[By John Stringer, Head of Product, Next]
Siber güvenlik ekipleri, dış saldırganları kuruluşlarının BT ortamından uzak tutmak için yoğun bir şekilde çalışıyor, ancak içeriden gelen tehditler farklı ve aynı derecede zor bir zorluk sunuyor. İçeriden gelen tehditlerin belirlenmesi giderek daha karmaşık hale geliyor ve dış tehditlerin aksine, içeridekilerin sistemlere ve verilere her zaman bir dereceye kadar erişimi var.
İçeriden gelen tehditler nelerdir?
İçeriden gelen tehditler, bir çalışanın, hizmet sağlayıcının, yüklenicinin veya ayrıcalıklı iş kullanıcısının, bir kuruluşun veri güvenliğini tehlikeye atan kazara veya kasıtlı eylemlerinden kaynaklanır. İhmal veya kötü niyetli kişiler, kuruluşunuzun verilerine, sistemlerine, ağlarına, ekipmanlarına, fikri mülkiyetine, personeline ve tesislerine zarar verebilir.
Yukarıda belirtilen taraflar için verilere erişim bir tehlike işareti değildir. Büyük ihtimalle bunu her gün yapıyorlar. Bu ölçüde, belirli davranışsal göstergeler siber güvenlik ekiplerinin içeriden gelen tehditleri normal faaliyetlerden ayırmasını sağlar. Bu davranışsal göstergeler arasında tuhaf çalışma saatleri, mali durumdaki ani değişiklikler, düşen performans ve sık sık işe devamsızlık yer alıyor.
Beş içeriden tehdit göstergesi
Kasıtlı olsun ya da olmasın, içeriden birinin oluşturduğu şüpheli davranış işaretleri, incelikli olabilir ve tespit edilmesi zor olabilir. Bir yandan, kazara içeriden gelen tehdit türleri arasında, kötü amaçlı bir etkinlik gerçekleştirmeye yönlendirilen veya yanlışlıkla güvenlik politikalarını atlayarak işin kolayına kaçarak zaman kazanmaya çalışan farkında olmayan ve dikkatsiz kullanıcılar yer alır.
Öte yandan, birisi kasıtlı olarak kuruluşa zarar vermek veya olumsuz yönde etkilemek istediğinde, içeriden kötü niyetli bir tehdit oluşturur. İçerideki kötü niyetli kişiler söz konusu olduğunda, motivasyon genellikle maddi kazançtır, ancak diğerleri intikam ve siyasi veya ideolojik farklılıklar nedeniyle hareket eder. İster kötü niyetli ister tesadüfi olsun, içeriden gelen tehditlerin etkili bir şekilde tespiti ve tanımlanması, tehdit türünden bağımsız olarak proaktif bir yaklaşım gerektirir. Bunu yapabilmek için siber güvenlik ekiplerinin ortak iç tehdit göstergelerini bilmesi gerekir. Güvenlik personeli BT ortamını aşağıdaki iç tehdit göstergeleri açısından izlemelidir ve çoğu iç tehdit durumunda bu göstergelerden yalnızca birkaçı mevcut olacaktır.
- Olağandışı oturum açma davranışı
Kullanıcılar aynı sistemlere düzenli olarak eriştiğinde sistem logları izlenerek gözlemlenebilecek bir kalıp oluşturulur. Bu kullanıcılardan biri aniden olağan alışkanlıklarından farklılaştığında, bunu kötü sebeplerden dolayı yapıyor olabilir.
Yetkilendirilmediği sistemlerde tekrar tekrar oturum açmaya çalışan bir kullanıcı, içeriden kötü niyetli bir kişinin kurumsal kaynakları tehlikeye atmaya çalıştığını gösterebilir. Benzer şekilde, kullanıcıların farklı saatlerde sisteme giriş yapması da gizli hareket etmelerinin bir sonucu olabilir.
- Yetkisiz uygulamalara ve verilere tekrar tekrar erişme girişimleri
Hassas bilgiler içeren sistem veya uygulamalara yönelik yetkisiz erişim girişimlerinde yersiz bir artış, içeriden gelen bir tehdide işaret edebilir. Her kuruluş, yalnızca iş ihtiyacı olan kişilerin hassas verileri görüntüleyebilmesini veya işleyebilmesini sağlayan katı erişim yönetimi prosedürlerine sahip olmalıdır.
Ek olarak, kötü niyetli bir kişi yetkili bir kullanıcıyı gözetleyebilir ve gözlemlerine dayanarak şifre çeşitlemelerini kullanarak erişim sağlamaya çalışabilir. Bu tür tehdit göstergesi, güvenlik personelinin onları daha yakından izleyebilmesi için kullanıcının kimliğini sağlamalıdır.
- Aşırı veri indirmeleri
Büyük veritabanlarını veya hassas dosyaları aşırı ve beklenmedik bir şekilde indirmeye çalışan kullanıcılar, kuruluştan değerli bilgileri çalmaya çalışıyor olabilir. Aşırı indirmeler, çalışma saatleri dışında veya uzaktan gerçekleştirilirse daha da şüpheli hale gelir. Ancak uzaktan çalışanların bu faaliyetlere düzenli olarak katılması nedeniyle, dijital öncelikli küresel çalışma ortamlarında bu şüpheli davranışların tespit edilmesi son derece zordur.
Güvenlik personeli, anormal davranışları etkili bir şekilde ayırt etmek için kullanıcıları ve cihazları için düzenli bir aktivite temeli oluşturmalıdır. Bir kullanıcının tipik indirme alışkanlıklarından vazgeçmesi durumunda güvenlik ekibi, indirme girişimlerinden sorumlu kullanıcıları, bu etkinlik için meşru bir nedene sahip olup olmadıklarını belirlemek amacıyla araştırmalıdır.
- Ayrıcalıkların yükseltilmesi
İçeriden biri, iş görevlerinin kapsamı dışında kalan yükseltilmiş ayrıcalıklar talep ederek bir kuruluş için risk oluşturan bilgi ve sistemlere erişmeye çalışabilir. Ayrıcalıklar yalnızca ticari nedenlerle verilmeli ve tekrarlanan, anormal taleplerde bulunan herkes dikkatle izlenmelidir.
- Teknik olmayan göstergeler
İçeriden birinin bir kuruluşu tehdit edebileceğine dair belirtiler, yalnızca günlük faaliyetlerin teknik yönlerinin ötesine geçer. Göstergeler ayrıca kişisel davranışlardan veya doğrudan işleriyle ilgili olmayan konulardan da elde edilebilir. Örneğin mali sıkıntı içinde olan veya kurumsal kararlara kızan kişiler aktif bir tehdit haline gelebilir.
İç tehdit göstergelerini ele alma
İçeriden gelen tehditlerin tespiti ileriyi düşünen bir strateji gerektirir. Risk değerlendirmeleri ve denetimler, bir kuruluşun güvenlik önlemlerindeki güvenlik açıklarının belirlenmesine yardımcı olur. Bu boşlukları gidermek ve bir şirketin değerli verilerini koruyan siber güvenlik süreçlerini ve prosedürlerini güçlendirmek, içeriden gelebilecek tehdit riskini azaltır.
Modern içeriden risk yönetimi ve veri kaybı önleme (DLP) çözümleri, değerlendirmelerin ötesinde, potansiyel içeriden gelen tehditlerin erken göstergelerini belirlemek ve riskli ve kötü amaçlı etkinlikleri otomatik olarak kısıtlamak için gelişmiş analitiklerden ve tehdit istihbaratından yararlanır. DLP platformu, kuruluşun veri işleme politikasını uygulayarak, yetkisiz kullanıcıları hassas kaynaklardan uzak tutar ve potansiyel iç tehditlerin şirkete zarar vermeden önce araştırılması için kullanılabilecek raporlar sağlar.
Reklam