet Hizmetleri ve İçeriden Gelen Tehdit Güvenlik Çözümleri Genel Müdürü Jon Ford (Resim: FireEye).
İçeriden kötü niyetli kişi, kişisel bilgileri elde etmek için hassas çalışan verilerine veya iş arkadaşlarının kullanıcı hesaplarına erişim sağlar.
Şantaj girişimleri söz konusu olduğunda, şirketler büyük bir baskı altındadır: taleplere uymalılar mı yoksa içeriden öğrenenleri olabildiğince çabuk tespit etmeye mi çalışmalılar? Ya bu zamanında olmazsa? Saldırı senaryolarını anlamak ve failleri takip etmek karmaşıktır. Bir şantaj girişiminde güvenlik ekipleri için temel zorluklar şunlardır: 1) verilerin gerçekten çalınıp çalınmadığını belirlemek ve 2) içeriden öğrenilen bir olay ile kötü niyetli bir üçüncü tarafın saldırısını ayırt etmek. Bu, teknik adli tıp, tehdit istihbaratı ve geleneksel soruşturma yöntemlerinin bir kombinasyonunu gerektirir. Harici uzmanlar bunun için bağımsız analizler ve önemli uzmanlık sağlar.
Bu sayede şirketler içeriden öğrenilen risklere karşı kendilerini koruyabilirler.
Kuruluşların teknoloji ile uyanıklığı birleştirmeleri ve içeriden gelen saldırıları etkili bir şekilde tespit etmek için düzenli eğitim yoluyla çalışanlarını içeriden gelen tehditlerin tehlikeleri konusunda eğitmeleri gerekir. Bir şeylerin olmasını en başta önlemek için şirketler, içeriden gelen tehditlerin oluşturduğu tehlikenin farkında olmalı ve uygun koruyucu önlemleri almalıdır. Riskleri en aza indirmek için beş ipucu:
- İçeriden gelen bir tehdit veri kaybı önleme çözümüne yatırım yapın. Kötü niyetli davranışı tanır, alarm verir ve gerekirse eylemleri engelleyebilir. Çözüm, hem internet bağlantısıyla hem de internet bağlantısı olmadan çalışmalıdır.
- Erişim kontrolleri ile ağlarınızdaki tüm ortamları koruyun. Her kullanıcıya, geliştiriciye ve yöneticiye yalnızca günlük çalışmaları için kesinlikle ihtiyaç duydukları haklar verilmelidir. Şirket içi ve bulut ortamlarında yeni hesap oluşturmasına izin verilen çalışan sayısını en aza indirin.
- Günlük verilerini ve olay toplamayı bir SIEM'e (Güvenlik Bilgileri ve Olay Yönetimi) gönderin. Bu, günlüklerin gerçekliğini sağlar ve bir saldırganın bunları silmesini veya manipüle etmesini önler.
- Ağ bölümlemesini uygulayın. Ağ alanlarını güvenlik kontrolleri ile ayırarak bir saldırganın kısıtlama olmaksızın yayılmasını engellersiniz. Ayrıca, çok hassas ve daha az güvenilir ortamlar arasındaki gereksiz trafiği de sınırlamalısınız. Genel olarak erişilebilir olması gerekmeyen tüm sistemler, genel erişimden ayrılmalıdır.
- Güvenli kalkış sağlayın. Bir çalışan şirketten ayrılırsa, ağ erişimini hemen engellemelisiniz. Kişinin erişimi olan tüm SSH anahtarları, PEM dosyaları ve parolaları tüm ortamlar için değiştirilmelidir. Çok faktörlü kimlik doğrulama (MFA) da hemen devre dışı bırakılmalıdır.
Düzenli değerlendirmeler önemlidir
Kurumların içeriden gelen tehdit riskini azaltmak için veri kaybı önleme süreçlerine, SIEM işlevselliğine, davranış analitiğine ve özel bir ekibe ihtiyacı vardır. İnsanlar, süreçler ve araçlardan oluşan üç temel alan burada dikkate alınmalıdır. İçeriden gelen tehditlere yönelik soruşturmalar, profil oluşturmayı reddeden ve yasal incelemeye uygun kanıtlara dayanmalıdır. Şirket dışı uzmanlar, yatırımı en üst düzeye çıkarmak, yeni bir içeriden tehdit programının oluşturulmasını hızlandırmak veya sektör genelinde yıllarca en iyi uygulamaları kataloglamaya dayalı olarak mevcut bir programı geliştirmek için mevcut yetenekleri gözden geçirebilir. Gereksinimler hızla değişebileceğinden, güvenlik değerlendirmelerinin düzenli olarak yapılması önemlidir. Güvenlik açıklarını ortaya çıkarmayı ve güvenlik duruşunu sürekli iyileştirmeyi mümkün kılarlar. Bu şekilde şirketler, içeriden gelen saldırılara ve bunların etkilerine karşı kendilerini etkili bir şekilde korumak için bireysel bir yol haritasına sahip olur.
Daha fazlası FireEye.com'da
Trellix Hakkında Trellix, siber güvenliğin geleceğini yeniden tanımlayan küresel bir şirkettir. Şirketin açık ve yerel Genişletilmiş Algılama ve Yanıt (XDR) platformu, günümüzün en gelişmiş tehditleriyle karşı karşıya olan kuruluşların operasyonlarının korunduğu ve dirençli olduğu konusunda güven kazanmasına yardımcı olur. Trellix güvenlik uzmanları, kapsamlı bir iş ortağı ekosistemiyle birlikte, 40.000'den fazla işletme ve devlet müşterisini desteklemek için makine öğrenimi ve otomasyon yoluyla teknolojik yeniliği hızlandırır.