İçeriden Gelen Tehdit Riskleri ve Çalışanların İzlenmesi Yoluyla Bunların Tespit Edilmesi

Dışarıdan sızan bilgisayar korsanları gibi dış tehditlerin aksine, iç tehditler kuruluşunuzun içindeki bireyler tarafından oluşturulur. Bunlar çalışanlarınız, yöneticileriniz, ortaklarınız veya yüklenicileriniz olabilir - gizli verilere, sistemlere ve tesislere meşru erişimi olan ve bu erişimi işinize zarar verecek şekilde kullanan herkes.

İçeriden gelen tehditler, her biri biraz farklı tespit yöntemleri gerektiren birçok biçimde ortaya çıkar. Bunları genel olarak kötü niyetli içeridekiler, ihmalkar içeridekiler ve tehlikeye atılmış içeridekiler olarak kategorize edebiliriz.

İçeriden gelen tehditleri düşündüğümüzde, genellikle akla ilk olarak bu tür gelir. Kötü niyetli içeridekiler terfi ettirilmedikleri ya da disiplin cezasına çarptırıldıkları için intikam amacıyla, ideolojik nedenlerle ya da hatta eğlence amacıyla kasıtlı olarak zarar verirler. Ancak, kötü niyetli içeriden öğrenen vakalarının mutlak çoğunluğu - %89 - kişisel finansal kazançtan kaynaklanmaktadır. İçeriden öğrenenler şunları yapabilir:

• Rakiplere satmak veya kişisel kazanç elde etmek amacıyla hassas müşteri verilerini, ticari sırları veya finansal bilgileri çalmak.

• Kritik dosyaları silerek, sistemleri bozarak veya kötü amaçlı yazılım yükleyerek şirketi sabote edin.

• Mali kayıtları manipüle etmek, hileli hesaplar oluşturmak veya kişisel zenginleşme için zimmete para geçirmek.

• Rakiplerine satmak veya kendi işlerini kurmak için tescilli tasarımları, formülleri veya diğer fikri mülkiyetleri çalmak.

Kötü niyetli içeridekiler gizli görevdeki süper ajanlar değildir. Kendisine değer verilmediğini düşünerek şirketten ayrılmadan önce kritik müşteri veritabanlarını silen hoşnutsuz sistem yöneticiniz olabilirler. Ya da biriken faturaları karşılamak için rakiplerine satmak üzere verileri sistematik olarak dışa aktaran bir satış temsilcisi. Kötü niyetli içeridekiler, kuruma kasten zarar veren sıradan çalışanlardır. Yine de içeriden tehdit olaylarının %25'inden sorumludurlar.

İçeriden çalışanların hepsi kötü niyetli değildir. İhmalkar çalışanlar kuruma kasıtlı olarak zarar vermek istemezler, ancak kasıtsız hataları ve dikkatsiz davranışları kötü niyetli eylemler kadar hasara neden olabilir. Tüm veri ihlali olaylarının %88 gibi şaşırtıcı bir oranı çalışanların hatalarından kaynaklanmakta ya da önemli ölçüde kötüleşmektedir. İhmalkar içeridekiler genellikle tehdidi tanımak için farkındalık veya eğitimden yoksundur veya sadece umursamazdır. Bu kişilerin aşağıdaki eylemleri ciddi güvenlik ihlallerine yol açabilir:

• Kimlik avı e-postalarındaki bağlantılara tıklar, bilmeden şirket cihazlarına kötü amaçlı yazılım indirir;

• Kolay tahmin edilebilir parolalar kullanmak veya parolaları birden fazla hesapta yeniden kullanmak;

• hassas verilerin güvenli olmayan yerlerde depolanması;

• gizli bilgilerin şifrelenmemiş kanallar üzerinden paylaşılması;

• Yerleşik güvenlik protokollerini atlamak, güvenlik yazılımını devre dışı bırakmak veya kolaylık ya da anlayış eksikliği nedeniyle güvenlik politikalarını göz ardı etmek;

• Hassas bilgilerin yanlışlıkla yanlış alıcıya gönderilmesi;

• kişisel bilgilerin istenmeden yayınlanması veya yayımlanması ve diğer insan hataları.

İhmalkar bir içeriden öğrenene örnek olarak, borç hesaplarında çalışan bir çalışanın görünüşte meşru bir e-posta alması verilebilir. E-postada bir satıcı için banka bilgilerinin güncellenmesi istenmektedir. Çalışan, gönderenin e-postasını iyice kontrol etmez, bağlantıya tıklar, sahte bir giriş sayfasına kimlik bilgilerini girer ve bilmeden bilgisayar korsanlarına şirketin finansal sistemine erişim izni verir.

İhmalin bir sonucu olarak, bir çalışanın hesabı dış aktörler tarafından ele geçirilebilir. Kimlik bilgisi hırsızı, kimlik avı, kötü amaçlı yazılım veya diğer yöntemlerle bir çalışanın yasal oturum açma kimlik bilgilerini ele geçirir. Saldırgan daha sonra o çalışan gibi davranarak gizli verileri çalar veya diğer kötü niyetli faaliyetlerde bulunur. Kimlik bilgisi hırsızlığı, içeriden tehdit olaylarının %20'sinin nedenidir.

Peki, içeriden gelen tehditleri nasıl tespit edebilir ve önleyebiliriz? Daha önce de belirtildiği gibi, geleneksel güvenlik yöntemleri dış saldırılara karşı etkilidir, ancak genellikle iç tehlikelere karşı kördür. İşte bu noktada çalışanların izlenmesi devreye giriyor.

Çalışan izleme stratejik ve etik bir şekilde uygulanırsa, kuruluşların personelin iş süreçlerini, davranışlarını ve iletişimlerini görmesini sağlar. Bu şekilde, güvenlik uzmanları aksi takdirde fark edilmeyebilecek anormal davranışları, politika ihlallerini ve kötü niyet belirtilerini tespit edebilir.

İçeriden tehdit tespiti için temel çalışan izleme özelliklerini ve bunların kötü niyetli aktörleri nasıl ortaya çıkarabileceğini inceleyelim.

Veri Kaybını Önleme (DLP), hassas bilgileri yetkisiz erişim veya iletimden korumak için gelişmiş bir dizi özelliktir. Potansiyel veri ihlallerini, dışarı sızmayı, kötüye kullanımı ve kazara maruz kalmayı tespit eder ve yönetmeye yardımcı olur.

DLP sistemleri kuruluş içindeki hassas bilgileri tanımlar ve dijital bir nöbetçi görevi görür. Gizli bilgilerin hareketini izler, yetkisiz aktarma, harici cihazlara veya bulut depolama alanına kopyalama veya yazdırma girişimlerini işaretlerler. DLP sistemleri ayrıca güvenlik uzmanlarını ve yöneticileri olay hakkında bilgilendirmek için uyarı mekanizmalarına sahiptir.

Hassas verilerin titizlikle izlenmesi, DLP çözümlerinin hem kötü niyetli hem de ihmalkar içeriden gelen tehditleri tespit etmesini sağlar.

Kullanıcı ve Varlık Davranış Analitiği (UEBA) araçları, bir kuruluşun ağındaki anormal davranışları ve potansiyel güvenlik tehditlerini tespit etmek için yapay zeka ve makine öğrenimi dahil olmak üzere gelişmiş analitik tekniklerini kullanır. İlk olarak UEBA, normal faaliyetin temel modellerini oluşturmak için kullanıcıların (çalışanlar, müşteriler ve yükleniciler) ve varlıkların (uygulamalar, cihazlar ve sunucular) faaliyetlerini analiz eder. Bundan sonra, sistem kullanıcıların ve varlıkların davranışlarını sürekli olarak izler ve bunları belirlenen temel çizgilerle karşılaştırır. Normdan herhangi bir sapma tespit ederse, bunları potansiyel güvenlik tehditleri olarak işaretler. Her anomaliye bir risk puanı atanır ve bu puan şüpheli davranış arttıkça artar. Risk puanları önceden tanımlanmış eşikleri aştığında, sistem güvenlik uzmanını veya yöneticiyi soruşturma ve olası eylem için uyarır.

UEBA, içeriden gelen tehditlere, ele geçirilmiş hesaplara ve geleneksel güvenlik araçlarını atlatabilecek diğer saldırı yöntemlerine karşı son derece etkilidir. Etkinliği, önceden tanımlanmış saldırı modelleriyle eşleşmeyen tehditleri tespit etme yeteneğinde yatmaktadır. Aynı zamanda, UEBA normal davranış kalıplarını anladığı için daha düşük bir yanlış pozitif oranı gösterir.

Çalışanların iş günü boyunca faaliyetlerini takip etmek, hangi web sitelerini ve uygulamaları kullandıklarını ortaya çıkarır. Bu şekilde, kuruluşlar yetkisiz veya yüksek riskli web sitelerine erişimi veya işle ilgili olmayan sitelerde aşırı zaman geçirmeyi (bazı durumlarda ayrılma veya kötü niyetli planlamanın bir işareti olabilir) tespit edebilir. Uygulama takibi, güvenlik riski oluşturabilecek yetkisiz yazılım yüklemelerini de ortaya çıkarabilir.

Veri ihlali durumlarında, etkinlik izleme, olayın sorumlusunu bulmaya ve gerekli kanıtları sağlamaya yardımcı olur. Müşterilerimizden biri yakın zamanda CleverControl'ün içeriden birinin verilerini rakiplerine sattığını ortaya çıkarmasına nasıl yardımcı olduğuna dair hikayesini paylaştı. Bunun hakkında okuyabilirsiniz içeriden tehdit daha fazlasını blogumuzda bulabilirsiniz.

İletişim izleme, çalışan iletişimlerinin içeriği ve kalıpları hakkında içgörü sağlar. Sistem, e-posta, video konferans, dosya paylaşımı, işbirliği araçları ve anlık mesajlaşma platformları dahil olmak üzere çeşitli iletişim kanallarını sürekli olarak izler. Gelişmiş algoritmalar ve yapay zeka, iletişim kalıplarını ve içeriğini analiz eder ve toplanan verileri uyarı işaretleri için tarar. Bu işaretler şüpheli bir dil veya veri sızıntıları, sabotaj veya gizli anlaşma ile ilgili anahtar kelimeler olabilir. Sistem şüpheli faaliyetleri tespit ettiğinde, otomatik bir yanıtı tetikler veya acil eylem için güvenlik uzmanını bilgilendirir.

İletişim takibi, şirketin iç tehditlere karşı koyma kabiliyetini önemli ölçüde artırır; ancak sorumlu bir şekilde uygulanmalıdır.

İçeriden gelen tehditler, her ölçekteki tüm kuruluşlar için önemli bir endişe kaynağı olmaya devam etmektedir. Kötü niyetten basit ihmal ve dikkatsizliğe kadar çeşitli şekillerde ortaya çıkabilirler. İçeriden gelen tehditler çok tehlikelidir çünkü güvenilir çalışanlar tarafından güvenlik çemberi içinden gerçekleştirilirler ve bu nedenle tespit edilmeleri ve önlenmeleri çok daha zordur. Çalışan izleme, içeriden gelen riskleri tespit etmek ve önlemek için iyi bir çözümdür. DLP, UEBA, iletişim ve etkinlik izleme işlevleri, güvenlik ihlallerini zamanında tespit etmek ve önlemek isteyen her kuruluş için gerekli araç setidir.