Siber güvenlik uzmanları arasında, kuruluşun güvenliğini sağlamada son kullanıcıyı en yüksek risk alanı olarak belirtmek yaygın bir durumdur. Bu anlaşılabilir. Sistemler ve yazılımlar kontrolümüz altındadır, ancak kullanıcılar tahmin edilemez, tehdit yüzeyimizi coğrafi olarak dağılmış her kullanıcıya, kişisel cihaza ve tamamen insani zaaflara ve kusurlara genişleten bu asi değişkendir.
Tehdit aktörleri, kesinlikle kullanıcılarımızı oldukça başarılı bir şekilde hedef alıyor — Bu bariz gerçeği göz ardı etmek için burada değilim. Ama aynı derecede kesin olan şu ki: WBu problemden çıkış yolumuzu eğitemeyiz. Kuruluşlar, kullanıcı güvenlik farkındalığı eğitimine önemli yatırımlar yapıyor ve yine de utanç verici, maliyetli ihlallere maruz kalıyorlar. Bu nedenle, öncelikle son kullanıcının güvenliğini sağlamaya odaklanmak sağlam bir strateji değildir.
Akılda Yeni Stratejiyle Güvenli Sistemler
Gerçek: kullanıcılarınız önemli bir risk faktörüdür. Buna göre Verizon’un “2022 Veri İhlali ve Soruşturma Raporu”,” Fidye yazılımı bulaşmalarının %35’i bir kimlik avı e-postasıyla başladı. Gerçek: Bu, güvenlik farkındalığı eğitimlerine uzun yıllar boyunca artan yatırımlara rağmen böyle. Siber güvenlik farkındalığı eğitim pazarı büyümesi öngörülüyor 2022’de 1.854,9 milyon dolardan 2027’de 12.140 milyon dolara. Gerçek: Tüm bu yatırımlara rağmen, fidye yazılımı (tek bir saldırı türü olarak) ayrıca agresif bir şekilde büyümesi bekleniyoreğitim de dahil olmak üzere birçok organizasyonel çabaya rağmen.
Üzücü, kaçınılmaz gerçek: Kullanıcılarımız yine de hata yapacak – sonuçta hepimiz insanız. Yapılan bir anket Bana göre daha fazla güvenlik eğitimine duyulan ihtiyacı kanıtlamak, bunun siber krizi durdurmadaki yetersizliğini kanıtladı: Ankete katılan beş kişiden dördü güvenlik farkındalığı eğitimi almıştı; %26 ile %44 arasında (yaş demografisine göre) yine de bilinmeyen gönderenlerden gelen bağlantılara ve eklere tıklamaya devam etti.
Sadece Kullanıcıyı Güvenceye Almaya Güvenmeyin
Kurumsal güvenliğin büyük ölçüde kullanıcının güvenliğini sağlamaya dayanmaması gerektiği, kullanıcılarının tehlikeye gireceği sonucuna varmalı ve ardından bu varsayımı göz önünde bulundurarak sistemlerin güvenliğini sağlamaya başlamalıyız. Bu nedenle, bir son kullanıcı ihlal edilse bile, bu uzlaşmanın verdiği sistemik zarar miktarı büyük olmamalıdır. uygun güvenlik önlemleri kullanılırsa ve doğru şekilde yönetilirse.
Son kullanıcılarımızı eğitmeli miyiz? Kesinlikle, kesinlikle, evet. Güçlü güvenlik, katmanlı bir yaklaşım gerektirirve bu, sistemlerinize açılan her kapıyı emniyete alarak güvenliğinizi desteklemek anlamına gelir. Ancak son kullanıcı riskini denklemden çıkarmaya başlamalıyız. Bu, bazı zor seçimler ve bu seçimler için önemli bir liderlik katılımı gerektirir.
En Büyük Risk Olarak Kullanıcıları Nasıl Silahsızlandırabiliriz?
Kuruluşlar erişimi daha iyi engellemeli ve güvenlik kontrollerini düzenlemelidir. Sistemler varsayılan olarak çok açıktır; onları varsayılan olarak kapalı hale getirmeli, her birini risk açısından değerlendirmeli ve ardından istisnai olarak ve tam bir kasıtlı olarak erişimi açmalıyız. Kullanıcılar erişemedikleri şeyleri tıklayamaz veya açamaz ve ihlal sonrası değerlendirdiğimiz veya düzelttiğimiz kuruluşlarda, çalışanların ve sistemlerin iş sırasında gerekenden çok daha fazla erişime sahip olduğunu görüyoruz. Şirketler, çalışanları, süreçleri ve teknolojileri genelinde daha güçlü güvenlik düzenlemesi üzerine katmanlar oluşturmalıdır; böylece, bir tehdit aktörü yine de uygunsuz bir tıklama yoluyla erişim elde ederse, yanal hareketlerini ve kimlik bilgilerinin toplanmasını/yükseltilmesini durdurmak için tasarlanmış kontroller bulunur.
Kuruluşlar, kullanıcı riskini azaltmak için aşağıdakiler dahil proaktif önlemler alabilir: kişisel e-posta hesaplarına erişimin engellenmesi; derin paket incelemesiyle HTTPS trafiğini filtreleme; varsayılan olarak kullanıcı olmayan alt ağlara/VLAN’lara İnternet erişimini engelleme; tüm kullanıcı trafiğinin denetlenmesini ve filtrelenmesini gerektirir her zaman – bitiş noktası ne olursa olsun; BT onaylı dosya paylaşım sistemleri ve parola kasaları dışında hiçbir şeye izin verilmemesi; ve güvenlik duvarları ve uç nokta algılama ve yanıt (EDR) gibi araçlarda güvenlik özelliklerinin etkinleştirilmesi.
Bu Neden Halihazırda Yapılmıyor? Engeller
Kişisel sitelere ve platformlara erişimin engellenmesi ve filtreleme/denetim nedeniyle daha yavaş sistemlere erişim, bir dereceye kadar kullanıcı ve lider memnuniyetsizliğine neden olabilir. Gerekli araçlardan bazıları da maliyetlidir.
Uygun kontrollerin ve ilgili maliyetlerin tahsis edilebilmesi için BT’nin sorunları, çözümleri, riskleri ve başarısızlık sonuçlarını liderlerin hem duyabileceği hem de anlayabileceği terimlerle ifade eden daha güçlü bir sese ihtiyacı vardır. Kullanıcılar daha sonra bu kontrollerin neden gerekli olduğu konusunda yukarıdan aşağıya doğru eğitilebilir; bu nedenle, güvenlik farkındalığı eğitimi “tıklamayın ve işte nedeni”nden “Varsayılan olarak çoğu şeyi engelliyoruz ve işte nedeni”ne geçebilir. Hâlâ daha agresif yatırımlar yapmamayı seçen liderler, organizasyon için kabul etmeyi seçtikleri risk düzeyi konusunda oyunda dış görünüşe sahipler.
BT ekipleri de genellikle personel veya uzmanlık konusunda yetersizdir: göremedikleri riskleri azaltamazlar; bilmedikleri tehditler konusunda eğitim vermek; veya eğitim almadıkları araçları etkinleştirin. Bu görünürlüğe sahip olmayan ekipler, kalifiye uzmanların derinlemesine kontrol, yapılandırma ve düzenleme değerlendirmelerini dikkate almalıdır.
Kesin olan bir şey var: Ne kadar eğitim verirsek verelim, kullanıcılar her zaman yanılabilir. İlk etapta kullanıcıların tıklama seçeneklerini en aza indirmek ve ardından tıkladıklarında, yerinde kontroller var saldırının ilerlemesini engellemek için.