İçeriden Tehdit Yönetimi, içeriden olaylar arttıkça kuruluşlar için birinci öncelik olmaya devam etmektedir. İçeriden gelen tehditler, veri hırsızlığı ve casusluktan sahtekarlık ve işyeri şiddetine kadar geniş bir kötü niyetli faaliyet yelpazesini kapsar. Bu risklere karşı koymak için, kuruluşlar ileri teknolojilerden ve tüm kişi analitik yaklaşımlarından yararlanarak içeriden gelen risk yönetimi programlarını geliştirmektedir.
Refakatçi bir web semineri ve beyaz kağıttan türetilen bu makale, gelişen içeriden gelen tehdit manzarasını araştırıyor. Modern karşı insider tehdidi (C-INT) çözümleri arasındaki kilit teknolojileri ve farklılaştırıcıları keşfederken, algılanan riskler ve program etkinliği hakkında endüstri anket bilgilerini incelemektedir. Ayrıca, tüm kişi içeriden gelen tehdit yönetiminin avantajlarını ve bu proaktif yaklaşıma göç etme konusunda uzman önerileri paylaşmaktadır.
İçeriden gelen tehdit zorlukları ve algıları
İçerdekiler hassas kaynaklara meşru erişime sahiptir, bu da tehdit algılamasını zorlaştırır. Ayrıcalıklarından yararlanabilir ve keşfedilmeden önce genellikle önemli zarar verebilirler. Bu zorlukları bir araya getiren birçok istihdam ve gizlilik düzenlemesi, kuruluşların içeriden aktiviteyi nasıl izleyebileceğini, tüm şahıs, iç içe tehdit (C-INT) programını başlatmadan önce yasal danışma ve iyi tanımlanmış politikalar gerektirdiğini sınırlamaktadır.
400’den fazla siber güvenlik uzmanının yeni bir siber güvenlik içeriği araştırması, içeriden gelen tehditler konusunda artan bir endişe duyuyor.¹ Kuruluşların yüzde yetmiş bir tanesi savunmasız hissediyor ve üçüncü bir risk riske maruz kalıyor. Birçok katılımcı, içeriden gelen tehdit programlarının sadece nominal olarak etkili olduğuna inanmaktadır.
Geleneksel olarak, kuruluşlar içeriden gelenleri tespit etmek için kimlik, fiziksel erişim, uç noktalar, ağlar ve bulut ortamlarında güvenlik kontrollerine güvenmiştir. Bununla birlikte, bütün bir kişi yaklaşımı, insan kaynakları kayıtları, yasal veriler ve sosyal medya etkinliği gibi davranışsal veri kaynaklarını dahil etmek için teknik göstergelerin ötesine uzanır. Aynı anket, kuruluşların yaklaşık yarısının yasal veriler, insan kaynakları verileri ve halka açık bilgiler (PAI) gibi davranışsal veri kaynaklarını içeriden gelen tehdit programlarına dahil ettiğini göstermiştir.
Geleneksel içeriden gelen tehdit teknolojileri
C-INT çözümleri öncelikle fiziksel, kimlik, uç nokta ve ağ katmanlarında erişim ihlallerini, veri sızıntısını, anormal kullanıcı davranışı ve yetkisiz etkinlikleri analiz ederek tehditleri tespit eder. SIEM ve IAM sistemleri de dahil olmak üzere güvenlik araçları, görünürlüğü artırmak ve kullanıcı ve varlık davranış analitiğini (UEBA) desteklemek için kullanılır.
Yakın tarihli bir QKS-Grubu pazar raporuna göre²C-INT çözümlerindeki temel özellikler arasında kullanıcı ve cihaz izleme, UEBA, genişletilmiş algılama ve yanıt (XDR), güvenlik otomasyonu, denetim ve raporlama ve gösterge paneli analizi bulunur. UEBA, kuruluşların ayrıcalık istismarı, yetkisiz veri erişimi veya uygulama kötüye kullanımı gibi içeriden tehditleri gösterebilecek kullanıcı davranışındaki anormallikleri tespit etmelerini sağlar.
C-INT takımları, izleme, belgeler ve olay tepkisini kolaylaştırmak için değişen önceden tanımlanmış ve özel analitik ve gösterge tablosu özelliklerini içerir. İş akışı otomasyonu, uyarı kullanımı, araştırma analizi ve olay yanıtını düzenleyerek güvenlik işlemlerini daha da geliştirir.
Tehditlere yanıt vermek ve AI tespitinden yararlanmak
C-INT çözümleri, tehditleri gerçek zamanlı olarak azaltmak için manuel, yarı otomatik ve otomatik yanıt mekanizmaları sunar. Otomatik yanıtlar, güvenlik ekiplerinin verimliliğini artırarak hesapları, blok cihazları veya karantina şüpheli dosyaları devre dışı bırakabilir. Yapay zeka ve makine öğrenimi (ML), ilgili uyarıları azaltmak ve yanlış pozitifleri filtrelemek için giderek daha fazla kullanılmaktadır. İçeriden gelen riskleri büyük hızda gösteren kalıpları tanımlayabilirler; Bununla birlikte, yapay zeka odaklı yaklaşımlar şeffaflıktan yoksun olabilir ve potansiyel önyargılar ve yanlış sınıflandırmalarla ilgili endişeleri artırabilir.
Öngörücü analitik, kuruluşların potansiyel tehditleri önleyici olarak tanımlamak için risk göstergelerini ve davranış eğilimlerini modellemelerine olanak tanır – kişilerin içeriden gelen tehdide kritik yoldaki faaliyetleri.³ Geleneksel içeriden gelen risk yönetimi öncelikle güvenlik olaylarına tepki verirken, öngörücü modelleme proaktif müdahaleyi kolaylaştırır.
Tüm Kişi Risk Değerlendirmesi: Bir Paradigma Değişimi
Tüm kişi içeriden gelen tehdit yönetimi, öngörücü risk değerlendirmesini geliştirmek için davranışsal verileri teknik göstergelerle bütünleştirir. Davranışsal veri kaynakları arasında İK performans değerlendirmeleri, kolluk kayıtları, finansal risk göstergeleri ve sosyal medya faaliyetleri bulunmaktadır. Bu farklı veri setlerini dahil ederek, kuruluşlar potansiyel içeriden gelen tehditlerin bütünsel bir risk profili geliştirebilir.
Cogility’nin baş davranış bilimcisi Frank L. Greitzer’e göre, geleneksel içeriden gelen tehdit algılama yöntemleri genellikle güvenlik ekiplerini ancak saldırı başladıktan sonra uyarıyor. Bununla birlikte, davranışsal verileri dahil ederek, kuruluşlar erken uyarı işaretlerini belirleyebilir – bir olay gerçekleşmeden önce müdahale fırsatlarını önler. Tüm kişi risk değerlendirmesi, analistlerin içeriden gelen bir tehdide olan kritik yol boyunca ince kırmızı bayrakları tanımalarını sağlar.⁴
Tüm kişi içeriden gelen tehdit yönetiminin mevcut bir programa dahil edilmesi için, etik ve yasal uyumluluk sağlamak için davranışsal veri edinimi, gizlilik uyumluluğu ve analiz tutarlılığı yönetilmelidir. Bir kez başarıldıktan sonra, kuruluşlar tüm kişi yaklaşımından yararlanmak için içeriden gelen tehdit programlarını nasıl etkili bir şekilde modernize edebilirler. Frank L. Greitzer, tüm kişi içeriden gelen tehdit yaklaşımını uygulamak için rehberlik sunuyor:
1. Expand Paydaş katılımı: Kapsamlı bir C-UNT stratejisi geliştirmek için güvenlik ekipleriyle birlikte İK, yasal, davranış bilimcileri ve çalışan temsilcileri ile meşgul.⁵
2. Anahtarın Insider risklerini tanımlayın: sadece ciddi tehditleri değil, aynı zamanda içeriden öğrenen aktivite riskinin arttığını gösteren davranışlarla ilgili olarak da tanımlayın.
3. Insider Risk Değerlendirme Modellerini Geliştirin: Potansiyel risk göstergelerini (PRI) haritalayın ve risk değerlendirmelerini iyileştirmek için ağırlıklı derecelendirmeler atayın. Yavru (Sosyo-teknik ve içeriden tehditler için organizasyonel faktörler) gibi mevcut PRI taksonomilerinden yararlanmak sürecin kolaylaştırılmasına yardımcı olabilir.⁶
4. Risk Modellerini Uzman Geri Bildirim ile Terden Etme: İçeriden Tehdit Analistleri ve Davranış Uzmanlarından İçgörüler Kullanarak Değerlendirme Modellerini Sürekli Kalibre edin.
5. Veri kaynakları ve uyumluluk gereksinimleri: Gizlilik düzenlemelerine uyumu sağlayan mevcut teknik ve davranışsal veri kaynaklarını tanımlayın ve belgeleyin.
6. İzleme ve yanıt yönergelerini oluşturun: İçeriden gelen risk değerlendirmesi ve yanıtı için standart şablonlar ve prosedürler geliştirin.
7. Program maliyetlerini ve etkinliğini değerlendirin: Boşlukları tanımlamak ve gelişmiş yeteneklere yapılan yatırımları haklı çıkarmak için mevcut içeriden gelen tehdit programı performansını ölçün.
8. Uygulama Değişiklikleri: Tüm kişi yaklaşımına geçerken operasyonel maliyetleri, teknolojik gereksinimleri ve entegrasyon zorluklarını göz önünde bulundurun.
9. Program Etkisi ve YG.
10. Yönetici alımını ve yürütmeyi güvence altına alın: Paydaş taahhüdünü elde etmek ve uygulamayı ileriye taşımak için temel bulguları ve performans metriklerini sunun.
İçeriden Tehdit Yönetimini Modernize Etme
İçerideki tehditler gelişmeye devam ettikçe, kuruluşlar sürekli davranışsal izleme, AI odaklı analitik, öngörücü modelleme ve otomatik yanıt iş akışlarını ekleyerek C-UNT programlarını modernize etmelidir. Bütün bir yaklaşım, içeriden tehdit yönetiminden reaktif algılamadan proaktif risk değerlendirmesine kaydırır, kuruluşların varlıkları korumasına, riskleri azaltmasına ve güvenli bir işyerini geliştirmeye yardımcı olur.
Şimdi, güvenlik esnekliğini artırmak ve ortaya çıkan tehditlere karşı koruma sağlamak için ileri görüşlü, tüm kişi içeriden bir tehdit stratejisine geçiş zamanı.
Daha fazla bilgi için orijinal web seminerine veya beyaz kağıda bakın.
Teşekkür: Yazar, Frank Greitzer, Ph.D. (Cogility Software), Holger Schulze (Siber Güvenlik İçereği) ve QKS-Group Katkıları için
Referanslar:
- 2024 Siber Güvenlik İçeriden İçeriden Tehdit Araştırması N = 413
- 2024 QKS-Group Spark Matrix ™: İçeriden Risk Yönetimi
- Shaw, E. & Sellers, L. (2015). İçeriden riskleri değerlendirmek için kritik yol yönteminin uygulanması. İstihbarat Çalışmaları, 59 (2), 41-48
- Uyarlandı: Greitzer ve ark. (2018). https://ieexplore.ieee.org/document/8424651
- İstihbarat ve Ulusal Güvenlik İttifakı (INSA), İnsan Kaynakları ve İçeriden Tehdit Azaltma: Güçlü Bir Eşleştirme, Eylül 2020 – INSA Beyaz Makale
- Sofit; Greitzer, Pearl, Leuong ve Becker. https://ieexplore.ieee.org/document/8424651
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!