Bu Help Net Security röportajında, Wursta’nın CISO’su Pete Hoff, KOBİ güvenlik liderlerine ve profesyonellerine, kimlik avının kuruluşlarının operasyonlarına ve uzun vadeli başarısına sunduğu tehditleri nasıl en aza indirebilecekleri konusunda tavsiyeler sunuyor.
Kimlik avı saldırılarını özellikle küçük ve orta ölçekli işletmeler için zorlaştıran şey nedir?
Küçük veya orta ölçekli işletmeleri etkileyen herhangi bir krizin en karmaşık yönü, genellikle büyük şirketlere göre daha az kaynakla donatılmış olmalarıdır. Daha az deneyimli bir güvenlik yeteneği, daha az çalışan sayısı, daha küçük bütçe vb. olsun, daha az kaynak her şeyi biraz daha karmaşık hale getirir.
KOBİ’ler, bilgili liderlik eksikliği ve fon eksikliği nedeniyle genellikle daha az siber güvenlik korkuluğuna sahiptir. Bu, yalnızca kimlik avı saldırılarına karşı savunmasızlıklarını artırmakla kalmaz, aynı zamanda bir saldırı sonrasında pisliğin temizlenmesini de zorlaştırır.
Küçük bir işletmenin kimlik avı saldırısı kurbanı olarak ulusal manşetlere çıkma olasılığı daha düşük olsa da, KOBİ’lerin karşılaşacağı birçok büyük ölçekli, uzun vadeli engel bulunmaktadır. Örneğin, yalnızca birkaç yüz müşteriye hizmet veren daha küçük bir kuruluş, hassas şirket verilerinin ihlaliyle karşılaşabilir. Bu kuruluş, gelir kaybına ve müşteriyi elde tutma eksikliğine karşı daha savunmasızdır; bu, daha büyük şirketlerin daha az endişe duyduğu bir sorundur. Aynı gelir kaybı açısından, bir kimlik avı saldırısı sahte banka havalesi bilgilerine odaklanırsa, para yanlışlıkla bir siber suçluya aktarılabilir.
Bunun gibi somut kayıpların yanı sıra, küçük bir işletmenin itibarının onarılamaz şekilde zarar görmesi de kimlik avı saldırısının bir sonucu olabilir.
Siber suçluların bulut tabanlı hizmetleri ve SaaS tekliflerini hedef alan kimlik avı saldırılarında kullandığı bazı yaygın taktikler nelerdir?
Kimlik avı saldırılarının sık kullanılan birkaç türü, parola sıfırlama veya lisans süresinin dolması nedeniyle hizmet kaybı tehdididir. Kimlik avcıları çoğu zaman kullanıcının şifresini ele geçirmek için bulut hizmetleri web sitesini kopyalamaya çalışır. Bu, bir şirketin BT departmanının acil bir şifre değişikliği talebinde bulunmasını taklit ederek yapılır.
Kimlik avı saldırılarının sıklıkla gördüğümüz bir diğer yöntemi ise fazla ödeme yapmaktır. Kendilerini müşteri kılığına sokan siber suçlular, bir ürün veya hizmet için “yanlışlıkla” fazla ödeme yapacak ve ardından şirketten aradaki farkı geri ödemesini talep edecektir. Gönderdikleri orijinal çek kaçınılmaz olarak karşılıksız çıktığında, kuruluş, ilk işlemde zaten harcanmış olan paraya ek olarak, dolandırıcıya geri gönderdikleri paranın tamamını kaybeder. Benzer şekilde, eğer bir bilgisayar korsanı şirket e-postalarına erişebilirse, gerçek müşterilerden gelen e-postalara el koyabilir ve banka bilgilerini kendi bilgileri ile değiştirerek ödemenin yanlış ellere geçmesine neden olabilir.
Elbette, tehdit aktörlerinin KOBİ’lerin sahip olduğu müşterilerin güvenliğini tehlikeye atması ve kendi yeni etki alanlarını yaratmasının bir sonucu olan endişe verici Microsoft Teams kimlik avı saldırısını da gördük. Bilgisayar korsanları buradan, kuruluş içindeki gerçek kullanıcıları çok faktörlü kimlik doğrulama kontrol noktalarını onaylamaya ikna eden mesajlar paylaştı.
Kimlik avı saldırılarının kurbanı olma riskini önemli ölçüde azaltabilecek bazı uygun maliyetli siber güvenlik önlemleri nelerdir? Şirketler hangi teknolojik çözümleri ve kontrolleri uygulamalı ve nasıl uygulamalıdır?
2023’te siber güvenlik her zamankinden daha erişilebilir ve karmaşık hale gelecek. Mevcut tehdit ortamının karmaşıklığı nedeniyle, güçlü bir siber güvenlik stratejisi geliştirecek kaynaklara sahip olmadıklarını düşünen kuruluşların kullanımına giderek daha gelişmiş çözümler sunuluyor.
Google’ın sıfır güven modeli BeyondCorp sürümü, geniş müşteri topluluğunun en iyi fikir ve uygulamalarından bazılarını eğitme konusunda iyi bir iş çıkarıyor. Bunun gibi araçlar, kuruluşların erişim kontrollerini ağ çevresinden bireysel kullanıcılara kaydırmasına ve geleneksel bir VPN’e ihtiyaç duymadan neredeyse her yerden güvenli çalışmaya olanak sağlamasına olanak tanır. Uygulama özellikle tek oturum açmaya, erişim kontrol politikalarına, erişim proxy’sine ve kullanıcı ve cihaz tabanlı kimlik doğrulama ve yetkilendirmeye olanak tanır.
Örneğin Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesini (NIST CSF) temel alan bir risk değerlendirmesi, bir kuruluşun iyi bir siber güvenlik duruşunu sürdürmesinin başka bir uygun maliyetli yoludur. Analiz gerçekleştikten sonra kuruluşun elindeki kaynaklarla siber güvenlik hedeflerine ulaşmasına yardımcı olacak bir yol haritası oluşturulur.
Buna ek olarak, Google kısa bir süre önce, parolanın ele geçirilmesini sorun olmaktan çıkarmanın bir yolu olan geçiş anahtarlarını (ör. parmak izleri ve yüz kimliği) kullanan parolasız oturum açma sürümünü duyurdu.
KOBİ’ler yukarıdaki araçlara erişime sahip olsalar bile genellikle bunları uygulayacak ve güvenliği sağlamak için sistemlerini izleyecek uzmanlığa sahip değildir. Sanal bir CISO’nun yardımcı olabileceği nokta burasıdır: Tam zamanlı bir CISO’nun maliyetinin çok altında bir ücret karşılığında KOBİ’ler, kalıcı tehditlerin önünde kalabilmek için benzer düzeyde bir güvenlik uzmanlığı elde edebilir.
Kimlik avı tehlikesini en aza indirmek için işletmeler, çalışanları arasında şüphecilik ve ihtiyat kültürünü nasıl yaratabilir? Kimlik avı kampanyalarını simüle ederlerse, çalışanların şirkete olan güveninin sarsılmasını nasıl önleyebilirler? İşletmeler eğitim programlarını nasıl daha etkili hale getirebilir?
Artan bir tehdit ufku görmeye devam ettiğimiz sürece, bir kuruluş içinde aşırı ihtiyatlılık kültürünü aşılamak kritik öneme sahip olacaktır. Benim bakış açıma göre, eğer bir işletme çalışanlarını veri güvenliğinin tehlikeleri ve bunlardan nasıl kaçınılacağı konusunda eğitmek için zaman ayırıyorsa, kimlik avı simülasyonu saldırıları güveni zedelemez. Bunun yerine, çalışanlar şüpheli bir talep hakkında artık iki kez düşünmeyecekleri bir noktaya gelecekler ve bir tehdidi atlatabilme yeteneklerine güvenecekler.
Siber güvenlik konusunda ciddi bir yaklaşım benimsemek isteyen bir şirketin, kimlik avı gibi saldırıların kurbanı olmaktan kaçınmak için katı çalışan eğitimlerine ve süreçlerine sahip olması gerekir. Kimlik avı farkındalığı eğitimi, hassas verileri işleyen kuruluşlar arasında yaygın olarak kullanılan bir uygulamadır.
Şirketlere şiddetle tavsiye ettiğim şey, kullandıkları iç iletişim kanallarını yeniden değerlendirmeleri. Örneğin, iletişimleri belirli bir platformda tutmak, çalışanların meşru e-posta isteklerini sahte olanlardan ayırmasına yardımcı olabilir. Benzer şekilde, CEO ile nadiren iletişim kuran veya hiç iletişim kurmayan bir çalışan, CEO’dan gelen hileli bir e-posta isteğinin şüpheli olduğundan hemen şüphelenmelidir. Çalışan herhangi bir hamle yapmadan önce içgüdüsel olarak yöneticisini bilgilendirmeli ve talebin meşruluğunu doğrulamak için CEO ile farklı bir kanal veya platformdan iletişime geçmeyi düşünmelidir.
Başarılı bir kimlik avı saldırısı durumunda, bir kuruluşun olay sonrası kapsamlı bir analiz yapması, deneyimlerden ders alması ve güvenlik duruşunu ileriye dönük olarak geliştirmesi için önerilen adımlar nelerdir?
Bir kuruluşa yönelik başarılı bir kimlik avı saldırısından sonra, birçok günlük operasyonun değişmesi ve yeni prosedür ve kuralların uygulamaya konması beklenmektedir. Herhangi bir saldırının ardından, muhtemelen bir kuruluşun, durumu düzeltip tekrar yoluna devam ederken hizmet kesintisine neden olacağı bir “kapalı kalma süresi” olacaktır. Müşteri hizmetlerinin yetersiz kalması, gelir kaybı vb. ile sonuçlanabilecek kesinti süresi potansiyeli, bir iş sürekliliği (BC) planına olan ihtiyacı vurgulamaktadır.
BC planının amacı, kuruluşların faaliyetlerine devam etmelerine ve bir saldırı sonrasında aksama süresinin büyük bir kısmından kaçınmalarına olanak tanıyan güçlü yedekleme planlarına sahip olmalarını sağlamaktır.
Daha az kaynağa sahip daha küçük kuruluşlar için hesap oluşturma ve kimlik tahsisini içeren basitleştirilmiş ve yalın bir yaklaşım kullanmalarını öneririz.
Daha büyük bir siber güvenlik bütçesine sahip işletmeler, e-posta arşivlerinin tamamı da dahil olmak üzere 30 günlük bir süre boyunca e-posta ve belge depolarını senkronize edebilecekleri biraz daha karmaşık bir plan uygulayabilir.
En iddialı şirketler için ideal BC planları, planın içine yerleştirilmiş daha özel uygulamalarla, önemli verilerinin (yani tüm e-posta geçmişinin) düzenli olarak senkronize edilmesinden oluşabilir. Bu yaklaşım, şu anda bunu uygulayacak donanıma sahip olmasalar bile, tüm müşterilerimizin bu doğrultuda çalışmasını tavsiye ettiğimiz yaklaşımdır.
Bonus olarak iş sürekliliği planları bir kuruluşun siber güvenlik sigortası primlerini düşürmenin sağlam bir yoludur.
Anlık mali kayıpların ötesinde, bir işletmenin kimlik avı saldırısının kurbanı olduktan sonra karşılaşabileceği bazı dolaylı maliyetler ve uzun vadeli sonuçlar nelerdir ve bu etkileri proaktif bir şekilde nasıl yönetebilirler?
Bir kimlik avı saldırısının bir kuruluşu doğrudan etkilemesinin birkaç yolu vardır (anlık mali kayıplara ek olarak). Mağdur olan şirketler muhtemelen pisliği temizlemek için beklenenden daha fazla zaman, enerji ve para harcayacak.
Siber güvenlik sektöründe onlarca yıllık çalışmam boyunca gördüğüm bazı ek sonuçlar şunlardır:
- BT ekipleri her şeyin tekrar güvenli ve sorunsuz çalışmasını sağlamak için çalışırken günlük operasyonların kesintiye uğraması (ek mali kayıplara yol açması)
- Rekabet üstünlüğünü sürdürmek için çok çalışan şirketler için çalınan fikri mülkiyet ve özel bilgiler
- Bir tazminat talebinin ardından kuruluş için artan sigorta primi maliyeti
- İtibarın zedelenmesi ve uzun vadeli müşteri güveninin kaybı
- Toplu davalar da dahil olmak üzere ele geçirilen veri türüne bağlı olarak yasal ve düzenleyici konular
Pek çok liderin (çok geç olana kadar) farkına varamadığı şey, kimlik avı saldırısının çalışanların morali üzerinde de uzun vadeli bir etkiye sahip olabileceğidir. Beklenmedik siber saldırılar, yöneticileri ve yöneticileri çılgınlığa sürükleme eğilimindedir ve bu genellikle tüm şirkete yayılır. Yöneticilerin morallerini yüksek tutmak için empatiyle liderlik etmeleri, şirket kültürü ve değerlerine öncelik vermeleri kritik önem taşıyor.
Liderlerin siber güvenlik görüşmelerinde hem kısa hem de uzun vadeli riskleri ön planda tutması giderek daha zorunlu hale gelecektir.
Kimlik avı saldırıları dünyasında hangi yeni trendleri veya gelişmeleri öngörüyorsunuz ve KOBİ’ler ve KOBİ’ler bu gelişen tehditlere karşı dirençli kalmak için hangi proaktif adımları atabilirler?
Genel olarak, siber güvenlik stratejileri söz konusu olduğunda iş liderlerinin dikkatli olması gereken bir numaralı şey, yeni teknolojilerin sürekli ortaya çıkmasıdır. Yapay zeka gibi yeni araçlar ve operasyonlarını buluta taşıyan kuruluşların sayısı arttıkça, bilgisayar korsanlarının ödün verebileceği yeni ortamlar ortaya çıkıyor.
İş dünyası ve teknoloji liderlerinin, diğer kuruluşların kurbanı olabileceği yeni ortaya çıkan ve büyüyen tehditlere karşı dikkatli olmaları önemlidir. Kuruluşunuzun güvende olmasını sağlamanın en kolay yollarından biri başkalarının hatalarından ders çıkarmaktır.
Tüm güvenliklerin en zayıf halkası klavyenin önündeki insan olacaktır. Kullanıcıları yeni ve ortaya çıkan saldırılar konusunda eğitmek, kimlik avının etkisinin azaltılmasına da yardımcı olur.
Kimlik avı saldırılarına karşı koruma sağlamak amacıyla eğitim ve süreçleri iyileştirmek isteyen işletmeler, ilk adım olarak bir risk değerlendirmesiyle başlamalıdır. Risk değerlendirmeleri proaktif bir şekilde tamamlandığında potansiyel riskleri ve güvenlik açıklarını önceden belirleyerek güvenlik ihlallerini veya veri kaybını önleyebilir. Şirketlerin güvenlik durumları hakkında bilgi sahibi olmalarına olanak tanır ve kaynakları ne kadar sınırlı olursa olsun stratejilerini güçlendirmek için sonsuz planlar sunar.