Kötü niyetli içericilerin bu yıl CISOS için ‘Büyük Mücadele’ poz vermesini bekleyin, Uzman Warns
Mathew J. Schwartz (Euroinfosec) •
14 Mart 2025
12 yıllık istihdamdan sonra kıdemli bir geliştiriciyi işten çıkardığınızı düşünün, sadece şirketteki sistemlerin geride bıraktığı bir “öldürme anahtarı” nedeniyle çöktüğünü bulmak için.
Ayrıca bakınız: Gerçek Zamanlı Yaptırımlar ve İzleme Listesi Taraması: Uyumluluğu rekabet avantajına dönüştürmek
Bu gerçek hikaye, güvenilir içeriden gelenleri içeren birden fazla işten çıkarmaya katlandıkları için büyük, orta ve küçük çok sayıda işletmenin karşılaştığı tehlikeyi vurgulamaktadır. ABD devlet kurumları da zorla en iyi ve en parlaklarını döküyorlar. Tüm bunlar, teknoloji becerilerine ve intikam almak için yeterince kinine sahip olan veya işverenlerini satmayı umursamayan mevcut ve eski çalışanlardan artan riski artırıyor.
Forrester analisti Allie Mellen, bilgi güvenliği profesyonellerinin işletmelerini korumasına yardımcı olan Allie Mellen, “İçeriden tehdidin bu yıl CISOS için büyük bir zorluk olacağını bekliyoruz.” Dedi.
Mellen, Bilgi Güvenlik Medya Grubuna verdiği demeçte, “Bu, iş arayanlar ve şu anda istihdam edilenler için çok çalkantılı bir ortam. İçeriden tehdit riski artması konusunda birçok endişemiz var.” Diyerek şöyle devam etti: “Bu yıl içeriden gelen tehditler için yıllar önce olduğundan daha fazla potansiyel var, çünkü kısmen birçok şirket işten çıkarıldı.
Ohio merkezli Eaton Corp. için, şirketin 9 Eylül 2019’da kıdemli bir geliştirici olan Davis Lu’yu ateşlemesinden sonra tetiklenen ve HR’nin Windows Directory’ye karşı erişim haklarını sildikten sonra tetiklenen kod, “Isdlenablinad” adlı “Isdlenablinad” adlı Kill-Switch kodu şeklinde vuruldu.
Bu ay bir federal jüri, korunan bilgisayarlara kasıtlı hasara neden olduğu için onu mahkum etti. 10 yıla kadar hapis cezasına çarptırılan Teksas’tan 55 yaşındaki bir ceza tarihi henüz belirlenmedi. Hükümet işverenini isimlendirmese de, yerel bir medya raporu, çokuluslu güç yönetim şirketi Eaton’da çalıştığını söyledi.
Lu’nun davası, özellikle işten çıkarmalar tehlikede olduğunda, güvenilir çalışanların nasıl kötü olabileceğini gösterir. Adalet Bakanlığı, “İnternet arama geçmişi, ayrıcalıkları artırma, süreçleri gizleme ve dosyaları hızla silme yöntemlerini araştırdığını ve iş arkadaşlarının sistem kesintilerini çözme çabalarını engelleme niyetini gösterdiğini ortaya koydu.” Dedi. “Lu’nun işvereni, Lu’nun eylemleri nedeniyle yüz binlerce dolar zarar gördü.”
Çalışan ihanetini araştırıyor
Bir dizi veri ihlali, sadece hata yapmaktan ziyade, kötü davranan içeridenleri izler. İkisi arasında ayrım yapmak için, geçen yıl yıllık Verizon veri ihlali raporu, daha masum veya yanlışlıkla insan hata türlerinin aksine ayrıcalıkların kasıtlı olarak kötüye kullanılması kavramını tanıttı.
2024 raporunda analiz edilen 30.458 gerçek dünya güvenlik olayından 897’si veya%2,9’u, bu olayların 854’ü de verilerin onaylanmış ifşa edilmesini içeren ayrıcalık kötüye kullanım – yani “çalışan ihanetine” dahil. Raporda, “Kişisel veriler hala hedeflenen ana veri türü” diyor.
Vakaların% 88’inde ayrıcalık kötüye kullanımı içeren olaylarda görülen bazen örtüşen motivasyonlar finansal gibi görünüyordu ve% 46 vakada casusluk içermek için, ikincisinin sıklıkla nasıl birinciye dayandığını vurguladı. Olayların% 6’sında, kin tutan, ideoloji ihlallerin% 2’sinde rol oynarken baskın faktör gibi görünüyordu.
Bazı sektörler diğerlerinden daha fazla ayrıcalık kötüye kullanımı görür. Özellikle sağlık sektörü için, “2018’den bu yana istikrarlı bir düşüşten sonra” önde gelen ihlal nedenleri arasında – “kasıtlı olarak ihlallere neden olan içeriden ikinci sırada” geri döndüler “diyor.
Açıkçası, kuruluşun çıkarlarını kalbinde tutmak için bir çalışana kurumsal güvenin düştüğü zamanlar vardır. Verizon’un raporu, “Kimse çalışanlarının onları kirli yapacağına inanmak istemiyor, ancak eğer olursa, kuruluşunuzun bunu nasıl tespit edeceğini biliyor musunuz? Eğer yapmazsanız, yalnız değilsiniz ve zaten olmuş olabilir.”
Sık sık karşılaşılan bir crunch noktası, çalışanlar ayrılmak üzereyken başlar ve aylar sonra bile devam edebilir. “Risk değerlendirmesi, istenmeyen bir yanıt potansiyeli en aza indirmek için çalışanın ayrılmasından önce, sırasında ve sonrasında kritik öneme sahiptir.”
Bazı durumlar diğerlerinden daha fazla risk oluşturmaktadır. Emeklilikler ve gönüllü istifalar – soruşturmalar veya düşük performans incelemeleri nedeniyle değil – genellikle düşük bir risk oluşturmaktadır. Orta riskler arasında bütçe kesintileri veya küçülme nedeniyle işten çıkarmalar veya yaklaşmakta olan soruşturmalar nedeniyle istifa bulunur. Yüksek riskler, gizli bilgilerin paylaşılması da dahil olmak üzere güvenlik olaylarının yanı sıra yetersizlik, itaatsizlik veya katılım ile ilgili ciddi performans sorunlarını içerebilir; ve hırsızlık, madde bağımlılığı, cinsel taciz, işyerinde şiddet, sahtekarlık ve öfkeli patlamalar gibi ciddi davranışsal kaygılar.
Güvenlik kontrolleri, önemli bir kötü niyetli insider savunmasıdır. CISA Rehberi, Temmuz 2022’den itibaren “tek başına bir hükümet iletişim ağına yetkili erişimi olan bir çalışanın, sistem güvenlik dosyalarını indirmek ve silmek için erişim sağladığı” gerçek hayattaki bir olayı detaylandırıyor. Ağ güvenlik araçları, çalışanın ağ erişiminin iptal edilmesine ve çalışanın idari iznine yerleştirilmesine neden olan faaliyeti tespit etti. İzin verirken, “bir kullanıcı adı ve şifre muafiyeti talep ederek hükümet ağına erişmeye çalıştılar; talep reddedildi,” sonra “daha sonra ayrıldı.”
İşyerinde suç işverenleri
İçerdekilerle karmaşık bir faktör, casusluk ajansları veya vicdansız rakipler de dahil olmak üzere hain yabancılar tarafından işe alınabilmeleridir. Fidye yazılımı operasyonları da dahil olmak üzere suç grupları, düzenli olarak mutsuzluktan yararlanma girişiminde bulunduğunu iddia ediyor. Lockbit, ödenen herhangi bir fidye önemli bir kesimi karşılığında uzaktan erişim kimlik bilgileri sağlamak isteyen girişimci içericiler için reklamlara öncülük eden gruplar arasındaydı. Kanıtlar ayrıca fidye yazılımı operasyonlarının aktif olarak içeriden yaklaştığını göstermektedir.
Forrester’dan Mellen, “Çoğu zaman, içeriden bir tehdit haline gelmek için kaymış bir çalışanın amacı bile değil, ancak siber suçlular onları bu yönde sallayabilir.” Dedi. “Eğer bir siber suçlu onlara ulaşırsa ve şöyle der: ‘Hey, eğer hayal kırıklığına uğrarsanız, bizimle çalışmaya başlarsanız ve bize bazı veriler sunarsanız,’ cazip olabilir ve bazı açılardan kurbansız bir suç gibi hissedebilirsiniz. ‘
Belirsizlik zamanları sosyal mühendisler için daha verimli bir zemin yaratabilir. Mellen, “Güvenlik liderlerinin sadece şirketi korumaya değil, aynı zamanda çalışanları kendileri de korumaya hazır olmaları gerekiyor.” Dedi.