Siber savunmalar dijital karmaşıklığın baskısı altında bocalıyor. Günümüzün dijital dünyasının birbirine bağlı doğası, kullanıcıların, üçüncü taraf satıcıların ve siber suçluların kasıtlı veya kasıtsız olarak kurumsal güvenliği tehlikeye atmasını kolaylaştırdı.
Çoğu işletme, artan tüketici taleplerini karşılamak için zorunlu olarak satıcıların ve yüklenicilerin hizmetlerine büyük ölçüde bağımlı hale geldi. Ancak bu, güvendiğimiz bilgilere, insanlara, mallara ve hizmetlere erişimi çok daha savunmasız hale getirdi fark ettiğimizden daha fazla.
Kurumsal varlıklara ve sistemlere erişen herkes Satıcı, yüklenici, çalışan veya ayrıcalıklı kullanıcı olsun, potansiyel bir başarısızlık noktasını temsil eder. Crowdstrike kesintisi ve diğer siber saldırılar ve ihlaller, tedarik zincirlerimizin ne kadar savunmasız olduğunu ve bir olayın yaşam tarzımız üzerinde ne kadar hızlı bir dalga etkisi yaratabileceğinin açık bir hatırlatıcısıdır.
Ayrıcalıklı ve üçüncü taraf hesaplara ait kimlik bilgileri de dahil olmak üzere ele geçirilen kimlik bilgileri, bilgisayar korsanlarının ağ erişimi elde etmek için sıklıkla kullandığı bir yöntem olmaya devam ediyor; bu, birçok işletmenin Sıfır Güven ağlarını ve parolasız kimlik doğrulamayı uygulayarak çözdüğü bir şeydir.
Ancak saldırı yöntemlerinin sürekli gelişmesi ve 2023’teki veri ihlallerinin en önemli nedeninin üçüncü taraf güvenlik açıkları olması nedeniyle, mevcut yaklaşımın modern tehditler karşısında yeterli olup olmadığını sormak kritik önem taşıyor. Açıkçası, üçüncü taraf ağ erişimini güvence altına alma konusunda pek çok kişi yetersiz kalıyor ve bu yüksek riskli tehdidi azaltmak için neyin gerekli olduğunu yeniden düşünmenin zamanı geldi.
Üçüncü taraf erişimi: gerekli ama riskli
Satıcılardan ortaklara ve yüklenicilere kadar üçüncü taraflar günümüz iş ortamının hayati ve kaçınılmaz bir parçasıdır. Teknik destek sağlamak, önemli girişimlerde işbirliği yapmak ya da farklı bir şey için olsun, bu, bu üçüncü tarafların erişime ihtiyaç duyduğu ve çoğu durumda kritik şirket kaynaklarına ya da son derece hassas bilgilere daha yüksek erişime ihtiyaç duyduğu anlamına gelir.
Bu düzeyde erişim beraberinde riski de getiriyor; kuruluşların %56’sı üçüncü taraf veri ihlali yaşadığını bildiriyor. Bu ihlallerin çoğunda neden, üçüncü taraflara çok fazla ayrıcalıklı erişim sağlanmasıydı. Önemli ve kabul edilmiş riske rağmen kuruluşların yarısından fazlası, üçüncü taraf erişim riskini azaltacak etkili kontrollere sahip olmadıklarını söylüyor.
Peki risk iyi anlaşıldıysa üçüncü taraf erişimini yönetmek neden bu kadar zor? Çoğu zaman bunun nedeni, kuruluşların üçüncü taraf uzaktan erişim kimlik bilgilerini, çalışan veya dahili ayrıcalıklı yönetici kimlik bilgileriyle aynı şekilde sağlamaya ve yönetmeye çalışmasıdır. Bu, aşağıdakileri de içeren riskleri beraberinde getirir:
- Oturum açma bilgileri üçüncü taraf içindeki kullanıcılar arasında rutin olarak paylaşılır: Üçüncü tarafların şirketin VPN’sini ve AD’sini kullanması gerekse bile ağa erişen gerçek kişiyi bilmek neredeyse imkansızdır.
- Üçüncü taraf erişimi genellikle ihtiyaç duyulduktan sonra aktif bırakılır: Üçüncü taraf erişimi belirli bir zaman dilimiyle sınırlandırılmalıdır, ancak Active Directory aracılığıyla satıcı erişimi sağlanırken BT’nin erişimi kaldırmayı hatırlamasını gerektirdiğinden bunu yapmak zordur.
- Parçalı kontrol seçenekleri sınırlıdır: Üçüncü taraflar ağa çalışanlarla aynı şekilde erişirse kuruluşlar, üçüncü tarafların nasıl, ne zaman ve neye erişebileceği konusunda ayrıntılı kontrole sahip olmayacaktır.
Riski azaltmaya yönelik adımlar
Bu riski azaltmak için kuruluşların sıkı erişim kontrolleri uygulaması ve veri ihlallerini ve yetkisiz erişimi önlemek amacıyla üçüncü taraf faaliyetlerini izlemesi kritik öneme sahiptir. Kuruluşlar bu riski yönetmek için aşağıdaki adımları izleyerek kapsamlı bir yaklaşım benimsemelidir:
- Saldırı Yüzeyini Tanımlayın: Sisteminize tüm giriş noktalarını net bir şekilde tanımlayın ve verilerin nereden ve ne zaman çıkarılabileceğini ve hangi noktaların en hassas olduğunu anlayın.
- Gerçekçi bir Güvenlik Bilgi Planı Benimseyin: Ağınıza kimin ve nasıl bağlandığını bildiğinizden emin olun. Güvenliği artırmak için MFA’yı uygulayarak tüm çalışanları ve satıcıları üçüncü taraf erişim riskleri konusunda eğitin.
- Ağ Erişimini Kontrol Edin: En az ayrıcalıklı erişim ilkesini uygulayın, üçüncü taraf satıcılara yalnızca görevlerini yerine getirmeleri için gereken erişimi verin ve VPN’ler gibi geniş erişim yöntemlerini ortadan kaldırarak, erişmeleri gereken sistemlerde bile kimlik bilgilerini kontrol etmemelerini sağlayın. Bu, üçüncü tarafların ortak saldırı vektörlerinden kaynaklanabilecek potansiyel hasarı en aza indirir.
- Kullanıcı Eylemlerini Denetleyin: Ağınızdaki yetkili kullanıcıların ayrıntılı eylemlerini izleyen ve denetleyen çözümler uygulayın. Bu, şüpheli etkinliklerin derhal tespit edilmesine ve bunlara yanıt verilmesine yardımcı olur.
Bu yaklaşım aynı zamanda mali ve itibari zararlara karşı koruma sağlar ve veri gizliliğini ve bütünlüğünü koruyarak PCI DSS ve HIPAA gibi düzenlemelere uyumu sağlar.
Üçüncü taraf erişimini ciddiye almak
Üçüncü taraf erişimiyle ilişkili riskler göz ardı edilemeyecek kadar önemlidir ve BT liderlerinin, güçlü erişim yönetimi aracılığıyla operasyonel bütünlüğü sağlamak amacıyla yaklaşımlarını modernize etmek için kapsamlı bir yaklaşım benimsemeleri gerekir. Kuruluşlar bunu yaparak ağlarını olası ihlallerden koruyabilir ve operasyonlarının bütünlüğünü sağlayabilir.