Günümüzün modern işletmelerinin sorunsuz çalışması, çok sayıda çalışana bağlıdır. Ancak bu, hassas kurumsal bilgilere her zaman yüzlerce veya binlerce mevcut veya eski çalışan, satıcı, ortak veya yüklenici tarafından erişilebileceği anlamına gelir. Siber güvenlik uzmanlarının buna "iç tehdit" dediği şey. Bu kişiler kuruma zarar vermek için paylaşılabilecek veya kullanılabilecek bilgilere, verilere veya kaynaklara erişim izni verildiği için içeriden kişilerdir. Siber güvenlikte içeriden gelen tehditlerin tüm konusu, ne oldukları, nasıl tanımlanacakları, neden tehlikeli programlar oldukları ve nasıl önlenebilecekleri dahil olmak üzere bu makalede ele alınacaktır.
Siber Güvenlikte İçeriden Gelen Tehditler Nelerdir?
Şirketiniz için çalışan ve kritik bilgilerin kullanılabilirliğini, gizliliğini veya bütünlüğünü tehlikeye atan bir kişi, içeriden tehdit olarak kabul edilir. Bunu istemeden özel bilgileri ifşa ederek, bir aldatmacaya kanarak, mülkü kırarak, şirket ekipmanını kaybederek veya kasıtlı olarak sistemleri bozarak başarabilirler.
Muhtemel bir iç tehdit, hassas verilere veya kaynaklara erişimi olan kişilerdir. Buna personel, taşeronlar ve ortaklar dahildir. Eski çalışanlar şirketten ayrıldıktan sonra gizli bilgilere erişmeye devam ederse, içeriden tehdit oluşturabilirler.
İçeriden Tehdit Türleri
Siber güvenliğe yönelik içeriden gelen tehditler, kötü niyetli aktörler veya ihmalkar personel olarak sınıflandırılabilir. Bu bölümde, birbirlerinden nasıl farklılaştıklarını ve neden tehdit oluşturduklarını tartışacağız.
1 numara. Kötü niyetli içerdekiler
İçeriden kötü niyetli biri, kasıtlı olarak gizli bilgileri elde eden veya bir şirketin altını oyan kişidir. Bunu, ya çalınan verileri dolandırıcılık yapmak için kullanarak ya da rakip bir şirket ya da bilgisayar korsanı çetesi gibi üçüncü bir tarafa satarak mali çıkar sağlamak için yaparlar.
Misilleme, içerideki kötü niyetli kişilerin arkasındaki diğer bir itici güçtür. Bu, en sık, eski şirketlerine karşı kızgınlık besleyen, yakın zamanda işten atılan kişilerde görülür. Bina anahtarının hâlâ onlarda olması veya işyeri oturum açma kimlik bilgilerinin hâlâ geçerli olması nedeniyle, kişinin önemli sistemlere hâlâ erişimi varsa sorun yaratması muhtemeldir.
İntikam, mevcut işçilere de ilham verebilir. Bu genellikle, kendilerine yeterince değer verilmediğini hissettiklerinde veya bir terfi için geçiştirildiklerinde ortaya çıkar. Şirketin sistemlerine erişimlerini kullanarak operasyonları kesintiye uğratabilir veya gizli verileri çalabilirler.
2 numara. İhmalkar içeridekiler
Bir iş cihazını kaybetme veya bir kimlik avı dolandırıcılığına düşme gibi çalışan hataları, ihmalkar içeriden risklere neden olabilir. Bu bölümler iki alt kategoriye ayrılabilir. Birincisi, bazı çalışanlar sağduyulu muhakemede bulunurken hafifletici nedenler nedeniyle veri güvenliği yasalarını ihlal ediyor. Örneğin, fazla çalıştıkları veya dikkatlerinin dağıldığı için hata yapmış olabilirler.
Tersine, bazı ihmalkâr içerideki kişiler sürekli olarak kanunları çiğnerler ve personel bilinçlendirme programlarına çok az ilgi gösterirler. Sık sık kuruluşun politikalarının ve süreçlerinin gereğinden fazla bürokratik olduğu veya davranışlarını savunmak için çok elverişsiz olduğu argümanını kullanırlar.
Hatta bir veri ihlali olmamasını iddialarına destek olarak gösterebilirler. Eğer öyleyse, bir noktada bir veri ihlali olacağı neredeyse kesindir ve bunun nedeni yargıdan çok şanstır.
İçeriden Gelen Tehditler Ne Kadar Yaygın?
İçeriden gelen tehditler, siber güvenlik için sürekli bir endişe kaynağıdır. Cybersecurity Insiders'ın 2021 İçeriden Tehdit Raporunda, neredeyse tüm işletmeler (%98) içeriden gelen saldırılara maruz kaldıklarını hissettiklerini belirtti.
Bu olaylar sık sık görülse de, onları yorumlamak zordur. Çoğu durumda, veri ihlalinin kesin kaynağı bilinmiyor ve zararı tahmin etmek zor. Cybersecurity Insiders tarafından yapılan bir araştırmaya göre, firmaların yalnızca %51'i içeriden gelen tehditleri tespit edebildi veya bunu ancak veriler ele geçirildikten sonra yapabildiler.
Bu arada, yanıt verenlerin %89'u içeriden gelen tehditleri izleme, tespit etme ve bunlara yanıt verme becerilerinin etkili olmadığını düşündüklerini ve %82'si bir saldırının gerçek maliyetini değerlendirmenin zor olduğunu söyledi.
İçeriden Gelen Tehditleri Tespit Etme
İster kötü niyetli ister ihmalkar bir davranış arıyor olun, içeriden öğrenilen riskleri belirlemenin en iyi yolu, olağandışı çalışan davranışlarına dikkat etmektir.
Bir çalışan, örneğin işte mutsuz görünüyorsa, kişisel olarak ve yazı yazarken daha az profesyonelce davranabilir. Ayrıca yıldızlardan daha az iş üretebilirler ve işe geç gelmek veya işe erken gitmek gibi başka itaatsizlik eylemleri sergileyebilirler.
Garip saatlerde çalışmak bazen bir şüphe işareti olabilir. Bir çalışan, gece yarısı sistemlerine giriş yaparsa şirketinin bilmesini istemeyeceği bir şey yapıyor olabilir.
Son örneğe benzer şekilde, çok fazla trafik varsa, bu, bir çalışanın özel verileri kişisel bir sabit diske kopyalayarak hileli bir şekilde kullanabileceği anlamına gelebilir.
Yine de en aydınlatıcı olan, çalışanın işleri için genellikle ihtiyaç duymadığı kaynakları kullanmasıdır. Bu, bilgileri dolandırıcılık veya üçüncü bir tarafla paylaşma gibi uygunsuz amaçlarla kullandıkları anlamına gelir.
İçeriden Gelen Tehditleri Önleme
Şirketinizin dijital varlıklarını iç tehlikelere karşı savunabilirsiniz. Nasıl? Okumaya devam etmek.
1 numara. Önemli varlıkları koruyun
Şirketiniz için en önemli mantıksal ve fiziksel varlıkları belirleyin. Bunlar ağlardan, sistemlerden, özel bilgilerden (müşteri verileri, çalışan bilgileri, şemalar ve karmaşık iş planları gibi), fiziksel varlıklardan ve personelden oluşur. Her varlığın korunmasının mevcut durumunu belirleyin, varlıkları önem sırasına göre derecelendirin ve her bir temel varlığı kavrayın. Doğal olarak, en yüksek önceliğe sahip varlıklar için maksimum düzeyde iç tehdit koruması sağlanmalıdır.
2 numara. Ortalama bir normal kullanıcı ve cihaz etkinliği belirleyin.
İçeriden gelen tehdit izleme yazılımı çeşitli biçimlerde gelir. Bu sistemler, kullanıcı etkinlik bilgilerini merkezileştirmek için başlangıçta erişim, kimlik doğrulama, hesap değişiklikleri, uç nokta ve sanal özel ağ (VPN) kayıtlarından veri toplayarak çalışır. Bu bilgileri, özel bilgilerin taşınabilir ortama indirilmesi veya bir kullanıcının alışılmadık oturum açma konumu gibi belirli olaylarla ilişkili kullanıcı davranışını modellemek için kullanın ve bu davranışa risk puanları verin.
3 numara. Arttırılmış farkındalık
2019'da gelişmiş tehditlerle ilgili bir SANS anketine katılanların üçte birinden fazlası, içeriden kötüye kullanımın görünür olmadığını kabul etti. Çeşitli kaynaklardan etkinlik verilerinin derlenmesi ve ilişkilendirilmesinin yanı sıra kullanıcı davranışını sürekli olarak izleyen araçların devreye alınması çok önemlidir. Örneğin, içerideki hain kişileri kandırmak, davranışlarını izlemek ve motivasyonlarını anlamak için tuzaklar kuran siber aldatma araçlarını kullanabilirsiniz. Mevcut veya gelecekteki saldırıları tanımak veya önlemek için bu veriler daha sonra diğer iş güvenliği çözümlerine sağlanacaktır.
#4. Politikaları uygula
Kuruluşun güvenlik politikaları tanımlanmalı, belgelenmeli ve paylaşılmalıdır. Aynı zamanda uygulama için uygun çerçeveyi oluşturarak belirsizliği önler. Hiçbir çalışan, yüklenici, satıcı veya ortak, firmasının güvenlik politikası için hangi davranışın uygun olduğundan emin olmamalıdır. Ayrıcalıklı bilgileri yetkisiz kişilerle paylaşmaktan kaçınma yükümlülüklerinin farkında olmalıdırlar.
# 5. Kültürel değişimleri teşvik edin
İçeriden öğrenilen riskleri belirlemek çok önemli olsa da, kullanıcıları uygunsuz davranışlardan caydırmak daha akıllıca ve daha ucuzdur. Bu bağlamda amaç, güvenlik bilincine ve dijital dönüşüme yönelik kültürel bir değişimi teşvik etmektir. Uygun değerleri aşılamak, dikkatsizliği önlemeye ve zararlı davranışların nedenleriyle başa çıkmaya yardımcı olabilir. Çalışan memnuniyeti, hoşnutsuzluğun erken uyarı sinyallerini tespit etmek için sürekli olarak ölçülmeli ve iyileştirilmelidir. Çalışanlar ve diğer paydaşlar, kendilerini güvenlik sorunları hakkında bilgilendiren güvenlik eğitimlerine ve bilinçlendirme programlarına sık sık katılmalıdır.
İçeriden Tehditler Programı
İçeriden gelen tehdit erken uyarı işaretlerini belirlemek, içeriden gelen tehditleri önlemek veya etkilerini en aza indirmek için denenmiş ve doğru bir yöntem, etkili ve tutarlı bir içeriden tehdit programı geliştirmektir. Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) Özel Yayını 800-53'e göre, bir iç tehdit programı "hassas bilgilerin yetkisiz ifşasını tespit etmek ve önlemek için organize edilmiş, merkezi yönetim altında koordine edilmiş bir yetenekler grubudur." Sıklıkla, "iç tehdit yönetimi programı" veya "çerçeve" olarak adlandırılır.
İçeriden öğrenenlere yönelik bir tehdit programı genellikle, iç riskleri belirlemeye, bunları ele almaya, etkilerini azaltmaya ve kurum içinde içeriden gelen tehdit farkındalığını artırmaya yönelik adımlardan oluşur. Ama önce, bir içeriden gelen tehdit programının bileşenlerine ve bir programı devreye sokmak için en iyi uygulamalara daha fazla girmeden önce, zamanınızı ve paranızı böyle bir programa yatırmanın neden değerli olduğuna bir bakalım.
Etkili Bir İçeriden Öğrenen Tehdit Programı Oluşturma Adımları
İçeriden gelen tehdit programınızdan en iyi şekilde yararlanmanıza yardımcı olmak için bu 10 adımlık kontrol listesini geliştirdik. İşletmenizi içeriden gelen tehditlere karşı korumak için uygulayabileceğiniz 10 yöntemi burada bulabilirsiniz.
1 numara. İçeriden öğrenilen risklerle mücadele etmek için bir program oluşturmaya hazırlanın.
Bir iç tehdit programını başarılı bir şekilde oluşturmak, size çok zaman kazandıracak ve uzun vadede işinize yarayacak hazırlık gerektirir. Bu adımda mevcut siber güvenlik önlemleri, uyumluluk standartları ve paydaşlar hakkında toplayabildiğiniz kadar çok veri toplayın ve programın hangi sonuçları sağlamasını istediğinize karar verin.
2 numara. Risk analizi yapın.
İçeriden gelen bir tehdit programının temeli, hangi varlıkları hassas olarak değerlendirdiğinizi tanımlamaktır. Müşteri ve çalışan bilgileri, teknolojik ticari sırlar, fikri mülkiyet, prototipler vb. gibi bu varlıklar hem maddi hem de maddi olmayan olabilir. Bu tür varlıkları ve onlara yönelik potansiyel tehlikeleri bulmanın en iyi yolu, bir dış veya iç tehdit risk değerlendirmesi yapmaktır.
#3. Programı geliştirmek için ne kadar fon gerektiğini belirleyin.
Başarılı bir içeriden tehdit programı oluşturmak zaman ve çaba gerektirir. Başlamadan önce, bu tür bir programı uygulamanın bir siber güvenlik departmanından daha fazlasını gerektirdiğini anlamanız çok önemlidir.
#4. Üst yönetimin desteğini alın.
Bu aşamada, önceki adımlarda elde edilen verileri, programı eyleme geçirmek için kilit paydaşların desteğini kazanmak için kullanabilirsiniz. CEO, CFO, CISO ve CHRO sıklıkla önemli paydaşlar listesinde yer alır.
# 5. İçeriden gelen tehditlere yanıt vermek için bir ekip oluşturun
Tespitten düzeltmeye kadar tehdit yönetiminin tüm aşamalarından sorumlu çalışanlardan oluşan bir ekip, "iç tehdit yanıt ekibi" olarak bilinir. Sanılanın aksine bu ekip sadece BT uzmanlarından oluşmamalıdır.
#6. İçeriden gelen tehditleri tespit etmenin en iyi yollarını belirleyin.
İçeriden gelen tehditlere karşı savunmanızın en önemli yönü, erken teşhistir çünkü hızlı müdahale sağlar ve onarım maliyetini düşürür. PCI DSS, HIPAA ve NIST 800-171 uyumluluğuna yönelik yazılımların sıklıkla bir tehdit algılama bileşeni içermesinin nedeni budur.
#7. Olay reaksiyon planları oluşturun.
Müdahale ekibiniz, fark edilen bir tehlikeye hızla yanıt vermek için tipik içeriden saldırı senaryolarını uygulamalıdır. İçeriden gelen bir tehdide müdahale stratejisinin en önemli yönü, pratik ve gerçekleştirmesinin basit olması gerektiğidir.
# 8. Olayların araştırılmasını ve düzeltilmesini planlayın.
İçeriden öğrenilen riskleri azaltmak için siber güvenlik sorunlarının yanı sıra olası düzeltici önlemleri araştırmak için sürecinizi planlayın.
# 9. Personelinizi bilgilendirin.
Bir eğitim kursunun konuları, belirli bir firma tarafından kullanılan güvenlik tehditlerine, kaynaklara ve yöntemlere bağlı olarak değişecektir. İç tehdit farkındalığı eğitiminin başarısının değerlendirilmesi son adımdır. Bunu, personel üyelerinizin nasıl tepki verdiğini gözlemlemek için çalışan görüşmeleri yaparak, testler oluşturarak veya içeriden bir saldırı simülasyonu yaparak yapabilirsiniz.
# 10. Programınızı düzenli olarak gözden geçirin.
İçeriden bir tehdit programı oluşturmak sürekli bir süreçtir. Programınızın etkili olabilmesi için içeriden gelen tehditlerin değişmesi ve daha karmaşık ve tehlikeli hale gelmesi gerekir.
İçeriden Gelen Tehditler Neden Bu Kadar Tehlikelidir?
Gelişmiş tehditlerle ilgili bir SANS raporuna göre, içeriden gelen tehdit savunmasında büyük boşluklar bulundu. Bu boşluklar, kaba kuvvet ve kimlik avı gibi sosyal mühendislik saldırılarının ana hedefleri olan ayrıcalıklı kullanıcı hesaplarının erişim kontrolü yönetiminin yanı sıra normal kullanıcı davranışına ilişkin temel verilerin eksikliğinden kaynaklanır.
En iyi güvenlik ekipleri, içeriden gelen tehditleri belirlemekte hala zorluk yaşıyor. Tanım gereği, içerdekilerin şirketin varlıklarına ve bilgilerine yasal erişimi vardır. Meşru faaliyet ile zararlı davranış arasındaki farkı söylemek zordur.
Rollere dayalı erişim yönetimi, yetersiz bir kontroldür çünkü içerideki kişiler sıklıkla hassas verilerin nerede tutulduğunu bilir ve meşru erişim taleplerine sahip olabilir, bu da sorunu şiddetlendirir.
Bu nedenle, içeriden kaynaklanan bir veri ihlali, dış tehdit aktörlerinin neden olduğu bir veri ihlalinden önemli ölçüde daha pahalıdır. Araştırmacılar, Ponemon Enstitüsü'nün 166 Veri İhlalinin Maliyeti Raporunda, kötü niyetli veya suçlu bir saldırı için kayıt başına ortalama maliyetin 132 ABD doları olduğunu, sistem hataları için 133 ABD doları ve insan hataları için 2019 ABD doları olduğunu buldu.
İçeriden gelen tehditlerin kabaca veri ihlallerinin (Verizon) üçte birinden ve siber saldırıların (IBM) yüzde 60'ından sorumlu olduğunu düşündüğünüzde, içeriden bir tehdit programı oluşturmanın neden akıllıca bir yatırım olduğunu anlayabilirsiniz.
İçeriden Tehdit Tespit Çözümleri
Dış tehditlere odaklanan güvenlik duvarları ve izinsiz giriş tespit sistemleri gibi tipik güvenlik çözümlerinden gizlendikleri için, içeriden gelen tehditleri tespit etmek veya önlemek, dışarıdan gelen saldırılara göre daha zor olabilir. Yürürlükteki güvenlik önlemleri, bir saldırgan yetkili bir oturum açmadan yararlanırsa olağandışı davranışı fark edemedi. Ayrıca, kötü niyetli kişiler bir kuruluşun güvenlik protokollerine aşina iseler, tespit edilmekten daha kolay kurtulabilirler.
Tek bir çözüme güvenmek yerine, tüm varlıklarınızı korumak için içeriden gelen tehdit algılama stratejinizi çeşitlendirmelisiniz. Etkili bir içeriden gelen tehdit algılama sistemi, yalnızca içeriden öğrenenlerin faaliyetlerini izlemek için değil, aynı zamanda çok sayıda uyarıdan yanlış pozitifleri ayıklamak için çeşitli yöntemleri entegre eder.
Veri akışını değerlendirmek ve en önemli uyarıları sıralamak için makine öğrenimi (ML) uygulamaları kullanılabilir. Olası içeriden öğrenilen riskleri belirlemeye, analiz etmeye ve güvenlik ekibine bildirmeye yardımcı olması için, Kullanıcı ve Olay Davranışı Analitiği (UEBA) gibi dijital adli tıp ve analitik teknolojilerini kullanabilirsiniz.
Veritabanı etkinliği izleme, ilke ihlallerini tespit etmeye yardımcı olabilirken, kullanıcı davranışı analitiği, tipik veri erişim etkinlikleri için bir temel oluşturabilir.
En yaygın iç tehdit nedir?
En tipik içeriden tehditler
- Aşırı Ayrıcalıklı Erişim
- Ayrıcalığın Kötüye Kullanılması
- SQL Injection
- Zayıf Denetim İzi
- Veritabanı Tutarsızlıkları
- Kimlik Avı Saldırıları
İçeriden gelen tehditler için 3 ana motivasyon nedir?
- Kötü Niyetli: Mali kazanç peşinde koşmak veya bir suçun cezasını çekmek
- İhmalkar: Dikkatsiz veya cahil
- Uzlaşma: Temsil ettikleri tehlikenin farkında olmadan
İçeriden gelen bir tehdidin 3 aşaması nedir?
İçeriden gelen tehditleri azaltmanın temel adımları, tanımlamak, tespit etmek, belirlemek, değerlendirmek ve yönetmektir.
Bir içeriden tehdit aktörünün en önemli 5 göstergesi nedir?
- İçeriden gelen tehdit türleri
- yetersiz eğitim
- Etkisiz süreçler.
- İş yerinde memnuniyetsizlik.
- Finansal zorluklar.
Üç ana tehdit türü nelerdir?
Doğal tehditler (depremler gibi), fiziksel güvenlik tehditleri (ekipmanı tahrip eden elektrik kesintileri gibi) ve insan tehditleri (dahili veya harici olabilen siyah şapkalı saldırganlar gibi) en geniş üç kategoridir.
Neler içeriden tehdit sayılmaz?
Güvenilir olmayan, tanımlanamayan bir dış kaynaktan gelen bir saldırı, içeriden gelen bir tehdit olarak kabul edilmez. Anormal trafik alışkanlıklarını tespit etmek için, içeriden gelen saldırılara karşı koruma sağlamak üzere gelişmiş izleme ve kayıt sistemlerine ihtiyaç vardır.
İlgili Makaleler
- SİBER TEHDİT İSTİHBARATI: Anlamı, Araçları, Analisti ve Maaşı
- INSIDER TRADING: Anlamı, Örnekleri ve Hisse Senetleri
- Müşteri Bağlılık Programları ve Fikirleri (+2023'de En Çok Oy Alan Programlar)
- Adli Muhasebe Nedir: Genel Bakış ve Nasıl Çalışır?
Referanslar
