Yazan: Carl Cadregari, Genel Müdür Yardımcısı, FoxPointe Solutions
Faaliyet gösterdikleri sektör ne olursa olsun, kuruluşlar muhtemelen son aylarda dünyayı kasıp kavuran yıkıcı MOVEit ihlalleri dalgasına tanık olmuşlardır. Sonuç olarak birçok kuruluş, MOVEit hack'i hakkında ne anlamaları gerektiğini ve bu tür saldırılara karşı nasıl korunabileceklerini merak ediyor olabilir.
MOVEit Hack'i Anlamak
Siber güvenlik profesyonellerinin, kuruluşlarını MOVEit saldırısına karşı etkili bir şekilde güçlendirebilmeleri için öncelikle bu ihlallerin kökenlerini anlamaları gerekiyor. Yönetilen bir dosya aktarım yazılımı ürünü olan MOVEit, genellikle sağlık hizmetleri, hükümet, finansal hizmet ve eğitim kuruluşları tarafından büyük miktarlarda hassas verileri şifrelemek ve dağıtmak için kullanılır. Mayıs 2023'te yazılımdaki bir güvenlik açığının keşfedilmesinin ardından, zararlı siber saldırılar ve veri ihlalleri dalgası başladı. Bu güvenlik açığı, saldırganların MOVEit veritabanına erişmesine ve SQL enjeksiyonu yoluyla sistemlerden dosya çalmasına olanak tanıyor. Siber Güvenlik ve Altyapı Güvenliği Ajansı'na (CISA) ve Federal Soruşturma Bürosu'na (FBI) göre MOVEit ihlalleri, Rusça konuşan bir siber suç grubu olan Clop tarafından gerçekleştiriliyor. Ağustos ayı itibarıyla dünya çapında 600'den fazla kuruluş MOVEit ihlallerinin kurbanı oldu ve 40 milyondan fazla kişiyi etkiledi.
MOVEit İhlallerine Karşı Koruma
Kuruluşlar kendilerini MOVEit saldırısına karşı korumaya çalışırken, kaçınılmaz olarak bir veri saldırısının hedefi haline geleceklerini anlamaları kritik önem taşıyor; bu aslında sadece nasıl ve ne zaman olacağı meselesi. Saldırganlar ve saldırılar, Clop gibi dış tehdit aktörleri, şirket içi hoşnutsuz personel ve hatta tedarik zinciri dâhil olmak üzere çeşitli kaynaklardan kaynaklanabilir. Sonuç olarak her kuruluş güvenli bir veri koruma altyapısı oluşturmaya odaklanmalıdır. Bilinen veya şüphelenilen tüm saldırı vektörlerinin yanı sıra kuruluşu makul düzeyde korumak için gereken kontrollerin durumu, bugün her kuruluşun risk yönetimi değerlendirmesinin bir parçası olmalıdır.
Risk Değerlendirmesi Yapmak
Başlamak için en iyi yerlerden biri, kuruluşun bunu tamamlamasını gerektiren herhangi bir yasa veya düzenleme olmasa bile kapsamlı, doğru ve tarafsız bir siber risk değerlendirmesinin gerçekleştirilmesidir. Yönetim, bu tür belgelenmiş değerlendirmelerden elde edilen makul bilgiler olmadan etkili bir şekilde hareket edemez veya siber ve veri koruma kararları veremez.
Bir risk değerlendirmesi yapmadan önce bir kuruluşun öncelikle veri kümelerini tanımlaması ve neyin korunması gerektiğini belirlemesi gerekir. Bir kuruluşun korunan müşteri verilerine (sağlık bilgileri, kredi kartları, SSN vb.) sahip olmasa bile, muhtemelen korunan çalışan bilgilerine (SSN, 401(k)/403(b), bankacılık) sahip olduğunu unutmamak önemlidir. , vesaire.).
Daha sonra kuruluşlar, veri kümelerine hangi yasa ve standartların uygulandığını değerlendirmelidir. Hem müşteri verileri hem de çalışan verileri, federal, eyalet ve bazen yerel siber güvenlik ve gizlilik yasalarına dayalı olarak koruma gerektirir. Bu, ne tür bir risk değerlendirmesinin yapılması gerektiğini tanımlayacaktır.
Örneğin, bir kuruluş tamamı New York eyaletinde bulunan 50 çalışandan oluşuyorsa ve diğer işletmelere sarf malzemesi sağlıyorsa, elektronik verileri için muhtemelen yalnızca New York Eyaleti SHIELD Yasası geçerli olacaktır. Ayrıca küçük bir işletme olduğu için İnternet Güvenliği Merkezi (CIS) Top 20 gibi bir şeye dayalı “daha küçük” bir risk değerlendirmesi yeterli olacaktır.
Tersine, eğer bir kuruluş birkaç bin çalışanı olan çok bölgeli bir sağlık sistemi gibi büyükse, o zaman makul risk değerlendirmesinin çok daha sağlam olması gerekecektir. Bu durumda böyle bir değerlendirme, SP800-30r1 (Risk Değerlendirmelerini Yürütme Kılavuzu) gibi Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) yayınları tarafından belirlenen standartlara uygun olacaktır. Bu, SP800-53r5 (Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Kontrolleri) ve SP800-171r2 (Federal Olmayan Bilgi Sistemleri ve Kuruluşlarındaki Kontrollü Sınıflandırılmamış Bilgilerin Korunması) gibi standart kontrol setlerinin üzerine eklenebilir.
Organizasyona ve yürütülen spesifik risk değerlendirmesine bakılmaksızın, ilgili uzmanların kullanılması zorunludur ve uygun kapsam kritik öneme sahiptir (kişiler, süreçler, teknoloji, idari, üçüncü taraflar vb.). Tüm risk değerlendirme çabaları belgelenmeli ve makul, eyleme dönüştürülebilir iyileştirme beklentileri uygulama için yönetime iletilmelidir. Bu risk değerlendirmesi düzenli aralıklarla tekrarlanmalıdır.
Güvenlik Açığı Testi
Kuruluşların güvenli bir veri koruma altyapısı oluşturmak ve MOVEit saldırılarına karşı korunmak için atabileceği bir diğer adım, teknik bir güvenlik açığı taraması ve web sitesi güvenlik açığı testi yapmaktır. Bunlar siber hijyenin nerede gerekli olabileceğini gösterecek. Bu güvenlik açığı taraması ve dahili varlıklara yama uygulanması en az üç ayda bir gerçekleştirilmelidir.
Güvenlik Eğitimi
Ek olarak kuruluşlar, tüm kullanıcıların işe alındıktan sonra ve sonrasında en az yılda bir kez katılacağı, belgelenmiş ve etkili bir güvenlik farkındalığı eğitim programına sahip olmalıdır.
Satıcı Risk Yönetimi
Son olarak kuruluşlar, her satıcıya “Siz veya üçüncü taraflarınızdan herhangi biri MOVEit kullanıyor musunuz?” gibi doğrudan sorular içeren e-postalar göndererek satıcı risk yönetimi programlarını yükseltmeyi düşünmelidir. Bunlar gecikmeden gönderilmelidir.
Bir kuruluşun verileriyle makul düzeyde etkileşime giren herhangi bir satıcı için de etkili bir satıcı risk yönetimi programına ihtiyaç vardır. Kuruluşlar, koruma programlarının beklendiği gibi çalıştığından emin olmak için en az yıllık iç ve dış sızma testlerinin yapılmasını araştırmalıdır.
Yaygın MOVEit ihlallerinden, kontrol ve garantili veri koruma eksikliğinin yanı sıra yanlış anlaşılan risk profillerinin, zayıflıkların genel veri koruma altyapısına sızmasına neden olabileceği açıkça görülüyor. Bu zayıflıklar daha sonra kötü niyetli kişiler tarafından istismar edilir. Kuruluşlar hemen harekete geçmeli, risklerini anlamalı ve verilerini korumak için uygun önlemleri almalıdır.
yazar hakkında
Carl, Bonadio Grubunun FoxPointe Çözümleri/Bilgi Risk Yönetimi Bölümünde yönetici başkan yardımcısıdır. Carl, Veri Gizliliği ve Siber Güvenlik Kontrolleri alanlarında uzmanlığa sahiptir; Fiziksel, İdari ve Teknik Güvenlik; Kurumsal Risk Yönetimi; Satıcı Yönetimi; ve Felaket Kurtarma Planlaması, küçük işletmelerden binlerce çalışana sahip çok bölgeli ve çok uluslu kuruluşlara kadar hemen hemen tüm dikey pazarlardaki şirketlerle çalışmıştır. Carl'a çevrimiçi olarak [email protected] adresinden ve şirketimizin web sitesi https://www.foxpointesolutions.com/ adresinden ulaşılabilir.