Olay ve İhlal Müdahalesi , Liderlik ve Yönetici İletişimi , Güvenlik Operasyonları
Güvenlik Direktörü Ian Keller, Kötü Kodlama Uygulamaları ve Çok Daha Fazlasından Bahsediyor
CyberEdBoard •
20 Aralık 2022
Bir organizasyonun içine girmenin ne kadar kolay göründüğüne hayret ediyorum. Ana akım medya, X Şirketi’nin ihlal edildiğine dair raporlarında, sanki birisi anahtarları kapıda unutmuş ve kapıyı gösteren büyük bir okla “Herkes için ücretsiz” sözcüklerini pompalayan bir neon tabela asmış gibi ses çıkarıyor.
Ayrıca bakınız: Canlı Web Semineri | Sektör Lideri Bir Üçüncü Taraf Güvenlik Risk Yönetimi Programı Oluşturma
Bazı durumlarda, birisi işini yapmadığı için başarısızlık meydana geldi. Daha ilk rantımda, işimizi gereği kadar yapamayacak kadar tembel olduğumuz için hackleniyoruz dedim. Bunun bir kısmı, müdürlerinize %100 güvenli bir sistem olmadığını ve her zaman artık risk olacağını – dolayısıyla risk kabulü gerektiğini söylemektir.
Ancak o neon tabela hakkında çıkan medya haberlerine dönersek, onları düzeltmiyoruz. Şirketleri savunmaya çalışan bizler, bir ihlalin olasılığını ve etkisini en aza indirmeye çalışan çok sayıda savunma katmanı olduğunu biliyoruz. Ayrıca hayatta kesin olan tek şeyin ölüm, vergiler ve güvenli bir sistemin olmadığı gerçeği olduğunu da biliyoruz.
Arka tarafı gibi kodlanmış bir API nedeniyle meydana gelen bir ihlal örneğini ele alalım – yani kodlayıcı, kişisel bilgileri tutan bir veritabanına tam, kimliği doğrulanmamış erişime izin verdi – ve üretime izin verdi. Evet, aptalcaydı ve sözde kaçınması kolaydı, ancak geriye dönüp bakıldığında 20/20. Bahse girerim, saldırganın bu açık API’yi bulması, istismar etmesi bir yana uzun zaman almıştır.
Bu ihlalde, saldırgan sonunda birlikte oynayabilecekleri bir API buldu. Daha sonra, içeride neler olup bittiğini görmek için sistematik olarak kapıyı kırdılar – ne olduğu için “yanal hareket” ve “ayrıcalık artışı” gibi süslü kelimeler kullanıyoruz. Ardından, kişisel bilgiler veya bir tür para birimine dönüştürebilecekleri herhangi bir şey olsun, cevheri altın için rafine etmeye başladılar.
Aradıkları hazineyi bulduklarında, yerinde olan veya olması gereken savunma katmanlarını değerlendirirler ve bu savunmaların ne kadar iyi izlendiğini öğrenmek için onları dürterler. Şirketin nasıl tepki vereceği, iyi planlanmış saldırılarını nasıl gerçekleştireceklerini belirler.
Bu hassas bir işlem gibi geliyorsa, doğru fikre sahipsiniz. Bu kadar iyi planlanmış – sadece altınlarını istedikleri ve haksız kazançlarını harcayabilmeleri ve hapiste çürümemeleri için. Burada anlattığım süreç, büyük olasılıkla bir yıllık bir çalışmaydı.
İhlal edilen şirketin genel görünürlük düzeyine bağlı olarak, CISO üzerindeki etkisi epik olabilir. En kötü durumda, geniş çapta duyurulan CISO kovulur ve herkes medya çoğunluğuna atlar ve CISO’nun etkisiz olduğunu söyler. Ancak CISO’nun şirket liderliğiyle yaptığı görüşmelerin ve onları söz konusu riskleri azaltmak için gereken riskler ve eylemler hakkında bilgilendiren bir kaydı, liderliğin CISO’nun ek fon veya personel talebini desteklemediğini muhtemelen gösterecektir.
Bu küçük bilgi hazinesi, gizlilik anlaşmalarımız ve onlar yeni kazançlı bir iş bulmaya çalışırken ceplerinde bir miktar nakit parayla çekip gitmek için CISO’nun imzalaması gereken karşılıklı ayrılık anlaşması nedeniyle medyaya asla ulaşmıyor.
İhlallerin çoğu basit bir işaretle ve tıkla uygulaması değildir ve bunlar genellikle sizi rahatsız etme amacı taşıyan DDOS saldırıları veya benzerlerini içerir. Sofistike bir saldırının amacı, verileri dışarı sızdırmaktır.
Günümüz ağlarının kapsamını ve karmaşıklığını anlıyor olsak da, bilgi güvenliği departmanının aynı anda her yerde olmasını, olup biten her şeyi bilmesini ve birisi tembelleşip API’sini arka yüzü gibi kodlayıp üretime soktuğunda bunu öğrenmesini bekliyoruz.
Ve tüm bunlar, sürekli değişen bir teknoloji ortamında bütçeleri azaltırken ve fazladan çalışan sayısı eklemeden yapılmalıdır. Söyleyecek çok şeyim var ama bu NSFW.
Topluluğa Katılın – CyberEdBoard.io.
üyelik başvurusu
Bir telekom şirketinde güvenlik müdürü olan Ian Keller, 30 yılı aşkın deneyime sahip bir bilgi güvenliği savunucusudur. Kariyerine, Ordu istihbaratında eğitmen olarak görev yaptığı Güney Afrika Savunma Kuvvetleri Savaş Okulu’nda başladı. Keller bu arka planı kurumsal dünyaya taşıdı ve ülkenin Beş Büyük bankasından biri için küresel bilgi güvenliği işlevinin oluşturulmasında etkili oldu. Daha sonra Güney Afrika’nın önde gelen kurumsal ve ticari bankalarından birinin bilgi güvenliği sorumlusu olarak atandı.