Devletler ve İçeriden Gelen Tehditler: Güvenlik Stratejileri ve Tehdit Azaltma Yöntemleri
Son yıllarda rakip devlet’lerin özellikle Rusya ve Çin’in yanı sıra suç örgütlerinin gerçekleştirdiği siber saldırılarda artış yaşanmış ve bu durum hükümetlerin bu kötü niyetli kişilere karşı savunma çabalarını arttırmış durumda.
Odak büyük ölçüde dış aktörler üzerinde olsa da, iç tehditlere karşı hükümet organizasyonlarını güvence altına alma çabaları da devam etmektedir.
İçeriden gelen tehditler, organizasyon içinde yetkilendirilmiş erişime sahip oldukları için ciddi bir risk oluşturur. Bu erişim olmadan işlerini yapamazlar.
Ancak bu erişimle birlikte risk de gelir. Bu iç tehditler, hassas bilgilerin nerede olduğunu ve nasıl ulaşılacağını zaten bilirler. Etkili bir şekilde işlev görmek için yeterli erişim vermek ile organizasyonu mantıksız bir risk seviyesine maruz bırakmamak arasında bir denge kurmak büyük bir zorluktur.
Bu riski anlamak ve nasıl azaltılacağını anlamak için, hükümet organizasyonlarının neden hedeflendiğini, içeriden gelen tehditlerin kimler olduğunu ve bu riski azaltmak için atılabilecek bazı adımlara göz atalım.
Devletler Neden İç Tehditlere Yüksek Değer Veriyor?
Özel bir organizasyonu hedef alma durumlarında içeriden gelen tehditlerin motivasyonları neredeyse her zaman finansal kazanca odaklanırken, bazen organizasyonlarına karşı duydukları öfkeyi de içerebilir.
Hükümeti hedef alırken açlık içeriden gelen tehditleri için güçlü bir motivasyon kaynağı olabilir, ancak verilerin ölçeği ve hassasiyeti nedeniyle bahisler genellikle çok daha yüksektir.
Bir hükümet kurumu neden bu kadar değerli bir hedef olabilir?
Sınıflandırılmış Bilgi Çalma
Casusluk, en eski güvenlik sorunlarından biridir ve hükümetlerin çok önemli sırları vardır. Savunma ve diplomasi, ekonomi gibi her şey, gözlerden uzak tutulması ulusal güvenlik açısından hayati öneme sahiptir. Ve avantaj sağlayacak bilgiler veya diğer bilgileri elde etmek isteyen başka hükümetler bulunmaktadır. Görülen modern vakalardan birinde, hedefler genellikle yeni bir yabancı hükümet için teknoloji çalmak isteyen içeriden gelen tehditler olan Lockheed Martin gibi şirketlerde çalışan hükümet taşeronlarıdır.
Bilinen bir örnek, eski CIA vaka subayı Jerry Chun Shing Lee’nin savunma sırlarını Çin hükümetine yüz binlerce dolar karşılığında sattığıdır. FBI tarafından yakalandıktan sonra hassas bilgileri bir USB sürücüsü aracılığıyla Çin istihbaratına aktarmak suçundan suçlu bulundu. Lee, Amerikan Adalet Bakanlığı tarafından atıf yapılan bir dizi eski CIA memuru vakasından sadece biridir. Bu, iki güç arasındaki gerilim arttıkça devam edecek bir trenddir.
Hükümet Kişisel Bilgileri Saklar
Casusluk veya sadece kar etmek amacıyla büyük miktarda bilgi çalmak istemenizin amacı ne olursa olsun, hükümet kişisel verilerin hazine sandığınız bir yerdir.
Adreslerden sosyal güvenlik numaralarına kadar, hükümet bir dolandırıcı için ihtiyaç duyabileceği her şeye sahiptir.
İdeolojik Nedenler veya Kişisel Hırs
Edward Snowden muhtemelen içeriden gelen tehditlerin en ünlü örneğidir, ancak son dönemlerde Reality Winner ve Chelsea Manning gibi birçok içeriden gelen tehdit örneği bulunmaktadır. İçeriden bilgi çalmalarının arkasındaki ideolojik motivasyonlar nedeniyle hükümetten bilgi çalmışlardır.
Her iki durumda da, kamuoyunu etkileyeceğini ve politikayı etkilemeyi umarak sızdırmak istedikleri bilgileri sızdırmaya karar verdiler. Ancak her ikisi de çalınan bilgileri kimliklerini korumada fazla bir şey yapmayan yayıncılara, sırasıyla Intercept ve Wikileaks’e gönderme hatasını yaptılar ve sonunda hapis cezası aldılar.
Bu iki kişinin belki de kaçak faaliyetlerinin arkasındaki idealist nedenlere sahip olabileceği, hala çok daha yaygın olabilecek standart, işte her türlü yolsuzluk/hırsızlık çalmayı denemeye çalışacak birçok insan olduğu gerçeği göz önüne alındığında bile.
Akıllara gelen bir başka vaka, hükümet yazılımını ve verilerini kendi ürünü için çalmak için suç işlemesi nedeniyle suçlu bulunan eski bir İç Güvenlik Müfettişi olan Charles K. Edwards’dır. Eski çalışanı ile işbirliği yaparak, çabasına yardımcı olmuş, ancak her ikisi de sonunda yakalanmıştır.
İç Tehditler Kimlerdir?
Motivasyonlar bir yana, her iç tehdit aynı değildir.
Kötü Niyetli İç Tehditler
Bu kişiler organizasyonlarına zarar verme konusunda ne yaptıklarını bilirler. Hırsızlıkları veya yok etmeye yönelik hareketlerle ciddi zarar vermeye çalıştıkları için yüksek risk oluştururlar.
İnsan Hataları
Verizon Veri İhlali İncelemeleri Raporu, bu kişilere “Çeşitli Hatalar” adını verir. Belki de yanlış kişiye dosya gönderdiler, bir erişim politikasını yanlış yapılandırdılar veya güvenliğinize zarar verecek başka bir şey yaptılar.
Karar verici faktör burada hareketin kasıtsız olmasıdır. Ancak hala yıkıcı olabilirler.
Tehdit Etmek için Kullanılan Kimlik Bilgileri
Harici saldırganların ağınızda gezinmek için kullanabilecekleri en iyi yol, bilgisayar korsanlarının sıradan yetkilendirilmiş kullanıcılardan birinin sahip olduğu meşru kimlik bilgilerini kullanmalarıdır.
Her zaman bir kullanıcınızın kimlik bilgilerinin çalınmış olabileceğini düşünmelisiniz, çünkü bunlar çalındı veya sadece brute force ile ele geçirildi ve ağınızda dolaşan kurtlar giysilerin içinde olabilirler.
Hesaplarınızın kompromize edilmesini zorlaştırmak için Çoklu Faktör Kimlik Doğrulama kullanmanız önemlidir.
Riskleri Azaltma Yolları
İçeriden ve harici aktörlerden kaynaklanan tehditlerden kaynaklanan risk hiçbir zaman %100 önlenebilir olmayacaktır. Neyse ki riskinizi azaltmak ve güvenlik olaylarına daha hızlı yanıt vermek için atılabilecek adımlar vardır.
Erişimi Minimumda Tutun
Kötü niyetli bir aktör, erişimi olmayan kaynaklara ulaşamaz. Organizasyonlar, verimliliği artırmak amacıyla herkese geniş erişim verme eğiliminden kaçınmalıdır. Elbette, erişim talebi bir sürtünme dolu bir frustrasyon olabilir, ancak herkesin erişimini en düşük seviyelere sınırlamak, güvenliğinizi zorlaştırmada kritik bir rol oynar.
En Az Hak İlkesi, insanların işlerini yapmak için gereken en düşük ayrıcalığı verme çağrısında bulunur. Takımınızdaki bir geliştiricinin finans kayıtlarına sürekli yönetici erişimine sahip olmasının iyi bir nedeni yoktur ve aksine.
Anomal Aktiviteyi İzleyin
Kullanıcılarınızın davranışlarını gözlemlemek ve anlamak, organizasyonunuzu güvende tutmanın temel bir unsurdur. Buradaki ilk adım, normal kullanıcı aktivitesinin temelini bilmektir. Bu şekilde birinin normal davranışından sapıp sapmadığınızı değerlendirebilirsiniz.
Bu faktörleri göz önünde bulundurmalısınız kullanıcının organizasyondaki rolü. Hiçbir zaman normalde kişisel tanımlanabilir bilgilere (PII) dokunmayan birinin birdenbire insanların sosyal güvenlik numaralarını ve adreslerini listeleyen dosyalarda araştırma yapması mantıklı mı?
Ortaya çıkabilecek diğer şüpheli davranışlar, Sally’nin büyük miktarda dosya indiriyor ve tuhaf saatlerde çalışıyor olması nedeniyle ortaya çıkabilir. Birçok organizasyon, çalışanların boş saatlerinde ekstra zaman harcadıklarını takdir eder, ancak onları hassas bilgilerle kapıdan çıkarmak istemezsiniz.
Yetkilendirilmemiş aktivitenin işareti olabilecek anormal davranışları izlemek için araçlar kullanın ve hızlı bir şekilde sorunuzu anlamak için soruşturun, ya çok hevesli çalışanlarınız vardır ya da potansiyel bir güvenlik olayı ile karşı karşıyasınızdır.
Taşeronlarınızı İzleyin
Bu yılki Verizon Veri İhlali İncelemeleri Raporuna baktığımızda, sistem ihlallerinin %62’sinin tedarik zinciri saldırılarının sonucu olduğunu görüyoruz. Eğer organizasyonunuza bir tür erişim veya yazılım sağlama yoluyla besleyen bir taşeronla çalışıyorsanız, o zaman onların güvenliği sizin sorumluluğunuz olur.
Bu sorun aslında iki bileşene ayrılır. İlk olarak, onların organizasyonunuzla etkileşimlerini bir çalışan gibi izlemeniz gerektiği. Bölüm/organizasyonunuzla ilişkileri nedeniyle, dışardan gelen birinden daha fazla erişim ve organizasyonunuzun ortamları hakkında daha fazla bilgiye sahiptirler. Bu, potansiyel tehdit seviyelerini artırır ve ek dikkati hak eder.
İkincisi, size organizasyonunuzun tutulduğu aynı yüksek standartlara uymada başarılı olduklarını kanıtlamalıdırlar. CMMC, NIST gibi düşünün. Eğer kompromiye uğrarlarsa, saldırganlar SolarWinds dahil diğer birçok saldırıda gördüğümüz gibi size yönelebilirler.
Yani sizinle iş yapmak istiyorlarsa, sizin standartlarınıza uyduklarını kanıtlamaları gerekiyor.
Roller Arası Erişimi Ayırın
Snowden’ın başarısında işbirliği çok önemliydi çünkü kendi başına her şeyi çalmak için gerekli erişime sahip değildi. Bu durumda, çalışanlar ve departmanlar arasında bir duvarı koruma sistemi insan hatasından kaynaklanmış olsa da, konsept hala doğrudur. Bunu, tek bir kişi tarafından içeriden gelen tehdit olmayı seçmeye karar veren veya kimlik bilgileri paylaşmanın sınırlarının sona ermesi gerektiği şeklinde düşünün.
Oturumları Kaydedin
Bir güvenlik olayı durumunda izleme ve adli tıp için etkin kullanımının yanı sıra bir içeriden gelen tehdit için potansiyel bir caydırıcı rol oynayabilen oturum kaydı önemli bir rol oynayabilir.
Bu aracın etkili kullanımı, nereye bakılacağını bilmeyi gerektirir, çünkü bir insanı saatler/haftalar/aylar boyunca anlık tekrar çalıştırmak herkesin zamanının iyi kullanımı değildir. Bu nedenle kayıtları olayın bir parçasına çok ihtiyaç duyulan bağlam sağlamak için diğer izleme ve tespit araçları ile koordine bir şekilde kullanmalısınız.
Ayrıca gizlilik açısından seçici olmanız gerekir, herkesin kaydedildiğinden haberdar olduğundan emin olmalısınız, özellikle iletişimler dahilse. Bu konuda devletinizin yasalarını kontrol edin, çünkü yerden yere değişebilirler.
Kötü Niyetli İç Tehditlere Karşı Güçlü Kültür
Kötü niyetli bir içeriden gelen tehdidin sürdürülmesinde açlık genellikle bir motivasyon kaynağıdır, ancak organizasyonlarına karşı duydukları memnuniyetsizlik kesinlikle bu liste başıdır. Eğer insanlarınız bağlantısız, hayal kırıklığına uğramış ve genel olarak memnun değilse, meslektaşlarına karşı dönmekte daha az engel olacaklardır. Bu kesinlikle bir esprit de corps yaratmak zor olsa da, uzaktan ve karma çalışma dönemlerinde bir topluluk hissi yaratmak en kritik olduğu zamanlardır.
Şirketlerin kendilerini bir aile olarak adlandırmaları yaygın bir hata olabilir – ki kesinlikle değillerdir. Ne kadar istersek isteyelim, aile üyelerimizi işten çıkaramayız. Ancak insanların kendilerini takdir edildikleri ve yakınlık hissi yarattıkları bir atmosfer yaratmak, herhangi bir güvenlik çözümünden daha fazla bir faktör olabilir.
Eline sağlık.
Teşekkür ederim hocam, saygılar.