İşletme yöneticileri, neredeyse dış tehditlerden (%75) korktukları kadar, kazara dahili personel hatasından da (%71) endişe duyuyor. Peki bu ikisinden hangisi bir şirket için daha büyük bir tehdittir?
Dış ve iç tehditler
Dış tehditler bir kuruluşa büyük zararlar verebilir ve genellikle çeşitli teknikler kullanarak bir ağa erişmenin yollarını bulması gereken kötü niyetli gruplar veya kişiler tarafından gerçekleştirilir. Bu, güvenlik açıklarından yararlanmayı, kimlik avı veya sosyal mühendislik saldırılarını, rüşvet ve şantajı içerebilir.
İçeriden gelen tehditleri tespit etmek basit bir nedenden dolayı daha zorlayıcı olabilir: İçeridekilerin zaten bir kuruluşun ağına, sistemlerine veya diğer varlıklarına (sınırlı veya tam) meşru erişimi vardır.
İçeriden gelen tehditlerin karmaşıklığı
“İçeriden gelen tehditleri belirlemek ikili bir süreç değil. İçeridekiler kötü niyetli olabilir, işlerini düzgün yapma becerisine sahip olmayabilir veya baskı mağduru olabilir. Bu nedenle, farklı türde içeriden gelen tehditleri ve kuruluşunuz için en uygun vektörleri anlamak önemlidir,” diye belirtti Mandiant araştırmacıları yakın zamanda.
Bu türler şunlar olabilir:
- Kötü niyetli içeridekiler – kişisel kazanç, intikam arzusu veya bir rakibe avantaj sağlamak amacıyla verileri çalanlar veya bozanlar
- Kasıtsız içeriden öğrenenler – kazara veya yetersiz eğitim nedeniyle istemeden verileri açığa çıkaranlar
- Güvenliği ihlal edilmiş içeriden kişiler – şantaj veya gasp sonucu kötü niyetli davrananlar
- İhmalkar içerdekiler – hataları veri ihlallerine veya diğer olaylara neden olan kişiler
İçerideki kötü niyetli kişiler çok açık sözlüdür ve motivasyonları açıktır. Diğer üç tür içeriden öğrenenler biraz daha karmaşıktır.
Kasıtsız ve ihmalkâr olan içerideki kişiler, yeterince bilgilendirilmemeleri veya eğitilmemeleri, hatta kullandıkları teknoloji ve gerekli korumaların uygulanması hakkında yeterli bilgiye sahip olmamaları nedeniyle içeriden tehdit oluşturabilirler.
Böyle bir olay, Microsoft çalışanlarının şirket sisteminin oturum açma bilgilerini GitHub’a yükleyerek açığa çıkarmasıyla meydana geldi.
Güvenliği ihlal edilmiş içeriden kişiler, şantaj veya gaspla karşı karşıya kaldıklarında, utanma veya işten çıkarılma korkusuyla tehditlere boyun eğebilirler.
Yükleniciler ve satıcılar gibi üçüncü taraf ortaklar da işlerini gerçekleştirmek için genellikle bir kuruluşun sistemlerine ve ağlarına bazı erişim izinlerine sahip olduklarından içeriden gelen bir tehdit olabilirler.
2019’da meydana gelen bir üçüncü taraf uzlaşmasında, eski bir Amazon Web Service (AWS) mühendisi, Capital One’ı (o zamanlar AWS bulut hizmetlerini kullanan) hacklemek ve 100 milyondan fazla müşterinin kredi kartı uygulamasına ve hesabına erişmek için bir güvenlik açığından yararlandı.
Kuruluşların karşılaştığı zorluk, kötü niyetli mi davranacaklarını yoksa sadece dürüst ama yıkıcı bir hata mı yapacaklarını bilmeden çalışanlarına güvenmeleri gerektiğidir.
İçeriden gelen tehditleri önleme
Kuruluşun kendisini içeriden gelen tehditlere karşı korumak için belirli adımlar atması gerekir.
Her şeyden önce, siber güvenlik farkındalıklarını artırmak amacıyla çalışanların doğru ve sürekli olarak eğitilmesini sağlamaları gerekiyor. Çalışanların organizasyonlarını aktif olarak korumak için kendilerini güçlendirilmiş ve motive hissetmeleri gerekir. Bu anlayış ve empati ile yapılabileceği gibi doğru bilginin aktarılmasıyla da yapılabilir.
Kuruluşların, faaliyetler ve şüpheli davranışlar konusunda uyarıldığından emin olmak için sistemlerini sürekli olarak izlemesi ve denetlemesi gerekir. Erişim kontrolü çözümlerinin kullanılması da iyi bir uygulamadır çünkü bunlar, yetkisiz kullanıcıların belirli şirket kaynaklarına erişmesini engeller ve aynı zamanda belirli kaynaklara kimin, ne zaman eriştiğini izlemeye olanak tanır.
Bir çalışan bir kuruluştan ayrıldığında işten çıkarma sürecinin titiz bir şekilde yürütülmesi gerekir. Kuruluşlar, eski çalışanın artık şirket varlıklarına erişemeyeceğinden emin olmalıdır. Kuruluşlar ayrıca, işten çıkarma veya istifa sonrasında hassas verileri çalışanların kendi cihazlarından otomatik olarak silebilecek çözümler de uygulamalıdır.
Kuruluşların içeriden gelen tehditleri daha iyi anlamalarına ve uygun bir koruma planı oluşturmalarına yardımcı olmak için CISA, içeriden gelen tehditleri azaltma programı oluşturma sürecinde size rehberlik edebilecek ve içeriden gelen tehditleri tespit etmenize, tanımlamanıza, değerlendirmenize ve yönetmenize yardımcı olabilecek bir İçeriden Gelen Tehditleri Azaltma Kılavuzu yayınlamıştır.