İçeriden gelen “tehdit” biraz yanlış bir isimdir. İçeridekilerin çoğu zarar vermek istemiyor. En iyi ihtimalle bürokrasiyi aştıklarına inanırlar; en kötüsü, kayıtsızlar.
Yaygın bir senaryoyu ele alalım: Bir çalışan hafta sonu çalışmak için kişisel e-postasına hassas veriler gönderir. Güvenlik bilincine sahip biri, benim bu işi Pazartesiye kadar bitirmeme karşın birinin e-postamı hackleme şansı nedir diye düşünmüş olabilir. Saldırıya uğramam pek olası değil, bu yüzden çalışmayı seçiyorum. (Göndermek.)
Kurumsal düzeyde, bu risk farklı bir tablo çiziyor. Bir veri ihlalinin ortalama maliyetinin 4,18 milyon ABD Doları olduğu bir ortamı yönetirken, ve çalışanların yaklaşık %10’u altı aylık bir süre içinde veri sızdırıyorsa, kuruluş için risk hesaplamanız çok farklı görünüyor.
Kanamayı nasıl durdurursunuz ve sızıntıların tekrar olmasını nasıl önlersiniz? Temellerinizi ele almak için metodik, bütünsel bir yaklaşım düşünün: Aşağıdakilerin her birinden bir stratejiyle başlayın ve ihtiyaçlarınız gerektirdikçe yineleyin. Mikrodan makroya başlayacağız.
Neyi korumanız gerektiğini belirlemek, herhangi bir önleme stratejisinin ön koşuludur.
Senin varmi:
- En kritik varlıklarınızı belirlediniz mi (yani, “taç mücevherleriniz”)?
- Bu kritik varlıklara kısıtlı erişim?
- Bu erişimin nasıl verileceği belirlendi mi?
Yukarıdakilerin hepsini yaptıysanız, bir adım daha ileri gidelim. Verilerin çeşitli durumlarında korunması gerekir: beklemede, kullanımda ve hareket halinde.
Bir dosya sisteminde, bir veritabanında saklanan bekleyen veriler, yetkisiz kullanıcılara karşı savunmasızdır. Şifreleme, rol tabanlı erişim kontrolü (RBAC) ve çok faktörlü kimlik doğrulama (MFA) gibi tekniklerle, izin politikalarını ölçeklendirebilir ve güvenliği ihlal edilmiş hesapların sayısını azaltabilirsiniz.
Kullanımdaki veriler (bir kullanıcı onu okuyor veya değiştiriyor), hem iyi niyetli hem de kötü niyetli yetkili kullanıcıların eylemlerine karşı savunmasızdır. Kullanımdaki verileri korumak için yazılım çözümleri, hassas verilerin ekran görüntüsü alınması veya kopyalanıp yapıştırılması gibi davranışları işaretleyebilir veya engelleyebilir.
Bir yerden diğerine geçiş halindeki hareket halindeki veriler, saldırı yüzeyinin doğal genişlemesi nedeniyle savunmasızdır. Verilerin gönderilmesini en baştan durdurabilir (harici alıcılara gönderilen e-postaları engelleyebilir, USB bağlantı noktalarını devre dışı bırakabilirsiniz) veya güvenli iletişim kanallarını (VPN, şifreli e-posta) kullanarak koruyabilirsiniz.
Yukarıdakilerin tümü, artı daha fazlası
Kapsamlı bir çözüm istiyorsanız, veri kaybı önleme (DLP) yazılımı yukarıdakilerin hepsini ve daha fazlasını yapabilir. Birisi hassas verileri başka bir dosyaya kopyalarsa ne olur? DLP, her belgenin hassas bilgilerini (ör. kredi kartı numaraları) tüm durumlarında (durakta, kullanımda ve hareket halinde) tarayarak bu sorunu çözer.
DLP dezavantajsız değildir; örneğin, geleneksel veri tespiti tam bir eşleşme gerektirir. DLP’deki mevcut gelişmeler, makine öğrenimi ile benzer (tam yerine) kalıplar bulmaya, verilerinizin nasıl taşındığını ve değiştirildiğini görselleştirmeye, yasal uyumluluk eklemeye ve hatta en kritik ortamlar için ses verilerini yorumlamaya odaklanır.
Veri merkezli önlemelerin dışında, birinin iyi niyetliden kötü niyetli bir amaca geçtiğini gösterebilecek herhangi bir davranışı tespit etmek isteyebilirsiniz. Belki bir gece kuşu gündüz gelmeye karar vermiştir ya da birisi daha önce hiç dokunmadığı dizinlerden dosya aktarmaktadır. Sıra dışı olanı tespit etmek için sıradan olanı yakalamanız gerekir.
User Behavior Analytics (UBA) yazılımı, kullanıcı oturumları, dosya erişimi, e-posta etkinliği ve uygulama günlükleri gibi verileri yakalayıp analiz ederek bu “normal” temellerini oluşturur. User and Entity Behavior Analytics (UEBA), aynı konsepti ağ cihazları ve uygulamaları gibi insan olmayan varlıklara uygular. UBA/UEBA’nın neyin anormal olup olmadığına karar vermek için bu makine öğrenimine dayalı çözümlerde ince ayar yapabilen profesyoneller gerektirdiğini unutmayın.
Kullanıcıların ne yaptığını basitçe kaydetmek (tahmin etmek yerine) istiyorsanız, Kullanıcı Etkinliği İzleme (UAM) yazılımını kullanabilirsiniz. Tipik olarak daha spesifik olarak kullanılan UAM, tuş vuruşlarını günlüğe kaydedebilir ve kullanıcı etkinliğinin videolarını oynatabilir. UAM’yi yasa dışı faaliyet gerçekleştirdiğinden şüphelendiğiniz belirli bir kullanıcı için etkinleştirebilirsiniz.
Zarar vermek isteyen içeriden birileriniz varsa, tüm teknolojinizi atlatmanın bir yolunu bulurlar. Onları önleyici olarak devreye sokarsanız, bu sizin en etkili savunmanız olacaktır.
Prensipler basittir, ancak bir insan yetiştirdiyseniz (veya biriyle etkileşimde bulunduysanız), söylemenin yapmaktan daha kolay olduğunu bilirsiniz. Rehine pazarlığı ve davranış analizinde usta olan FBI, size tehdit yönetiminin iyi ebeveynlik gibi olduğunu söyleyecektir:
- Net sınırlar koyarken empati gösterin.
- Sonuçları uygularken sabırlı olun.
- İlerlemeyi düzenli olarak yeniden değerlendirin.
İyi haber şu ki, bu beceriler öğretilebilir ve en ciddi durumlarda uzmanlar getirilebilir. En azından, iş gücünüz ilgili davranışı tanıyabilmeli ve bunu bildirebileceklerini (ve bildirmeleri gerektiğini) hissedebilmelidir. Bireyin strese tepkisi ve benlik duygusu, tehdit düzeyinin değerlendirilmesinde faktörlerdir. İş gücünüz, teknolojinin size sağlayamayacağı sezgiye ve ilk elden içgörüye sahip olacaktır.
Eğitimlerle farkındalığı artırmanın yanı sıra şirketinizde güven ve gurur kültürü varsa—ve benzer değerlere sahip kişileri işe alır—içeriden tehdit riski azalır.
Savunma oynamak söz konusu olduğunda her zaman yapabileceğiniz daha çok şey vardır. Daha ayrıntılı bir kaynak için ABD Hükümeti’nin Siber Güvenlik ve Altyapı Güvenliği Dairesi’nin İçeriden Gelen Tehditleri Azaltma Kılavuzu’na bakın.
Anahtar, korumaya çalıştığınız şeye odaklanmak ve oradan savunma inşa etmektir. Bu alanların her birinden bir strateji uygulayarak—verileriniz, faaliyetleriniz, kültürünüz—bir dizi hızlı galibiyet gerçekleştirebilir ve ilerledikçe yineleyebilirsiniz.