Kuruluşlar, yetkisiz yabancıların saldırıları konusunda haklı olarak endişelidir, ancak içeriden gelen tehdidi göz ardı etmemelidirler.
Darktrace tehdit analizi başkanı Toby Lewis, içeriden gelen tehditlerin, çalışanların ağı başlangıçta olmayan bir dereceye kadar riske maruz bıraktığı herhangi bir faaliyet anlamına geldiğini söylüyor. Başka bir deyişle, kuruluşun güvenlik katmanını aşındıran kuruluşun kendi personelidir.
İçeriden öğrenilen tehdidin yaygın görüntüsü, işten atılan kızgın bir çalışan veya işletmeye zarar vermeye çalışan hoşnutsuz bir çalışan gibi güvenlik mekanizmalarını kasten atlatmaya çalışan bir kişinin görüntüsüdür. Ancak güvenlik ekipleri, görünüşte küçük eylemlerin sonuçlarını fark etmeyen diğer insanları fark etmeyebileceğinden, yalnızca bu tür senaryolara odaklanmak kuruluşu riske atar.
Örneğin, günlük çalışmalarının bir parçası olarak bir görevi yerine getirmeye çalışan bir çalışan, kendilerine hantal veya bürokratik gelen bir süreçle uğraşmak zorunda kalabilir. Bir kısayol bulduklarında, aktiviteden kişisel olarak kazanç sağlamak için kasıtlı olarak kuralları çiğnemeye çalışmıyorlar. Ancak sürecin bu şekilde yaratılmasının bir nedeni olabileceği gerçeğini de düşünmüyorlar.
Lewis, “Kendi süreçlerini icat ettiler” diyor. “Bunu yaparken, bu rotadan aşağı inmenin güvenlik açısından ne gibi etkileri olduğunu veya henüz icat ettikleri bu küçük kısayolun aslında oldukça riskli olabileceğini fark etmeyebilirler.”
Err İnsandır
İçeriden öğrenilen tehdidin başka bir türü de kullanıcı hatasıdır. Birisi bir şeyi yapmayı unuttu veya yapmamak için eğitilmiş olmasına rağmen bir şey yaptı. Lewis, hata yapanların geçerli kullanıcı adları ve parolaları olduğunda ve veri açısından zengin sistemlere ve uygulamalara erişebildiğinde, güvenlik ekiplerinin bu hataların potansiyel olarak güvenlik olaylarına yol açabileceğini anlaması gerektiğini söylüyor.
Lewis, “Son savunma hattınız birinin bir bağlantıya tıklamayacağını veya bir eki açmayacağını umuyorsa, o zamana kadar pek çok şeyi yanlış yaptınız” diyor.
Eğitim tüm temelleri kapsamaz. Ancak birinin hata yapması, eğitimde başarısızlık olduğu anlamına gelmez. Bazı insanlar eğitim materyalini diğerlerinden daha fazla özümseyecektir.
Lewis, “Eğitimde yer alan bireylerden oluşan bir yelpazeye sahip olacaksınız” diyor. “Bazıları bunu anlayacak, bazıları ise sadece günün bir sonraki bölümüne devam edebilmeleri için testi geçmek için sahte bir ödeme yapacak ve kutuları işaretleyecek. Ve diğerleri ne yaptıkları hakkında hiçbir fikirleri olmayacak ve rastgele tıklayacaklar. düğmeler.”
İnsanlar bazen kendilerine öğretilenleri unuturlar. Örneğin, ebeveynler çocuklarına atıfta bulunabilecek bir şeye tıklamaya daha meyilli olabilir. Veya bir kişinin belirli bir tutkusu varsa, o konuya atıfta bulunan bir mesaj, o kişiyi güvenli olmayan bir şey yapması için kandırabilir.
Lewis, “Her zaman olacak bir şey olacak, tüm kuralları ve eğitimi unutacaksınız” diyor.
“Büyük İstifa” da bazı sorunları gündeme getirebilir. İnsanlar kuruluştan ayrılırlarsa, öncelikleri değiştiği için güvenlik konusunda daha rahat olabilirler.
Lewis, “Çalıştıkları şirketin güvenliği artık önemli değil çünkü ‘İki hafta içinde burada olmayacağım’ diye düşünüyorlar” diyor. Veya şirket bilgilerini (bu sadece e-posta kişi listeleri veya üzerinde çalıştıkları dosyalar anlamına gelebilir) çıkarken yanlarına almayı düşünebilirler.
Sıfır Güven İçeriden Öğrenenlerin Riskiyle Mücadele Ediyor
Ağ ve çevre güvenliği söz konusu olduğunda, ağ dışındaki insanlar doğal olarak kötü, içeridekiler ise iyi olarak kabul edildi. Ancak bu kural, dışarıdan bir kişi dahili kaynaklara erişmek için çalıntı kimlik bilgileri aldığında veya güvenlik kontrollerini atlayıp ağa tutunmak için bir sistemi tehlikeye attığında bozulur.
Lewis, “Ağa erişmek için iyi bir kişinin bilgilerini kullanıyorlar, ancak motivasyonları kötü” diyor. “İyiler mi? Kötüler mi? Nasıl ayırt ediyorsunuz?”
Sıfır güven, her bağlantıya ve eyleme şüpheli davranır. Kullanılan cihaz, günün saati ve erişilen uygulamaların sırası gibi doğrulanması gereken sinyaller vardır. Kullanıcı beklenenin dışına çıkıyorsa, etkinlik ortamın içinden kaynaklansa bile bir araştırmayı tetikler.
Lewis, “Kim olduklarını kanıtlamaları gerekiyor. Güvenli bir cihazdan geldiklerini kanıtlamaları gerekiyor. Ve iyi niyetleri olduğunu kanıtlamaları gerekiyor” diyor.
Lewis, sıfır güvene dayalı bir organizasyonda, içerdekilerin kötü davranmasının daha zor olacağını belirtiyor. Güvenlik ekipleri, kimliği yöneterek kullanıcıların kim olduğunu anlar ve “normal”in nasıl göründüğünü belirler. Bu şekilde, her bir kişi için risk düzeyini değerlendirebilir ve ne zaman daha fazla bilgi isteyeceklerini anlayabilirler.
Diğer kısım ise ağ segmentasyonudur. Ağ farklı bölümlere ayrılmışsa, kullanıcıların yeni bir alana her geçişlerinde kimlik doğrulaması yapması gerekir. Ağın farklı bölümleri, riske ve hassas verilerin depolandığı yere göre oyulabilir.
Lewis, “Ağınızın her parçası kendi kilitli kapılarının arkasında olmalıdır” diyor. “Bu bariyeri ancak güvenilir bir insansan geçebilirsin.”
İnsanlar tahmin edilemez ve güvenlik tam olarak ne yapacaklarını bilmeye bağlı olmamalıdır. Güvenlik ekipleri, çalışanın eğitimlerine aykırı davrandığı tüm zamanları yakalamak için teknik kontroller uygulamalıdır. Teknoloji, bir hatanın potansiyel etkisini en aza indirebilir veya olası bir sorunlu eylemi engelleyebilir.
Lewis, “Mümkün olan her yerde, yükü teknoloji almalı” diyor.