İçeriden gelen tehditler, günümüzde kuruluşların karşılaştığı en zorlu güvenlik sorunlarından biri olmayı sürdürüyor. Bu tehditler genellikle ilk başta belirgin uyarı işaretleri göstermez.
Bunun yerine, genellikle normal günlük operasyonlara karışan küçük, sıra dışı faaliyetlerle kendilerini açığa vururlar.
Çoğu şirket, meşru kullanıcı hesaplarında ve onaylanmış sistemlerde meydana geldiğinden bu erken göstergeleri tanımlamakta zorluk çekiyor.
Uygun izleme ve analiz yapılmadığında bu uyarı işaretleri, veri kaybı, marka hasarı veya sistem kesintisi gibi ciddi hasarlar oluşana kadar fark edilmeden kalır.
İçeriden gelen tehditleri tespit etmedeki temel zorluk, temel bir ilişkilendirme sorunundan kaynaklanmaktadır. Bir çalışan, şirket sistemlerine eriştiğinde veya verileri yetkili konumlar arasında taşıdığında, eylemleri tamamen normal görünür.
Geleneksel güvenlik araçları, bariz tehditleri engellemeye odaklanır ancak kötü niyetli niyete işaret eden ince davranış kalıplarını sıklıkla gözden kaçırır.
Kuruluşlar, ağlarının içinde olup bitenleri, çalışanların karanlık web forumlarında iletişim kurması veya şirket sırlarını rakiplere satması gibi dışarıda gerçekleşen faaliyetlerle ilişkilendirmede başarısız olduğunda bu boşluk daha da büyüyor.
Nisos güvenlik analistleri, anlamlı iç tehdit göstergelerinin genellikle herhangi bir gerçek veri hırsızlığı veya sistem ihlali meydana gelmeden haftalar, hatta aylar önce ortaya çıktığını belirtti.
Kuruluşlar birden fazla veri kaynağını bir arada incelediğinde ve iç etkinlik günlüklerini kamu kaynaklarından toplanan dış istihbaratla birleştirdiğinde bu göstergeler daha net hale gelir.
Uyarı işaretleri
Araştırma, güvenlik ekiplerinin anlaması ve dikkatle izlemesi gereken altı kritik uyarı işaretini belirliyor.
Burada aşağıda bahsedilmiştir: –
- Olağandışı Kimlik Doğrulama ve Erişim Davranışı
- Yerleşik Normların Dışında Veri Hareketi
- Hassas Varlıklara İlgiyi Gösteren Dijital Davranıştaki Değişiklikler
- Veri Sızıntısı Planlamasını Öneren Göstergeler
- İç Anomalilerle Uyumlu Dış Etkinlik
- Faaliyeti Gizleme Girişimleri
En açıklayıcı erken gösterge olağandışı kimlik doğrulama ve erişim davranışında ortaya çıkıyor. Nisos araştırmacıları, veri çalmayı planlayan çalışanların sık sık beklenmedik konumlardan şirket sistemlerine erişmeye çalıştıklarını, birden fazla platformda hızla oturum açtıklarını veya normal erişim zamanlama düzenlerini değiştirdiklerini tespit etti.
Bir kullanıcı birkaç saat içinde birdenbire üç farklı ülkeden giriş yapabilir veya dosyalara normal çalışma programı dışında olağandışı zamanlarda erişebilir.
Tek bir garip giriş normal iş seyahatini yansıtsa da, bu davranışın tekrarlanan kalıpları daha derin bir araştırmanın gerekli olduğuna işaret ediyor.
Bu eylemler genellikle daha büyük veri toplama faaliyetlerinden önce gelir çünkü içerideki kişilerin otomatik uyarıları tetiklemeden sistemler arasında geçiş yapıp yapamayacaklarını test etmeleri gerekir.
Bu kimlik doğrulama anormalliklerini anlamak, diğer etkinliklerle bağlam ve korelasyon gerektirir. Yalnızca bu bireysel olaylara odaklanan kuruluşlar genellikle daha geniş modeli gözden kaçırır.
Şirketler olağandışı erişim modellerini, şirketlerini çevrimiçi olarak tartışan veya ihlal veritabanlarında görünen çalışanlar hakkındaki bilgilerle birleştirdiğinde, çok daha net bir resim ortaya çıkıyor.
Bu entegre yaklaşım, yalıtılmış olayları, güvenlik ekiplerinin hasar meydana gelmeden önce harekete geçebileceği anlamlı tehdit göstergelerine dönüştürür.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
