Yönetişim ve Risk Yönetimi, İçeriden Tehdit
İçeriden Tehdit Riski Artıyor Ama Bunları Tespit Etme Yöntemleri de Artıyor
David Perera (@daveperera) •
7 Aralık 2023
Torrent istemcisini iş bilgisayarına indirmek amacıyla ayrıcalıkları artırmak için bir uygulama kullanan bir çalışan. GitHub’dan kod çalıştıran ve kendi makinesinin fidyesini alan bir programcı. BT’ye gitmek yerine Linux ana makinesindeki sorunları gidermeye çalışan ve bunu yapmak için yerel ayrıcalık yükseltme güvenlik açığını kullanan dahili bir kullanıcı.
Ayrıca bakınız: Davranış Analitiğine İlişkin Nihai Kılavuz
Bunlar, CrowdStrike’ın perşembe günkü bir blog yazısında Ocak 2021’den Nisan ayına kadar tespit ettiğini söylediği içeriden gelen tehditlerden sadece birkaçı.
İster kötü niyetli olsunlar, ister şirket kurallarından habersiz olsunlar, ister bilgisayar korsanları tarafından alt edilmiş olsunlar, içerideki kişiler şirketler için artan derecede risk oluşturur. Yakın zamanda yapılan bir araştırma, içeriden gelen bir tehdit olayının ortalama maliyetinin, ihmalden mi yoksa içeriden bir suçludan mı kaynaklandığına bağlı olarak yaklaşık 500.000 ila 700.000 dolar arasında değiştiğini ortaya çıkardı. Bu yılın başlarında bir federal yargıç, içeriden bir hacker’ın eski şirketine 1,6 milyon dolar tazminat ödemesine karar verdi (bkz: Ubiquiti Insider Hacker’a 6 Yıl Hapis Cezası Verildi).
CrowdStrike küresel profesyonel hizmetler sorumlusu Thomas Etheridge, Information Security Media Group ile yaptığı röportajda, dışarıdaki bilgisayar korsanlarını avlamanın, içeriden gelen utançtan ve parasal kayıptan kaçınmak isteyen şirketler için dersler sunduğu ortaya çıktı.
“Tehdit avcılığı ve belirli taktik ve tekniklerin aranması konusunda bir düşmandan göreceğimiz aynı ilkelerin çoğu içeriden öğrenenler için de geçerlidir” dedi. Geliştirilmiş yönetimli tespit ve müdahalenin içeriden gelen faaliyetleri tespit edebildiğini ve riski eskisinden daha net bir şekilde ortaya çıkarabildiğini söyledi. “Bu aktivitenin çok daha fazlasının ortaya çıkarıldığını görüyoruz.”
Dışarıdaki tehdit aktörleri gibi içeridekiler de ayrıcalıkları artırmak için bilinen güvenlik açıklarından yararlanıyor. Siber güvenlik şirketinin tespit ettiği bazı güvenlik açıkları 2014 ve 2015 yıllarına kadar uzanıyor.
Etheridge, “Size neredeyse her hafta kuruluşlarla teknoloji borçları ve yamalanmamış güvenlik açıkları hakkında konuştuğumu söylerken şaka yapmıyorum” dedi.
Etheridge, 10 düşman ve içeriden olaydan sekizinin kimlik yönetimi bileşenine sahip olduğunu söyledi. Bireysel bir kimlik bilgisinin olması gerekenden daha fazlasına erişimi olabilir veya bir saldırgan izinlerini yükseltebilir. “Tehdit aktörleri erişimin amacının ne olduğu umurumda değil, sadece ne yapabileceğini bilmek istiyorlar. Aynı risk içerdekiler için de geçerli.”
Şirketlerin, normalde insan kaynakları sistemlerine erişmek için kullanılan bir kimlik bilgilerinin bir finansal sistemde aniden ortaya çıktığını tespit edebilmeleri gerektiğini söyledi. Model artık “güven ama doğrula” olamaz; “doğrula, sonra güven” olması gerekir. Alışılmadık bir IP adresinden kimlik bilgileri ile oturum açılması, çok faktörlü kimlik doğrulama gibi ikincil zorluklar için başka bir tetikleyici olabilir.
Her içeriden bilgisayar korsanı kötü niyetli değildir. “Bazı durumlarda bireyler işleri yapmanın daha kolay yollarını arıyor veya daha verimli olmanın yollarını arıyorlar.”
Etheridge, “Tarihsel olarak şunu gördük: Güvenlik organizasyonu, BT organizasyonu ve iş birimleri arasında her zaman bir boşluk vardır.” dedi. Bu boşluklara içeriden tehditler akabilir.