Cisos risk hakkında düşündüğünde, genellikle bulut platformlarını, dizüstü bilgisayarları ve veri merkezlerini düşünürler. Ancak konferanslar, fuarlar, ürün lansmanları ve hissedar toplantıları gibi canlı etkinlikler farklı bir siber güvenlik maruziyeti getiriyor. Bu etkinlikler, insanları, cihazları ve hassas bilgileri tek bir yerde, genellikle sadece bir iki gün boyunca toplar. Bu onları çekici bir hedef yapar.
Etkinlikler ayrıca dijital ve fiziksel sistemleri birleştirir. Bir alandaki bir güvenlik açığı, diğerinde ihlale yol açabilir. Yine de birçok kuruluş, olayları bir güvenlik sorunu yerine bir lojistik sorunu olarak ele alıyor.
Olaylar bir risk mıknatısıdır
Saldırganlar zayıf noktalar ararlar. Olayların genellikle birkaçı vardır:
- Geçici Ağlar: Birçok etkinlik kamu Wi-Fi’ye veya kendi erişim noktalarınızı getirmeye dayanır. Bunlar her zaman güvenli değildir.
- Yüksek seyahat hacmi: Çalışanlar, normalden daha az korunabilecek dizüstü bilgisayar ve telefonlarla etkinliklere katılırlar. Bazıları halka açık yerlerde kişisel sıcak noktalar veya USB şarj cihazları kullanıyor.
- Kamu Programları: Konuşmacı listeleri, oturum konuları ve etkinlik hashtag’leri saldırganlara ikna edici kimlik avı kampanyaları oluşturmak için ihtiyaç duydukları tüm intel’i verebilir.
- Yeni veya denenmemiş teknoloji: Etkinlikler mobil check-in uygulamaları, NFC rozetleri, QR kodları ve kioskları kullanabilir. Bunların hepsi tehlikeye girebilir.
Birçok olay güvenlik sorunu fiziksel erişimle başlar. Bir satıcı, katılımcı ve hatta AV ekibinin bir parçası gibi davranan biri, sınırlı alanlara veya cihazları açık bağlantı noktalarına takabilir.
Ayrıca, NFC giriş anahtarları veya arka uç sistemlerine bağlanan etkileşimli ekranlar gibi ikiye katlanan akıllı rozetler gibi fiziksel varlığı dijital erişimle harmanlayan teknolojide bir artış var. Bu kurulumlar etkinliklerde yaygın olabilir, ancak iç sistemlerin şeklini nadiren denetler.
Tanıtım USB sürücüsü kadar basit bir şey bile risk oluşturabilir.
Canlı bir siber güvenlik etkinliği planlarken, risk yönetimi ilk açılış konuşması başlamadan çok önce başlar. Span siber güvenlik arenası konferansını güvence altına alan Span’da Ciso Hrvoje Englman için, yaklaşım başka bir iş operasyonundan farklı değil.
“Katılımcıların harika bir deneyim yaşaması için neyin doğru gitmesi gerektiğini sorarak başlıyorsunuz,” ya da diğer taraftan yaklaşabilir ve neyin yanlış gidebileceğini sorabilirsiniz. ”
Etkinlik programından başlayarak, ekibi katılımcı deneyimini modernize etmenin yollarını araştırdığı için bu ikili perspektif çok önemli hale geldi. Tablodaki bir teklif, basılı programları gerçek zamanlı güncellemeler ve kişiselleştirilmiş oturum önerileri sağlayabilecek AI ile çalışan bir chatbot uygulamasıyla değiştirmekti.
Englman, “Fikir cazipti çünkü kullanıcı girdisine dayalı kişiselleştirilmiş oturum önerileri sunabilir ve gerçek zamanlı güncellemeler göndermemize ve programı dinamik olarak ayarlamamıza izin verecek” dedi.
Ancak değiş tokuş verilerdi. Chatbot’un uygulanması, katılımcılardan ek kişisel bilgilerin toplanması ve depolanması, güvenlik ve düzenleyici uyumluluk hakkında ciddi sorular ortaya çıkarmasını gerektirecektir.
“Sonunda, riskin çok yüksek olduğuna ve basılı programlara geri döndüğüne karar verdik” dedi. Tabii ki, bu karar kendi risklerini getirdi. Basılı bir program kendini güncelleyemez ve canlı etkinlikler hareketli parçalarla birlikte gelir. Hoparlörler düştüğünde veya son dakikada oturumlar değiştiğinde, boşluklar hızlı bir şekilde ortaya çıkabilir.
Sonra altyapı meselesi var. Uygulamalı öğrenme ve canlı gösteriler etrafında inşa edilmiş bir etkinlik için istikrarlı bir internet bağlantısı esastır. Bu gerçeklik, bayrak yarışmasını ve masterclass oturumlarını yakalamayı planlarken acı verici bir şekilde netleşti.
Englman, “Diğer konferanslarla olan deneyimimize dayanarak, Hotel Wi-Fi ve kişisel sıcak noktalara güvenmenin güvenilir bir seçenek olmadığını biliyorduk” dedi. “Bu riski azaltmak için kendi gereksiz İnternet bağlantımızı kurduk.”
Sonuç, inovasyonu operasyonel dikkatle dengeleyen daha yumuşak, daha güvenli bir olaydı. Konferans merkezlerine olduğu kadar yönetim kurulu odaları için geçerli olan bir derstir.
Etkinlik güvenliği bir siber zihniyeti hak ediyor
Canlı etkinlikler etrafındaki en büyük risklerin çoğu mekanın içinden gelmiyor. Herkes gelmeden günler önce çevrimiçi olarak başlarlar.
Bforeai’deki tehdit araştırması ve hafifletme lideri Abu Qureshi, “Çok gördüğümüz en çok gözden kaçan risk, olayla ilgili kimlik avı, dolandırıcılık ve kimliğe bürünmeye bağlı kötü niyetli alan altyapısıdır” dedi. “Kötü aktörler yüksek dikkatli etkinlikleri seviyorlar. Sahte bilet satışları, sahte canlı akışlar, sahte promosyonlar ve hatta etkinlik markasına bağlı kötü niyetli QR kodları sunan benzer alanlar kaydediyorlar.”
Bu sahte siteler ve alanlar, özellikle etkinliğin planlanması ve pazarlanmasında birden fazla departman katıldığında güvenlik ekiplerini geçebilir. Birçok durumda, katılımcılar onları işaretleyene kadar bildirilmezler.
Başka bir sorun alanı satıcı maruziyetidir. Etkinlikler genellikle medya ekiplerinden kayıt platformlarına ve rozet yazıcılarına kadar çeşitli üçüncü taraf hizmetleri getirir.
Qureshi, “Rutin olarak kaçırılan bir diğer alan da üçüncü taraf satıcı maruziyeti” dedi. “Medya ekipleri, etkinlik teknoloji platformları ve hatta rozet baskı hizmetleri genellikle zayıf siber hijyendir. Orada bir uzlaşma, katılımcı veri sızıntılarına veya hatta etkinlik sırasında ağ erişimine yol açabilir.”
Kötü aktörler de artık manuel olarak çalışmıyor. Qureshi, birçok tehdit kampanyasının artık otomatik olduğunu ve büyük olaylardan önce altyapıyı döndürdüğünü, genellikle AI tarafından oluşturulan içerik veya kimlik avı kitlerini hızlı bir şekilde ölçeklendirmek için döndürdüğüne dikkat çekti.
“İnsanlar, aktörlerin olayların etrafında ne kadar tehdit oluşturduğunu hafife alıyorlar” dedi. “Kötü niyetli altyapının kimlik bilgilerini toplama, kötü amaçlı yazılım yayma veya kripto dolandırıcılığı çalıştırma etkinliğinden günler önce ayağa kalktığı kampanyaları izledik. Dış saldırı yüzeyinin proaktif izlemesini yapmıyorsanız, yayından kaldırma ve bozulmayı öngörüyorsanız ve erken tehdit keşfini, sınırlı görünürlükle uçuyorsunuz.”
Önceden Planlama: Cisos ne yapabilir
Qureshi, “CISO’nun artık fiziksel ve siber güvenliği harmanlayan bütünsel bir yaklaşım benimsemesi bekleniyor” dedi. “Bu unsurların her ikisinin de yakınsamasıyla uğraşıyoruz.”
Bu yakınsama her türlü şekilde ortaya çıkar. Teknik tarafta, CISO’lar kablosuz tehdit algılamasını, olaya özgü ağ segmentasyonunu ve haydut erişim noktası izlemesini yönetiyor. Ama riskler burada bitmiyor.
Qureshi, “CISO’lar Wi-Fi’de canlı tehdit izleme, etkinlik ağı altyapısını güvence altına almak ve haydut erişim noktalarını tanımlamak gibi şeyleri düşünüyor olmalı” dedi. “Ama aynı zamanda etkinlik kaydına bağlı kimlik kimlik avı, etkinliği taklit eden kötü amaçlı alanlar veya etkinliği bir cazibe olarak kullanarak koordineli kampanyaları, özellikle de etkinliğin medyanın dikkatini veya marka değerine sahip olması gibi şeyleri tahmin etmeleri gerekiyor.”
Olayların diğer operasyonel riskler gibi ele alınması gerekir. Bu, güvenlik zamanından bir hafta önce değil, güvenliğin erken dahil olması anlamına gelir. İşte CISOS’un önerdiği birkaç adım:
İnceleme Satıcıları: Kayıt araçları, mobil uygulamalar, rozet sağlayıcıları ve AV yüklenicileri, diğer satıcılarla aynı üçüncü taraf risk kontrollerinden geçmelidir.
Ağı Segment: Dahili personel için ayrı bir ağ oluşturun. Kamu Wi-Fi’ye güvenmeyin ve gerekirse VPN ve izleme araçlarını kullanın.
Sıfır Güven Fikirleri uygulayın: Etkinlik ekibinizde bile kime erişebileceğini sınırlayın. Her cihazın potansiyel olarak tehlikeye atıldığını varsayın.
Tren Personeli: Çalışanlar bir etkinliğe katılmadan önce, bilinmeyen USB sürücüleri, şüpheli QR kodları ve doğrulanmamış Wi-Fi gibi kaçınmaları gerektiğine dair hızlı bir özet verin.
Kimlik avı için izleyin: Saldırganlar, etkinlik öncesinde, sırasında veya sonrasında katılımcılara sahte mesajlar gönderebilir. Buna dikkat edin.
Bazı kuruluşlar ayrıca yüksek profilli etkinlikler için kendi mini-SOC’lerini yürütüyorlar. Bu mümkün olmasa bile, ağ davranışı veya şüpheli girişler gibi bir şeyleri gerçek zamanlı olarak izlemesi bir fark yaratabilir.
Güçlü bir marka veya kamu profiline sahip etkinlikler genellikle sadece oportünistleri değil, aynı zamanda organizasyonu utandırmak veya sömürmek isteyen motive edilmiş saldırganları da çeker. Bu, Ciso’nun masasına yeni bir dizi sorumluluk getirdi.
Qureshi, “Çoğu durumda, CISO’ya yönelik beklentinin de itibar risk ve dezenformasyon tehditleri konusunda tavsiyelerde bulunduğunu gördüm” dedi. “Özellikle olaylar hacktivistler veya finansal olarak motive olmuş aktörler tarafından sevilen altyapı veya sahte promosyonlar kullanarak hedeflendiğinde.”
Bu değişim, bir etkinliğin güvence altına alınmasının artık kimliğe bürünme izlemesini, sahte siteler için yayından kaldırma isteklerini ele almayı ve bir şeyler ters giderse gerçek zamanlı olarak iletişim veya yasal ekiplerle çalışmayı içerdiği anlamına gelir. Birçok cisos için, tanıdık olmayan bir zemin ama giderek kaçınılmaz.