Siber suçlular, bir kuruluşun değerli varlıklarına ve gizli bilgilerine giden en az dirençli yolları ortaya çıkarma sanatında oldukça başarılıdır. Buna karşı koymak için güvenlik uzmanları, saldırganların başarılı olmasını zorlaştıracak daha sağlam ve karmaşık önlemler uygulamaya koydu. Buna cevaben suçlular taktik değiştiriyor ve daha büyük işletmelere ve birbirine bağlı kuruluşlardan oluşan bir cennete giden yollar açmak için tek ve daha zayıf bir hedefe sızarak “adadan atlamayı” tercih ediyor.
Adadan adaya atlama, üçüncü taraflarla çalışan herhangi bir kuruluş için önemli bir tehdit teşkil etmektedir. Her ölçekteki satıcı, yüklenici ve hizmet sağlayıcıyla iş yapan işletmeler özellikle duyarlıdır. Ne yazık ki, potansiyel olarak daha zayıf güvenlik duruşlarına sahip daha küçük tedarikçiler, siber suçlular için kolay giriş noktaları haline gelebilir ve daha büyük müşterileri için önemli bir risk oluşturabilir.
Her şekil ve boyuttaki tedarikçiler
Küçük işletmelerin kendileri de siber saldırıların en büyük endişe kaynağı olduğu konusunda hemfikir; ankette de vurgulandığı gibi, yalnızca yarısı siber saldırı olması durumunda bununla başa çıkmaya hazır olduğunu söyledi. Tedarikçiler siber güvenliğin önemini anlasalar bile uygun kaynaklara sahip olmayabilir ve gerekli düzeyde savunma ve izleme yeteneklerini karşılayamayabilirler.
İş ortakları ve tedarikçiler bilinçli olarak kötü aktörlerin ağlarına girmesine izin vermezken, rakipler bu güvenilir ilişkilerden yararlanıyor. Suçlular, kuruluşların genellikle iş ortaklarına sistemlerine belirli düzeyde erişim izni verdiklerini, bunun da onları kimlik avı, sosyal mühendislik ve ortadaki adam saldırılarının ana hedefi haline getirdiğini biliyor. Kötü niyetli aktörler, 2022 Ponemon Enstitüsü raporunda da gösterildiği gibi, tedarikçilere sistemlere genellikle ihtiyaç duyduklarından daha fazla erişim hakkı verildiğinin de gayet farkında. Üçüncü tarafların neden olduğu bir ihlalle karşılaşan kuruluşların, bunların %70’inin kendilerine çok fazla ayrıcalıklı erişim verilmesinin doğrudan bir sonucu olarak gerçekleştiğini belirttikleri ortaya çıktı.
Birçok kuruluş için ikilem, işletmelerini adadan atlayan saldırılara karşı nasıl güvence altına alırken aynı zamanda şekli ve büyüklüğü ne olursa olsun değerli tedarikçilerle çalışmaya devam edebilmektir. Sorunun, işbirliğine dayalı iş akışındaki hassas güvenlik açıklarını kapatabilecek, ancak aynı zamanda ilişkilerin sorunsuz ilerlemesini de sağlayacak bir çözüme ihtiyacı var.
Her zaman açık sıfır güven kimlik doğrulaması
Bir savunma olarak sıfır güven kimlik doğrulama stratejisi, tedarikçilerin farkında olmadan adaya geçişte köprü haline gelmemelerini sağlayarak çok önemli bir rol oynayabilir. Bu yaklaşım, kullanıcıların ve cihazların güvenilir olduğunu varsaymak yerine, kaynaklara erişmeye çalışan her kullanıcının, cihazın ve uygulamanın, iç ve dış kullanıcılar arasında ayrıntılı veri paylaşımına uyum sağlayabilecek ayrıntılı yetkilendirmeye dayalı olarak sürekli olarak doğrulanmasını gerektirir.
Bu merkezi yaklaşımı tedarikçilere ve üçüncü taraflara genişleterek kuruluşlar, kullanıcılar, tedarikçiler, iş ortakları, roller ve uygulamalar da dahil olmak üzere tüm ekosistemlerinin görünürlüğünü ve erişim kontrolünü tek bir yerden elde edebilir. Ağ cihazı, kimlik ve konum gibi dinamik risk göstergelerinden her zaman açık doğrulama, kimlik doğrulama verildikten sonra yetkisiz erişimi veya ele geçirilen oturumu tespit etmek için her dijital etkileşim boyunca da izlenmesini sağlar. Bu sayede herhangi bir şüpheli erişim reddedilebilir veya sonlandırılabilir.
Doğru türde kimlik doğrulama araçlarına sahip olmak, riskleri en aza indirmeye yardımcı olacak ve eğitim ve destekleyici materyallerle desteklendiğinde tüm taraflar için güvenliği daha da artırabilir. Tedarikçilere ücretsiz siber güvenlik eğitimi sunmak, onların tehditleri savunma ve bunlara yanıt verme yeteneklerini geliştirmelerinin yanı sıra uyumluluk düzenlemelerine ilişkin yükümlülükleri anlamalarına da yardımcı olabilir. Bu karşılıklı zaman ve kaynak taahhüdü, daha uzun vadeli ticari ortaklıkları güçlendirebilir ve inşa edebilir.
Sıfır güven kimlik doğrulaması güvenliği önemli ölçüde güçlendirirken, üçüncü taraflarla ilişkilerde ihlal riskini hiçbir zaman tamamen ortadan kaldıramaz. Ancak her erişim girişiminin titizlikle doğrulanmasını sağlayarak başarılı bir saldırı olasılığını azaltır. Sıfır güven zihniyetini benimsemek, kuruluşları görünüşte meşru kimlik bilgilerine sahip olan, ancak suç niyetiyle adaya giden bir siber turist olduğu ortaya çıkan herkese safça güvenenlerden çok daha güvenli bir yere koyar.
