Müstahkem kalenin modeli çöktü. Bulutun yükselişi ve uzaktan çalışmanın yaygınlaşması, o zamana kadar geçerli olan ve bilgi varlıklarının güvenliğini sağlamak için duvarlar örmenin yeterli olduğu siber güvenlik yaklaşımına son verdi. Antivirüs, güvenlik duvarları ve VPN’ler gibi çevre çözümleri, şirket duvarları dışındaki bilgi sistemine eriştiklerinde artık iş istasyonlarını koruyamıyor.
Keeper Security Kanal Müdürü Arnaud De Backer, “Şimdiye kadar ofiste bulunan IS’nin kapsamı evlerimize kadar uzanıyor” diyor. Bir çalışanın kendi dijital araçlarını kullanmasından oluşan BYOD (Kendi cihazını getir) uygulamasına geri dönüşün arttığını belirttikçe, kişisel alan ile profesyonel alan arasındaki gözeneklilik daha da artıyor. WaveStone Siber Güvenlik kıdemli yöneticisi Etienne Lafore, “Ofisten uzakta çalışanların davranışları gelişiyor” diye ekliyor. Artık görsel kontrol yok, insanlar arkasından bakıyor. Bu, cezasızlık hissi yaratabilir ve riskli davranışlara izin verebilir. »
Yeni çalışma yöntemleri, yeni tehditler
BT’ye uzaktan erişim yalnızca risklere maruz kalma yüzey alanını artırmakla kalmaz, aynı zamanda yeni güvenlik açıkları da yaratır. Geleneksel olarak iş istasyonuna yük olan tehditlerin doğası öncelikle mesajlaşma ve kimlik avı ve kötü amaçlı sitelerle web’de gezinmeyle bağlantılı kalırsa, yeni saldırı senaryoları ortaya çıkacaktır.
Çok faktörlü kimlik doğrulamanın (MFA) genelleştirilmesi, MFA kimlik avına yol açtı. Etienne Lafore, “Akıllı telefon kullanılarak yapılan çift kimlik doğrulama durumunda, SMS ile gönderilen kod saldırgan tarafından ele geçiriliyor” diye açıklıyor. Daha gelişmiş saldırılarda ise saldırgan tarafından telefon üzerinden kimlik doğrulama kodu talep ediliyor. »
Bir başka olası saldırı vektörü: mesajlaşmaya veya takvime erişim için bulut modundaki ortak çalışma yazılımları (Microsoft 365, Google Workspace) tarafından üçüncü taraf uygulamalara sunulan hakların devredilmesi. Bir siber suçlu, bir iş istasyonunu tehlikeye atmak ve ardından “daha sonra” bilgi sistemi içinde ilerlemek için bundan yararlanabilir.
EDR, ZTA, MDM ve ZTE
Bu yeni risklerle mücadele etmek için Etienne Lafore, siber güvenlik çözümlerinde şirket içi moddan buluta geçişe tanık oluyor. EDR (Uç nokta algılama ve yanıt), geleneksel antivirüslerin yerini alır. “Benzer şekilde, proxy artık yerel değil, iş istasyonunun şirketin bünyesinde mi yoksa dışında mı bulunduğunun filtrelenmesini sağlamak için SaaS modunda. »
Şirketler ayrıca Sıfır Güven Erişimi (ZTA) veya SASE (Güvenli Erişim Hizmeti Kenarı) yaklaşımına geçmek için VPN’yi kaldırma olasılığını da düşünüyor. Etienne Lafore, “Bu, sürekli olarak IS’ye erişimin yalnızca bir iş istasyonuna ve bağlantı bağlamına, konumuna ve güvenlik yamalarının durumuna göre tanımlanan bir kullanıcıya verilmesini sağlamayı içeriyor” diye açıklıyor.
Benzer şekilde, güvenlik kuralları artık Active Directory aracılığıyla değil, tüm BT filosunda siber politikaya uygun şekilde uyumu sağlayacak bir MDM (Mobil cihaz yönetimi) tarafından uygulanıyor. Terminalleri dağıtırken Sıfır Dokunuşla Kayıt (ZTE), çalışanların pozisyonlarını almak için fiziksel olarak BT departmanına gitme zorunluluğunu önler. Standart bir PC’den kendini tanımlar ve “master” otomatik olarak kapanır.
En iyi şifre? Hiçbiri
Kendi cemaati adına vaaz veren Arnaud De Backer, otomatik olarak benzersiz ve güçlü şifreler oluşturacak ve şirketin güvenlik politikasını uygulayacak bir şifre yöneticisi kullanmanın önemini vurguladı.
Veri ihlallerinin %80’inden fazlasının şifrelerin veya tanımlayıcıların ele geçirilmesinden kaynaklandığını hatırlatıyor. Karanlık ağa sızmışlarsa Keeper Security’nin BreachWatch gibi bir izleme aracı güvenlik yöneticisini anında uyarır.
Ve neden onsuz yapmayasınız ki…. şifre ? “Şifresiz” trendi son yıllarda gelişiyor. Microsoft ve Google, PIN koduna, parmak izi sensörüne ve hatta yüz tanımaya dayalı erişim anahtarı sistemini (geçiş anahtarları) tanıtıyor. Windows Hello ayrıca biyometriyi de kullanır.
Dostum, zayıf halka
Son olarak, insanlar herhangi bir siber politikanın zayıf halkası olmaya devam ettiğinden, kullanıcılar arasında farkındalık artırıcı eylemlerin gerçekleştirilmesi gerekmektedir. Etienne Lafore, “Uzaktan çalışma evle sınırlı değil” diye anımsıyor. Bir çalışan trenden, havaalanından, otelden çalışabilir. Veri sızıntısı riskini azaltmak için uyulması gereken hijyen kuralları vardır. »
Sahte kimlik avı kampanyaları, çalışanı gerçek bir durumun içine yerleştirerek farkındalığın artmasına yardımcı olur. Bazı şirketler, bozuk bir eke veya kötü amaçlı bir bağlantıya tıklayan çalışanlar için siber güvenlik eğitimini zorunlu kılmaktadır.