Şirketler genellikle dış kaynaklı siber tehditlere odaklanmaktadır fakat içeriden gelebilecek tehditlere karşı da hazırlıklı olmalıdırlar. Dış kaynaklı siber tehditleri bertaraf etmek için anti-malware, güvenlik duvarları, DDoS saldırı engelleme sistemleri, veri kaybını önleme sistemleri kullanılmaktadır. Dış kaynaklı siber saldırılar çok yaygındır, bu nedenle ağlarımızı yetkisiz erişime ve kötü niyetli sızmalara karşı korumak çok önemlidir. İnternet üzerinden erişim veya tesislere yetkisiz fiziksel erişim daima riskli bir durumdur. Bu riskler izlenmeli ve yönetilmelidir. Ancak, genellikle gözden kaçan bir siber saldırı atak yüzeyi olan içeriden gelebilecek tehditlerde izlenmeli ve yönetilmelidir. İçeriden gelebilecek olan siber saldırılar, çoğu insanın tahmin ettiğinden daha yaygındır ve bu gerçeği görmezden gelmek şirketleri tehlikeye atmaktadır. İşte bu yüzden içeriden gelebilecek olan siber tehditlere karşı hazırlıklı olmalısınız ve bu konuda neler yapabilirsiniz bugünkü blog yazımda sizlerle paylaşmaya çalışacağım.
İçeriden gelen saldırıların etkisi ve önemi
Ağınıza yönelik içeriden gelen tehditler tipik olarak şirketinizin çalışanlarından veya çalıştığınız yüklenicilerden gelebilir. Bunlar tesislerinizde iç içe çalıştığınız kişilerdir ve sıklıkla şirket ağlarınızda kullanıcı hesapları vardır. Kuruluşunuz hakkında genellikle şeyleri ağ yöneticinizin adı, hangi belirli uygulamaları kullandığınız, hangi ağ yapılandırmasına sahip olduğunuz, hangi tedarikçilerle çalıştığınız vb. bilgileri bilirler. Dışarıdan gelen siber saldırganlar, genellikle ağınız hakkında keşif yapması, kuruluşunuz hakkında bilgi araştırması, çalışanlarınızın sosyal medyada hassas verilerini alması, herhangi bir kullanıcı hesabına, en az ayrıcalığa sahip olanlar bile olsa, kötü niyetli erişim kazanması gerekir. Dolayısıyla, iç saldırganların, dış saldırganların sahip olmadığı avantajlar bulunmaktadır.
Ayrıca, içeriden gelebilecek bazı tehditler her zaman kötü niyetli tehdit aktörlerinden gelmeyebilir. Bazı içeriden gelen tehditler tamamen kazara ortayada çıkabilmektedir. Belki bir çalışan yanlışlıkla şirketin hassas belgeleriyle dolu olduğu bir USB flaş belleği bir yerlerde bırakabilir, kaybedebilir ya da kötü amaçlı yazılımın ağınıza girmesini sağlayan kötü amaçlı bir linke tıklayabilir.
İçeriden gelen ve Dışarıdan gelen tehditlerin karşılaştırılması
Dolayısıyla içeriden gelen tehditler, genellikle dışarıdan gelen tehditlerden çok daha tehlikeli olabilir. Kötü niyetli saldırganlar söz konusu olduğunda, içerdekilerin binalarınıza ve kullanıcı hesaplarınıza zaten erişim yetkisi vardır. Dışarıdan bir saldırganın ağlarınıza ve fiziksel tesislerinize harici bir saldırı vektörü bulmak için çalışması gerekir. Öncelikle herhangi bir kullanıcı hesabına girmekten çok, zaten sahip olduğunuz bir kullanıcı hesabından ayrıcalık yükseltmek çok daha kolaydır. Bir güvenlik uzmanı yabancı bir kişiyi incelerken, oysa bilinen bir çalışanı göz ardı edebilir. İşte bu sebeple zero-trust bakış açısıyla bilinmeyen dışarıdan bir tehditte olsa, içeriden bir çalışan da olsa aynı titizlikte ihlallerin ve olayların incelenmesi gerekmektedir.
Zaten içerdekilerin sahip olduğu imtiyazlı erişim nedeniyle, yabancı tehditlere göre tespit edilmesi ve durdurulması çok daha zor olmaktadır. Bir çalışan hassas verilerle çalışırken, kötü niyetli bir şey yapıp yapmadıklarını bilmek çok zordur. İçeriden gelen tehdit unsuru kişi, ağınızda kötü niyetli davranırsa bunun bir hata olduğunu iddia edebilir ve bu nedenle suçluluk duygusunu kanıtlamak zor olabilir. İçeriden gelen tehditleri fark etmek dışa dönük tehditlerden ayırmak çok daha zor olabilir.
Dikkat edilmesi gereken içeriden gelen tehditlere ilişkin göstergeler nelerdir
İçeriden gelen tehditlerin tespit edilmesi çok daha zor olabileceğinden, hangi göstergelere dikkat etmeniz gerektiğini bilmek çok önemlidir. Hoşnutsuz çalışanlar bazen kötü niyetli içeriden gelebilecek saldırıların baş aktörü olabilir.
En tehlikeli olanlar iş akdinin fesihi bildirimini alanlardır. Artık kaybedecekleri bir şey olmadığına karar verebilirler çünkü artık kovulma konusunda endişeli değillerdir. Kuruluşunuzun yapısına ve yaptığınız işe bağlı olarak, şirketiniz için feshedildikleri andan itibaren çalışmayı bırakmaları sağlamanız önemli bir konudur. Size sahip oldukları fiziksel erişim anahtarlarını vermelerini ve kullanıcı hesaplarını hemen devre dışı bırakmalarını sağlamalısınız. Ancak iş akdi sonlandırıldıktan sonra bir süre çalışmaları gerekiyorsa, özellikle dikkatle bu çalışanları izlemeniz gerekmektedir.
İş akdi sonlandırılmamış fakat memnun olmayan çalışanlar da tehdit unsurlarından bir tanesidir. Kötü niyetli saldırgana dönüşebilecek hoşnutsuz çalışanların belirtileri arasında; denetçiler ve iş arkadaşlarınızla sık sık çatışma yaşayanlar , düşük performans gösterenler ve genel olarak işlerin gerçekleştirilmesinde gecikme gösterenler olarak sıralayabiliriz. İş ilanı web sitelerine yapılan ziyaretler, hoşnutsuz bir çalışanın açık bir göstergesidir.
İlginçtir ki, kötü niyetli içeriden olabilecek bir çalışanın veya yüklenicinin başka bir tür belirtisi, daha fazla iş yapmak için alışılmadık bir şekilde hevesli göründükleridir. Yükselmek istedikleri için değil, hassas verilere erişimlerini genişletmek istedikleri için daha fazla iş veya ek görev için gönüllü olabilirler.
Diğer şehirlere veya ülkelere sık sık seyahat etmek, endüstriyel casusluğun işareti olabilir. Hassas ve özel bilgileri başka bir şirketle paylaşıyor olabilirler. Bu konuda’da dikkatli olmak gerekmektedir. İçeriden gelen tehdit aktörlerinin bir diğer önemli göstergesi, mali durumlarında açıklanamayan önemli değişiklikleri olan çalışanlardır. Açıklanamayan fazladan gelen para endüstriyel casusluktan geliyor veya şirket hesaplarından para dahi çalıyor olabilir.
Bulut Bilişim ile içeriden gelen saldırılar
Giderek daha fazla sayıda organizasyon bulut ağlarına geçmeye başladı. Bulut bilişim işletmeler için, daha ucuz olabilir ve ağınızı daha büyük yatırımlar yapmaya gerek kalmadan genişletebilmelerini sağlar, ayrıca şirket içi ağlardan çok daha fazla ölçeklendirilebilirler. Ancak bulut ağları içeriden gelebilecek tehditler için benzersiz zorluklar ortaya çıkarmaktadır. Bulut ortamınız, tüm altyapı yığınlarınız ve uygulamalarınızla etkileşime girdiğinden, orada olabilecek içeriden kaynaklanan tehditleri izlemek çok önemlidir.
Bulutunuz için içeriden gelen tehditleri önlemeye yardımcı olmak için, optimum güvenlik için uygun şekilde yapılandırıldığından emin olmanız gerekir. Ayrıca, buluta uygun olan kimlik erişim yönetimini de uygulamanız gerekir. En az ayrıcalık ilkesi, bulut ağlarını kurum içi ağlarda olduğu gibi korumak için de yararlı olmaktadır. Hiçbir kullanıcının işlerini yapmak için kesinlikle ihtiyaç duyduğundan daha fazla imtiyazı olmamalıdır. Bu konuda önemli bir şekilde hassas davranılmalıdır.
Sonuç olarak içeriden gelen tehditlerin önemini asla küçümsememelisiniz.
Sektörünüz veya ağ yapılandırmalarınızdan bağımsız olarak, içeriden gelen tehditlerin ve saldırıların şirketinizin ağları için önemli bir sorun olduğu açıktır. Düzgün ve sürekli eğitim, içeriden gelen tehditleri hafifletmek için önemli bir rol oynamaktadır. Şirketinizdeki insanlar içeriden gelen tehditlerin belirtilerini bilmeli ve bunlara dikkat etmelidirler. Kaza sonucu oluşan tehditlerin önlenmesine yardımcı olmak için, kullanıcılar sosyal mühendisliğe karşı bilgilendirilmeli ve hassas verileri nasıl kullandıklarına daha fazla dikkat etmeleri için eğitilmeleri gerekir. Eğitim, sık ve tutarlı olduğunda çalışanlarınız en iyi yöntemleri öğreneceklerdir. Bu nedenle, eğitim seansları yılda bir kez değil, yılda en az iki, üç kez hatta daha fazla defa yapılmalıdır. İnsanoğlu zaman içerisinde farkında olmadan öğrendikleri şeyleri unutma eğilimindedirler, bu sebeple sürekli olarak bilgilerin canlı tutulması önemlidir. İçeriden gelebilecek tehditleri fark etmede farkındalık ve dikkat çok önemlidir.