KOBİ’lerin büyük bütçeleri olmayabilir ancak birçok siber saldırıya maruz kalıyorlar. Cleveland Eyalet Üniversitesi’nin yeni bir araştırması, bu şirketlerin NICE Siber Güvenlik İşgücü Çerçevesindeki binlerce beceri ve görev arasında kaybolmadan personeli nasıl eğitebileceklerini inceledi. Sonuç, çok daha büyük kuruluşlardaki güvenlik liderleri için dersler içerebilecek sadeleştirilmiş, senaryoya dayalı bir müfredattır.
Dev bir çerçeveyi küçültmek
Araştırma ekibi basit bir soru sordu: Ya çerçevenin yalnızca küçük işletmelere yönelik en yaygın saldırılara karşı koruma sağlayan kısımlarını öğretseydiniz? Verizon, Ponemon Institute, CISA, Hiscox ve ENISA’dan elde edilen verileri kullanarak KOBİ olaylarına hakim olan üç tehdidi belirlediler: kimlik avı ve sosyal mühendislik, kötü amaçlı yazılım ve fidye yazılımı ve web tabanlı saldırılar.
Buradan itibaren çerçeveyi 88 teknik ve 54 teknik olmayan unsura indirdiler. Kesilen liste hâlâ risk yönetimi, kötü amaçlı yazılım analizi, web hizmetleri, gizlilik yasası, içeriden tehdit araştırmaları ve tedarik zinciri risk yönetimini kapsıyor.
Gerçek saldırılarla öğrenme
Ellerindeki kısa listeyle araştırmacılar senaryolar etrafında eğitim oluşturdular. Öğrenciler soyut kavramların üzerinden geçmek yerine bilinen saldırılara dayalı simülasyonlardan geçerler. Bunlar arasında EternalBlue aracılığıyla gönderilen fidye yazılımları, Spectre ve Meltdown donanım kusurları, PBX hackleme, web sitesi parmak izi alma, DDoS kampanyaları ve Thallium grubuyla bağlantılı kimlik avı yer alıyor.
Her alıştırma teknik becerileri hukuki bilgiyle eşleştirir. Örneğin EternalBlue senaryosu hem işletim sistemi güçlendirmesini hem de ihlal bildirim yasalarını kapsıyor. PBX hackleme, Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası ile birlikte erişim kontrolünü araştırıyor.
Sanal makine laboratuvarları öğrencilere saldırıları gerçekleştirme ve saldırılara karşı savunma şansı verirken, yasal vaka çalışmaları düzenlemelerin teknik yanıtla nasıl bağlantılı olduğunu vurguluyor.
Kurumsal liderlerin KOBİ eğitiminden alabileceği dersler
CISO’lar için bu çalışma iki önemli şeyi gösteriyor. İlk olarak, genişleyen bir çerçeveyi alıp onu gerçek risklerle eşleşen bir şeye dönüştürmek mümkündür. Birçok güvenlik lideri, geniş kapsamlı ancak odak noktası olmayan eğitim programlarıyla ilgilenir. Bunun gibi seçici bir yaklaşım, eğitimin güncel kalmasına yardımcı olabilir.
İkincisi, model hukuki ve teknik çalışmayı harmanlamaktadır. Büyük işletmelerde olaylara müdahale her zaman uyumluluk ve hukuk ekiplerini içerir. Gerçeği yansıtan eğitim, personeli gerçek bir krizde karşılaşacakları disiplinler arası çalışmaya hazırlayabilir.
Daon Hukuk Baş Sorumlusu Martin Walsh, Help Net Security’ye aynı boşluğu daha küçük kuruluşlarda da gördüğünü söyledi. “KOBİ’lerin genellikle dahili uzmanları veya iyi harici danışmanları yoktur” dedi. “Genellikle bu konular uzmanlığı veya deneyimi olmayan ve yönetimin desteği olmaksızın genel bir BT çalışanına devredilir. Bunlar, bu şekilde ele alınması gereken büyük ve önemli sorunlardır.”
Walsh ayrıca silolanmış operasyonlara karşı da uyarıda bulunarak şunları kaydetti: “Güvenlik, BT, hukuk, düzenleme ve gizliliğin birleşik bir ekip olarak çalıştığı işlevler arası işbirliğine sahip olmanız gerekir. Silolanmış bir yaklaşım, kötü durumların daha da kötü hale gelmesi riskini artırır.”
Uyarlamaya değer bir yöntem
Proje KOBİ’leri hedef alsa da daha büyük kuruluşlar da aynı süreci uygulayabilir. CISO’lar kendi sektörlerindeki en acil tehditleri tespit edebilir, bunları NICE Çerçevesi ile eşleyebilir ve hedefe yönelik senaryolar oluşturabilir. Bu, eğitimin gerçek iş risklerine bağlı kalmasını sağlarken personele pratik uygulama olanağı sağlayacaktır.
Senaryo odaklı yaklaşım aynı zamanda CISO’ların eğitim katılımını iyileştirmesine de yardımcı olabilir. Çalışanlar genellikle soyut politika tartışmalarını görmezden gelirler. Yasal sonuçları da gösteren simüle edilmiş bir saldırının üzerinden geçmek çok daha unutulmaz olabilir.
Walsh, kuruluşların yapılandırılmış rutinler oluşturarak işbirliğini güçlendirebileceğini ekledi. “Bir Güvenlik veya Gizlilik Çalışma Grubu kurun ve mutlaka aylık toplantılar planlayın” tavsiyesinde bulundu. “Şirket içi avukatınız, BT Bölüm Başkanı veya Bilgi Güvenliği Başkanı gibi kilit kişileri sürece dahil edin; üst düzey yönetimin de sürece dahil olmasına ihtiyacınız var. Ayrıca ödevinizi kontrol etmesi için dışarıdan bağımsız bir veri koruma görevlisi bulundurmanızı da tavsiye ederim. Yanlış bir güvenlik duygusunun kimseye faydası olmaz.”
Ayrıca düzenli olarak masa başı senaryoların uygulanmasını da tavsiye etti. Walsh, “Teorik bir veri ihlalini tanımlayın ve nasıl yaptığınızı görmek ve güçlü veya zayıf yönlerinizi değerlendirmek için bir inceleme yapın” dedi.
Bu yaklaşımın bundan sonra nereye gidebileceği
Araştırma ekibi, bu yöntemin IoT dahil diğer alanlara da genişletilebileceğini belirtiyor. Kuruluşlar, bağlı cihazları personeli eğitebileceklerinden daha hızlı bir şekilde benimsedikçe, daraltılmış, senaryoya dayalı bir müfredat boşluğun kapatılmasına yardımcı olabilir.
Çerçeveler yararlı başlangıç noktalarıdır, ancak değer, bunları en önemli konulara indirgemekten ve eğitimi gerçek dünyadaki olaylara bağlamaktan gelir.