YORUM
Son yıllarda, büyük ölçekli mali ve itibar zararlarıkuruluşlara BT güvenliğinin değerini öğrettik. Kurumlardan üniversitelere kadar pek çok kuruluş, çok faktörlü kimlik doğrulama uygulamak, düzenli ISO 27001 denetimleri gerçekleştirmek, sosyal mühendislik eğitimleri vermek ve güvenlik önlemleri gibi gelişmiş güvenlik önlemlerini kullanıyor. hatta sızma testleri ve kırmızı takım tatbikatları bile yürütüyoruz. Bunun ötesinde, pek çok kuruluş, bağlı olmayan cihazların ağlarında serbestçe dolaşmasını önlemek için bireylerden cihazlarını kaydettirmelerini ve bunlara güvenlik politikaları uygulamalarını istemektedir. karmaşık şifreler kullanmak.
Oyunun aniden değiştiği yer burasıdır: Güvenlik kararlarının tamamen kuruluşun BT ekibine merkezileştirilmesi önemli riskler oluşturur. Spesifik olarak temel argümanımız, bu sorunun muhtemelen sistemleri tehlikeye atmak için casusluk tekniklerinin kullanımını artıracağıdır.
Şu senaryoyu düşünün: Büyük bir kuruluşun yöneticisi yarı zamanlı bir yüksek lisans programına kaydolur. Üniversite kaynaklarına ve e-postalarına erişmek için kişisel Windows dizüstü bilgisayarını üniversitenin ağına bağlar (örn. Ayarlar > Hesaplar > İşe veya okula erişim). Artık dizüstü bilgisayarı üniversitenin yönetimi tarafından yönetiliyor mobil cihaz yönetimi (MDM) sistem. Bunu sorarsa BT ekibi, bu kurulumun esas olarak güncellemeleri ve güçlü parola politikalarını sağlamaya yönelik olduğunu ve bunların hepsinin doğru olduğunu garanti edecektir.
Ancak ona muhtemelen söylenmeyecek olan şey, artık çok daha fazlasını yapabilecek teknik yeterliliğe sahip olduklarıdır. Birçok BT ekibi yapabilecekleri konusunda kendi sınırlamalarını koyar kendi cihazını getir (BYOD) Kullanıcı gizliliğine saygı gösterilmesi gereken durumlar. Ancak bu sınırlamalar politikaya dayalıdır ve hileli bir çalışan tarafından kolayca yeniden yapılandırılabilir. Örneğin, böyle bir kişi bir program yüklemeye, disklerini silmeye veya dosyalarını çalmak için bir komut dosyası çalıştırmaya karar verirse, MDM politikalarını bunu yapacak şekilde ayarlayabilir. Daha da kötüsü, hilekâr davranan bir BT ekibi üyesi yalnızca kendi makinesinde yapabileceği her şeyi yapmakla kalmıyor, aynı zamanda şirketinin ağında da yapabileceği her şeyi yapabiliyor.
Sektörler Arasında Risk
Bu durumda üniversite örneğini kullanmış olsak da elbette bu senaryo sadece eğitim kurumlarıyla sınırlı değil; Aynı riskler sağlık hizmetleri, şirketler ve hatta oyun gibi sektörlerde de mevcut. Bir BT ekibinin, örneğin bir MDM sistemi aracılığıyla, BT güvenliğini merkezi olarak kontrol etmesine izin verildiğinde, kötüye kullanım potansiyeli vardır.
Bu göz önüne alındığında, geleneksel casusluk teknikleri (özellikle bir çalışanı BT ekibine veya daha geniş bir organizasyona dahil etmek) suç örgütleri için geçerli bir model haline geliyor. Aslında, benzer düzeyde potansiyel parasal kazanç sağlayan (örneğin bir bankadan hırsızlık yapmak) diğer çoğu suç eyleminin aksine, bu sadece daha az riskli olmakla kalmaz, aynı zamanda çok daha az personel gerektirir (örneğin, BT’ye girme yolunda kandıran tek bir kişi). takım).
Bunun nedeni, çoğu durumda casusluğun, BT ekiplerine duyulan güvenden yararlanarak güvenlik kontrollerini tamamen atlamasıdır. Bunun aksine, sağlamlaştırılmış bir sisteme sızmaya çalışmak her türlü engeli beraberinde getirir. Örneğin, sıfır gün açığını kullanmayı deneyebilirsiniz, ancak bu çok yüksek miktarda paraya mal olur. Zerodium gibi aracılardan yararlanın sıfır gün satın almak için büyük meblağlar (örneğin 2,5 milyon dolar) ödeyinve sonra satarken karlarını toplama ekleyin. Buna karşılık, özellikle okul veya devlet hastanesi gibi daha düşük riskli bir ortama casus yerleştirmenin bedeli önemli ölçüde daha düşüktür. Ayrıca örgüte casus yerleştirmek, uzun süre bilgi ve erişim sağlayabilir.
Bu nedenle, merkezi BT kontrolüne yönelik bu eğilim, endüstriyel casusların kullanımını daha karlı ve daha az riskli bir teklif haline getiriyor. Sonuçta, bırakın üniversiteleri, okulları veya devlet hastanelerini, kaç kuruluş BT ekiplerine yerleştirilmiş yüksek eğitimli bir profesyonel casusu etkili bir şekilde ortadan kaldırabilir?
Üstelik bu merkezileşme eğilimi kurumsal ortamların ötesine de yayılıyor. Örneğin, birçok çok oyunculu oyun, Çekirdek düzeyinde çalışan hile karşıtı önlemleroyun şirketinin BT ekibine tam erişim sağlıyor. Bu nedenle yüz binlerce kullanıcıyı hacklemenin bir yolu, sıfır gün güvenlik açığını bulmak için hile karşıtı motorda sayısız saatler boyunca tersine mühendislik yapacak gelişmiş bir bilgisayar korsanları ekibini işe almaktır. Ancak genel olarak birini oyun şirketine dahil etmek çok daha ucuz bir alternatiftir.
Sistemlerimizi Nasıl Daha İyi Tasarlarız?
Buna karşılık sistemlerimizin tasarımını en az üç şekilde geliştirmemiz gerekiyor.
-
İlk olarak sistemler, merkezi olmayan yönetim dikkate alınarak tasarlanmalıdır; Son derece merkezileştirilmiş sistemler, tek bir kritik hata noktası tehdidiyle birlikte gelir.
-
İkincisi, bilgi güvenliği BT ekipleriyle sınırlı olmamalıdır; yerleştirmemiz gerekiyor sıfır güven zihniyetiİK’dan (örneğin işe alım uygulamaları) yönetimsel karar almaya kadar tüm organizasyonel işlevlere.
-
Son olarak, günümüzde BT yöneticileri için en üst düzeydeki endişe, sunucuların ve etki alanı denetleyicilerinin ihlalidir. Ancak kişisel cihazlara izinsiz erişim, kuruluşun kendi sunucularının ele geçirilmesinin ötesinde bir başka önemli sorun haline gelmelidir.
Sonuçta, BT güvenliğinin merkezileştirilmesinin casusluğu kritik bir tehdide dönüştürdüğünü ve bilgi güvenliğinin evriminde bir sonraki aşamaya işaret ettiğini kabul etmeliyiz.