Gartner’a göre dünya çapındaki son kullanıcı güvenlik ve risk yönetimi harcamalarının 2024 yılında toplam 215 milyar dolara ulaşması bekleniyor. Bu, 2023’e göre yaklaşık yüzde 15 artış anlamına geliyor. Yatırımlardaki bu artışın iyi bir nedeni var. Yalnızca fidye yazılımı saldırılarındaki ani artışa bakın. Corvus Insurance’ın son araştırmasına göre fidye yazılımı saldırıları 2023’te (2022’ye göre) yüzde 68 artış göstererek 4.496 ile tek bir yıl için yeni bir rekor kırdı.
Ancak işletmeler çevreyi daraltmak ve giderek daha karmaşık hale gelen saldırılarla (uç nokta tespiti ve müdahalesi, güvenli erişim hizmeti kenarı, kimlik ve erişim yönetimi) mücadele etmek için yeni ve yenilikçi teknolojilere yatırım yaptıkça, liste uzayıp gidiyor ve birçoğu siber suçluların kapattığı kritik boşluklar bırakmaya devam ediyor. sömürebilir ve sömürecektir. Bunun bir örneği BT yardım masasıdır.
Yardım masaları, siber suçlular için bir yan kapı olarak kullanılıyor ve bunun ne kadar büyük bir gözetim olduğunu sorgulayanlar için Las Vegas’ın önde gelen tatil yerlerinden başkasına bakmalarına gerek yok. Geçen Eylül ayında siber suçlular, bir rapor çalışanının ayrıntılarını almak için LinkedIn’den yararlandı ve bu bilgi daha sonra kullanıcının hesabını sıfırlamak için BT yardım masasında sosyal mühendislik yapmak için kullanıldı. Bu, tam kapsamlı bir fidye yazılımı saldırısına yol açan bir dizi talihsiz olayı başlattı. Tam etkisi kıyamet gibiydi: odalar için dijital anahtar kartları çalışmayı durdurdu, kredi kartı terminalleri kapandı, kumar makineleri hizmet dışı kaldı ve daha fazlası.
İşletmelerin, giderek daha karmaşık hale gelen saldırıları azaltmak için büyük miktarda para harcadığı bir savaşta, bu gibi olaylar, erişim noktası, kullanıcı hesabı ve kullanılan taktiklerin aslında çok düşük teknolojili olması nedeniyle öne çıkıyor. Ancak basitliğine rağmen bu yaklaşım, saldırganların kısa sürede birkaç adımı atlamasına olanak tanıyor.
Son zamanlarda giderek daha fazla duyduğum gibi, “Saldırganlar içeri girmez; giriş yapıyorlar.” Yukarıdaki tatil yeri hiçbir şekilde yalnız değildir. Diğer birçok şirket yardım masası aracılığıyla mağdur edildi ve çalışanların birden fazla türde doğrulama bilgisi sağlamasını gerektiren güvenli çok faktörlü kimlik doğrulamaya (MFA) yatırım yaparak yanıt veriyor. MFA harika bir ilk adımdır ancak tek başına yeterli değildir.
Pek çok işletme, yardım masası personelinin kimlik bilgilerinin sıfırlanması taleplerini yerine getirmesinden önce kullanıcıları doğrulama süreçlerine yatırım yapmayarak tüm boşlukları kapatma konusunda başarısız oluyor. Sonuç olarak, doğrulama süreçlerini geçmek için gereken önemli kişisel bilgilerle donanmış saldırganlar, yardım masası personelini hesap kimlik bilgilerini veya MFA yöntemini sıfırlamaya ikna edebilir. Oradan bir dizi ayrıcalıklı bilginin kontrolünü ele geçiriyorlar.
Yan kapıları tamamen kapatmak ve ihlalleri önlemek için yardım masası personelinin uygulayacağı bazı ek adımlar çok adımlı doğrulama sürecini içerir. Çok adımlı doğrulama, bir tehdit aktörünün bir hesabı ele geçirme olasılığını azaltan ek doğrulama faktörleri gerektirir. Burada önemli olan, kullanıcılardan LinkedIn gibi bir siteden ve diğer sosyal medya sitelerinden toplayabilecekleri bilgilerin ötesinde ayrıntılar sağlamalarını istemektir. Evet, annenizin kızlık soyadı, büyüdüğünüz sokak veya lise maskotu gibi nispeten erişilebilir bilgilere dayanan aşırı kullanılan güvenlik sorularından bahsediyorum.
Yardımcı olabilecek diğer bir unsur ise görsel doğrulama bileşenlerinin eklenmesidir. Bu, çalışanın yöneticisinin veya bir ekip üyesinin, kişinin söylediği kişi olduğunu doğrulamak için Zoom’a atladığı bir video görüşmesi kadar basit olabilir. İşletmeler ayrıca bir sonraki adımı atabilir ve bağlamsal bilgileri bağlarken yüz tanıma teknolojilerini kullanabilir.
Göz önünde bulundurulması gereken son doğrulama faktörleri kümesi konum, ağ ve günün saatidir. Bunların her biri, kişinin söylediği kişi olduğunu doğrulamak açısından değerli olabilir.
Yardım Masanızı Eğitin
Yardım masası ekibinizi saldırganların kullandığı en son taktikler konusunda eğitmek için zaman ayırın. Örneğin, saldırganlar genellikle sahte bir aciliyet duygusu yaratırlar ve bu acil yardım veya erişim ihtiyacının, personelin temel doğrulama adımlarını atlamasına ve saldırgana istediğini vermesine yol açacağını umarlar. Bu özellikle saldırganların şirkette üst düzey bir kişinin kimliğine büründüğü durumlarda geçerlidir. Bu denenmiş ve doğrulanmış bir taktik olduğundan, tüm yardım masası personelinin bunu fark etmesi ve buna göre yönetmesi için eğitilmesi gerekir.
İyi eğitimli yardım masası çalışanları aynı zamanda diğer ipuçlarını da kavrayabilmelidir. Örneğin, yardım masası ekibi bir dizi kişisel soru sorduğunda, yalnızca yanıtları beklemekle kalmayıp davranışsal ipuçlarını yakalama fırsatı da doğar. Bir yardım masası çalışanının, arayan kişinin veya sohbetteki kişinin temel soruları yanıtlamak için alışılmadık miktarda zaman harcadığını fark edebileceği durumlar olabilir. Bu onların iddia ettikleri kişi olmadıklarının güçlü bir göstergesi olabilir.
Aşırı Paylaşımı Durdurun
Yardım masasının yanı sıra şirketin güvenlik ekibi de tüm çalışanların sosyal medya kanallarında paylaştıkları bilgiler konusunda eğitilmesi için çalışmalıdır. Birçoğumuzun kişisel deneyimlerinden bildiği gibi, şifrenizi hatırlayamadığınızda birçok site aynı doğrulama sorularını sorar. Hangi sokakta büyüdüğünüzü, ilk okulunuzun adını, lise maskotunuzun ne olduğunu, annenizin kızlık soyadının ne olduğunu biliyorsunuz. Ayrıca pek çok kişinin bu soruların yanıtlarını farkında olmadan Facebook üzerinden paylaştığını da biliyorum. sosyal medyada paylaştıkları bilgiler. Sonuç olarak onları herkesin alabileceği bir yere koyuyorlar. Temel doğrulama sorularına bağladıkları bilgilerin çevrimiçi yayınlayabilecekleri bilgilerle aynı olmadığından emin olmak için ekibinizle yakın işbirliği içinde çalışın.
Giderek daha karmaşık hale gelen siber suçluların son derece yenilikçi güvenlik çözümlerine karşı mücadele verdiği bir dünyada, yardım masası saldırısının basitliği öne çıkıyor ve büyük olasılıkla diğer kötü aktörler de bunu fark ediyor. Bu nedenle şirketlerin hemen harekete geçmesi ve yardım masası personelinin şirket anahtarlarını yanlış kişilere vermemesini, hatta onlar için kapıyı açmamasını sağlamak için gerekli adımları atması gerekiyor.
İyi haber şu ki, ek çözümlere yatırım yaparak ve yardım masası personeli ve genel çalışan eğitimi sağlayarak yardım masasının yan kapısını güçlendirebileceksiniz.
__
Ryan Bell, Tehdit Intel Müdürü, Corvus Insurance
Ryan, bir yılı aşkın bir süredir Corvus Insurance’ta Tehdit İstihbarat Ekibinin Müdürü olarak görev yapıyor. Görevi, zengin siber güvenlik uzmanlığını kullanarak Corvus’u tehdit aktörlerinden bir adım önde tutmaktır. Corvus’ta bulunduğu süre boyunca Tehdit İstihbaratı ekibi proaktif uyarı ve istihbarat analitiği yeteneklerini olgunlaştırarak Corvus’un önde gelen kayıp oranını ve siber güvenlik alanında düşünce lideri konumunu destekledi. Geçmişinde sosyoloji alanında yüksek lisans derecesi, sosyoloji ve dijital adli tıp alanında lisans dereceleri ve tehdit istihbaratı ekiplerini başlatma ve yönetme konusunda çok sayıda deneyim bulunmaktadır.
Reklam