İçeriden gelen tehditler giderek büyüyen bir olgudur, ancak birçok işletme henüz kendilerini etkili bir şekilde korumak için yeterince çaba göstermiyor.
Örneğin, Avrupa ve Orta Doğu’da kuruluşların %70’inin içeriden gelen tehditleri durdurmak için bir stratejisi yok. Çoğunlukla, bütçe kısıtlamaları ve şirket içi uzmanlık eksikliği nedeniyle geride kalıyorlar. Diğerleri, içeriden gelen tehditleri yatırım yapmak için yeterince önemli bir sorun olarak görmezler. Diğer bir deyişle, üst düzey liderler tehdidi bir öncelik haline getirecek kadar anlamazlar.
Ancak sorun burada bitmiyor. İçeriden gelen tehditleri durdurmanın değerini görenler, genellikle içeriden öğrenenlerin risk yönetimi (IRM) için geleneksel modellere dayanan yazılım çözümleriyle çalışır. Bu, doğru yönde atılmış iyi bir adım olsa da birçok IRM çözümü, tüm temelleri kapsamayan basit bir yaklaşıma dayanır. İçeridekilerin verilerle nasıl etkileşime geçtiğine dair bütüncül bir görüş almak ve güven ile izinleri sınırlamak yerine davranışsal işaretlere odaklanarak genellikle doğası gereği tepkiseldirler.
Şirketler, içeriden gelen tehdit risklerinin gerçekten önünde olmak için, insanların işlerini ne kadar etkili yaptıklarını etkilemeden proaktif ve kapsamlı olmalarına yardımcı olan entegre bir yaklaşım benimsemelidir. Bu makalede, bunun pratikte teknik açıdan nasıl göründüğünü araştırıyoruz.
İçeriden tehdit riski
İçeriden gelen tehditlerle mücadelede entegre bir yaklaşımın nasıl olduğunu keşfetmeden önce, bu saldırı vektörünün ortaya koyduğu riskleri anlamak önemlidir. İçeriden gelen tehditler, kuruluşunuzdaki hassas verilere erişimi olan ve bu verileri ifşa eden, kullanan veya satan çalışanlar, yükleniciler veya ortaklar olarak tanımlanır. Bu, hoşnutsuz bir çalışan veya güvenliği ihlal edilmiş biri tarafından kasıtlı olarak veya verileri paylaşırken veya depolarken hata yapan biri tarafından yanlışlıkla yapılabilir.
Niyet ne olursa olsun, içeriden gelen tehditlerin bir şirket üzerinde büyük bir olumsuz etkisi olabilir. Bir şirket, içeriden gelen bir tehdit tarafından sızan verilerin türüne bağlı olarak, kendisini rakiplerinden ayıran özel bilgilerini kaybedebilir, müşteri verilerini açığa çıkarabilir ve bunun sonucunda itibar kaybına uğrayabilir ve hatta veri gizliliği düzenleyicilerinin cezalarına milyonlarca dolar harcayabilir. Bu nedenle şirketlerin bu tehditleri azaltmak için güçlü ve güvenilir bir yaklaşıma ihtiyacı var.
Geleneksel içeriden öğrenilen risk yönetiminin sınırlamaları
İçeriden öğrenenlerin risk aldığı çoğu ürünün temel sorunu, yeterince iş yapmamalarıdır. Genellikle pasif bir yaklaşım benimserler, onları gerçekten durdurmadan sizi tehditlere karşı uyarırlar ve uyarılar her zaman güvenilir değildir. Uygulamada, bu araçlar aşağıdakilerle sınırlıdır:
- Yalnızca izleme davranışı, işlenen veriler değil. Bu, IRM’lerin belirli davranışları kullanılmakta olan verilere bağlayamayacağı, yanlış alarmlara ve kaçırılan hain faaliyetlere kapı açamayacağı anlamına gelir.
- Verilerin ayrılmasını engelleyememe. Çoğu IRM, olay günlüklerini analiz etmek için tasarlanmıştır, ancak veriler risk altında olduğunda harekete geçme yetenekleri yoktur.
- Araştırılması gereken bağlamdan yoksun uyarılar. Güvenlik analistleri, olası bir güvenlik açığını izlemek için belirli bilgilere ihtiyaç duyar, ancak IRM uyarıları genellikle bu bağlamı içermez.
Ponemon Enstitüsü’ne göre, içeriden gelen tehditler veri ihlallerinin önde gelen nedenlerinden biri haline geldi ve her bir olayın ortalama maliyeti 6,6 milyon dolar. Mevcut yaklaşım çalışmıyor. Şirketler, iş kendi iç tehditlerini yönetmeye geldiğinde geleneksel, pasif bir yaklaşımı benimsemeyi göze alamazlar.
Kapsamlı bir yaklaşım nasıl görünür?
Öyleyse, geleneksel IRM araçları yeterince iş yapmıyorsa alternatifi nedir? İçeriden gelen tehditleri ele almaya yönelik entegre bir yaklaşım, tespit edilemeyecek kadar mevcuttur. Modern bir içeriden gelen tehdit çözümü, yalnızca bir sorunu tespit etmek yerine daha da ileri giderek verilerin risk altında olduğu anda müdahale eder ve güvenlik analistlerine sorunu araştırmak ve çözmek için ihtiyaç duydukları tüm bilgileri verir.
Geleneksel çözümlerle karşılaştırıldığında, IRM’ye entegre bir yaklaşım, aşağıdakileri içeren yeteneklerle öne çıkıyor:
- Hem davranış analizi hem de veri analizi için toplu bir yaklaşım benimsemek. Bu, tehditlerin doğru bir şekilde tespit edilmesini ve yanlış pozitiflerin sayısının büyük ölçüde azaltılmasını sağlar. Başka bir deyişle, riskli olmayan günlük davranışları takip etmek yerine, bir kuruluşun gerçek içeriden gelen tehditleri daha iyi tanımlayabilmesini sağlar.
- Uzun bir süre boyunca meydana gelen tehditleri belirleme. İster tek başlarına ister dışarıdan kötü bir aktörle çalışsınlar, güvenliği ihlal edilmiş içerideki kişiler, tespit edilmekten kaçınmak için genellikle yavaş ve yavaş bir yaklaşım benimser. Sağlam IRM çözümleri, bir saldırıya işaret eden ilişkili etkinlikleri bulabilecekleri kapsamlı bir olay kaydıyla bunu açıklar.
- Tespit edildiğinde müdahale. Önde gelen IRM çözümleri, içeriden gelen bir tehdit algılandığında anında harekete geçmek için oluşturulmuştur. Bulut, e-posta, web sitesi, çıkarılabilir depolama cihazları, Bluetooth bağlantılı cihazlar ve daha fazlası dahil olmak üzere tüm kanallarda veri hırsızlığını engellerler.
Entegre bir IRM çözümündeki diğer kapsamlı özellikler arasında, artırılmış veri görünürlüğü, ortak hırsızlık kanallarında özelleştirilebilir proaktif politikalar, bağlamsal veri sınıflandırması ve adli veri yakalama yer alır.
İçeriden öğrenilen risk yönetimini bir sonraki seviyeye taşımak
İçeriden gelen tehditler daha karmaşık ve pahalı hale geldikçe, onları hafifleten teknolojiler ve platformlar da aynı şekilde olmalıdır. Önde gelen çözümler, tekliflerini iyileştirmeye devam ettikçe, bildiğimiz şekliyle içeriden gelen risk yönetiminin ötesine geçen, giderek daha entegre bir yaklaşım benimsemelerinin nedeni budur.
Yeni ve geliştirilmiş özellikler şunları içerebilir:
- Bir cihaza fiziksel erişim olmaksızın adli düzeyde olayların toplanması, böylece bir veri parçasıyla ilgili her kullanıcı eylemi yakalanır ve ekipler olayları geriye dönük olarak inceleyebilir.
- Gerçek zamanlı açılır pencerelerle kullanıcıları uygun davranış konusunda eğitmek. Bu yaklaşım, uygulama içi yapılandırmalar aracılığıyla oluşturulan e-posta bildirimlerinden daha etkilidir.
- Şifreleme veya sıkıştırma ile gizlenen verileri koruma, içeriden gelen tehditlerin hassas verileri sızdırdığı tipik bir yol. Bu, verileri güvende tutar ve hain ellerden uzak tutar.
- Verilerin ağ dışındaki şifrelenmiş uygulamalara gönderilmesini önleme kontroller. Bu proaktif yaklaşım, verilerin olması gerektiği yerde tutulmasını ve içeriden gelen tehditlerin mevcut korumaları aşamamasını sağlar.
- Riskli veri girişini tanımlayın. Bir çalışan başka bir şirketten korunan verileri getirirse, bu durum kuruluşunuzu sorumlu kılabilir. Bu nedenle sağlam bir IRM çözümü, işletmenize giren verilere de dikkat etmeli ve hassas alanlara girmesini engellemelidir.
İçeriden gelen tehdit ortamı sürekli olarak gelişmektedir. Güvende kalmak ve kendilerini kötü niyetli veya ihmalkar içerideki kişilerden korumak isteyen şirketlerin kapsamlı çözümler benimsemesi ve kuruluşun yükünü hafifletmesi gerekir. Bu teknik hususların ötesinde, çalışanların içeriden gelen tehdit riskini ve bunları azaltmak için neler yapabileceklerini anladıkları güvenlik odaklı bir kültür oluşturmanın bir başka hayati unsur olduğunu unutmamak önemlidir. Bu iki yaklaşımı paralel olarak sunmak, içeriden gelen tehdit programını olabildiğince sağlam kılacaktır.
