Geçen yaz, kolluk kuvvetleri hem Apple hem de Meta ile temasa geçerek “acil durum veri taleplerinde” müşteri verilerini talep etti. Şirketler buna uydu. Ne yazık ki, “memurlar” bir siber çeteye bağlı bilgisayar korsanları olduğu ortaya çıktı “Yineleme Ekibi” olarak adlandırılır.
Yaklaşık üç yıl önce, İngiltere merkezli bir enerji şirketinin CEO’su, şirketin Alman ana şirketinin CEO’sundan bir Macar “tedarikçisine” çeyrek milyon dolar havale etmesini isteyen bir telefon aldı. O itaat etti. Ne yazık ki, Alman “CEO” aslında bir siber suçluydu diğer adamın sesini taklit etmek için derin sahte ses teknolojisini kullanmak.
Bir grup suçlu veri çalabiliyordu, diğeri ise parayı. Nedeni de güvendi. Mağdurların kiminle konuştukları hakkında bilgi kaynağı arayanların kendileriydi.
Sıfır güven tam olarak nedir?
Sıfır güven, çevre güvenliğine dayanmayan bir güvenlik çerçevesidir. Çevre güvenliği, şirket binası ve güvenlik duvarı içindeki herkesin ve her şeyin güvenilir olduğunu varsayan eski ve her yerde bulunan modeldir. Güvenlik, çevrenin dışındaki insanların içeri girmesini engelleyerek sağlanır.
Birleşik Krallık Stephen Paul Marsh adlı Stirling Üniversitesi’nde doktora öğrencisi bu ifadeyi icat etti. “sıfır güven” 1994 yılında. (“Çevresizleştirme” olarak da adlandırılır,” kavram, Forrester eXtended, Gartner gibi kılavuzlarda etraflıca detaylandırılmıştır.‘CARTA ve NIST 800-207.)
Çevre güvenliği birkaç nedenden dolayı modası geçmiş, ancak esas olarak uzaktan çalışmanın yaygınlığı nedeniyle. Diğer nedenler şunlardır: mobil bilgi işlem, bulut bilişim ve genel olarak siber saldırıların artan karmaşıklığı. Ve tabii ki tehditler içeriden de gelebilir.
Başka bir deyişle, artık ağ kenarı yok – gerçekten değil – ve çevreler var olduğu ölçüde bile ihlal edilebilirler. Bilgisayar korsanları çevrenin içine girdikten sonra nispeten kolaylıkla hareket edebilirler.
Sıfır güven, her kullanıcı, cihaz ve uygulamanın ağın herhangi bir bileşenine veya herhangi bir şirket kaynağına her eriştiğinde bir kimlik doğrulama veya yetkilendirme testinden ayrı ayrı geçmesini gerektirerek tüm bunları düzeltmeyi amaçlar.
Teknolojiler sıfır güven içindedir. Ancak sıfır güvenin kendisi bir teknoloji değildir. Bu bir çerçeve ve bir dereceye kadar bir zihniyet. Bunu ağ mimarları ve güvenlik uzmanları için bir zihniyet olarak düşünme eğilimindeyiz. Bu bir hata; tüm çalışanların zihniyeti olmalıdır.
Nedeni basit: sosyal mühendislik, insan doğasının teknik olmayan bir şekilde hacklenmesidir.
Neden sadece sıfır güven sosyal mühendisliği yenebilir?
Sosyal mühendislik saldırılarının zorluğuna sıfır güven uygulamak için temel bir yaklaşım eski ve tanıdıktır. Diyelim ki bankadan geldiğini iddia eden ve hesabınızda bir sorun olduğunu söyleyen bir e-posta aldınız. Kullanıcı adınızı ve şifrenizi girmek ve sorunu çözmek için buraya tıklamanız yeterli diyor. Bu durumla başa çıkmanın doğru yolu (emin değilseniz) bankayı aramak ve doğrulamaktır.
Her türlü sosyal mühendislik saldırısında, en iyi uygulama, size sağlanan erişim yöntemini asla kullanmamak, kendi erişiminizi elde etmektir. Sizinle iletişim kuran kişiyi, sizinle kimin iletişim kurduğuna dair bilgi kaynağınız olarak kullanmayın. Her zaman bağımsız olarak doğrulayın.
Geçmişte, bir e-postayı taklit etmek kolaydı. Canlı ses ve videoyu taklit etmenin de aynı derecede kolay olacağı yakın bir gelecekle karşı karşıyayız.
E-posta kimlik sahtekarlığının ötesinde, kuruluşlar ayrıca kimlik avı, kimlik avı, kimlik avı, smishing, hedefli kimlik avı, kar ayakkabısı avı, dolu fırtınası, klon kimlik avı, balina avı, sekme, ters sekme, oturum içi kimlik avı, web sitesi sahtekarlığı, bağlantı manipülasyonu, bağlantı gizleme, yazım hatası, homograf saldırıları, korkutucu yazılımlar, yükleme, yemleme, DNS sahtekarlığı ve diğerleri. Sıfır pas eğitiminiz, çalışanları tüm bu saldırı türlerine yakından aşina hale getirmelidir. İnsanları yetkisiz erişime izin vermeleri için kandırmak için kullanılan pek çok korkak yöntemin basit bilgisi, yanıtın neden sıfır güven olduğunu anlamalarına yardımcı olur.
Mükemmel 2011 kitabında, “Tellerdeki Hayalet”eski süper bilgisayar korsanı Kevin Mitnick en etkili sosyal mühendislik tekniklerinden birini anlatıyor: Bir binanın dışından içeri girmek üzere olan çalışanları görüyorsunuz ve onları oraya ait birinin güveniyle kapıdan takip ediyorsunuz. Çalışanlar evrensel olarak bu güveni, bir yabancı için kapıyı açık tutmak için ihtiyaç duydukları tüm doğrulama olarak okurlar.
Sahte kolluk kuvvetleri Apple ve Meta ile temasa geçtiğinde, arayanların kim olduğunu iddia ettikleri ayrıntıları almaları, telefonu kapatmaları ve doğrulamak için ajansı aramaları gerekirdi.
Ana şirketin CEO’su olduğunu iddia eden biri bu İngiltere CEO’su ile iletişime geçtiğinde, politika ilk görüşmeye dayalı olarak bir fon transferi değil, bir geri arama olmalıydı.
Sosyal mühendislik için sıfır güven nasıl benimsenir?
İyi haber şu ki, birçok şirket sıfır güveni uygulamamış veya hatta sıfır güven yol haritası geliştirmemiş olsa da, sosyal mühendisliğe karşı kullanımını benimsemek hemen uygulanabilir.
Sesli veya görüntülü toplantılarda her bir katılımcının kimliğini doğrulamanın bir yolunu bulun.
Diğer bir deyişle, eğitim, politika ve uygulamadaki değişiklikler yoluyla, bir şey talep eden herhangi bir gelen iletişim – para transferi, şifre sağlama, şifre değiştirme, bir eke tıklama, bir bağlantıya tıklama, binaya birinin girmesine izin verme – gerekir. doğrulanacak ve kimliği doğrulanacak – hem kişi hem de istek için yol.
Neredeyse tüm sosyal mühendislik saldırıları, kötü niyetli aktörün erişimi olan bir kişinin güvenini kazanmasını ve ardından bu erişimi kötüye kullanmasını içerir.
Tüm çalışanlarda sıfır güven zihniyetine ilham vermek için eğitim ve güvenlik kültürünü kullanmanın zorluğu, insanların kendilerine güvenilmekten hoşlanmalarıdır. İnsanlar, “Önce sizi doğrulamama izin verin” denildiğinde alınıyor.
Eğitimin en büyük kısmı bu olmalı: Çalışanların ve iş liderlerinin güvenilmemekte ısrar etmelerini sağlamak. İnsanlara güvenmeyeceklerine güvenemezsiniz – insanların kendilerine güvenilmemesi konusunda ısrar etmelerini sağlamalısınız.
Kıdemli bir lider, bir astına bir ek gönderirse ve ast, ek bir doğrulama adımı (örneğin, arama ve sorma) olmadan basitçe indirir ve açarsa, bu lider tarafından ciddi bir güvenlik uygulaması ihlali olarak görülmelidir.
Kültürel olarak, çoğu şirket bu uygulamayı benimsemekten kilometrelerce uzakta. Ve binlerce kez tekrarlanması gereken de budur: Her şeyin sıfır güven yetkisi, hem güvenilir hem de güvenilmezler içindir.
Ofiste, evde, diğer eyaletlerde ve hatta başka ülkelerde bu kadar çok işçi dağılmışken, günlük iş iletişiminde birbirimizle nasıl etkileşim kurduğumuz konusunda radikal bir sıfırlama – sıfır güven devrimi, eğer yapacaksanız – zamanı geldi. .
Telif Hakkı © 2022 IDG Communications, Inc.