Deneyimli güvenlik liderleri saldırganların sabırlı olduğunu biliyor.
Saldırganlar, Slack veya Microsoft Teams gibi kurumsal sohbet sistemlerine sızıp sadece izleyebilir. Aylar boyunca konuşmaları izliyor, deneyimli personelin kim olduğunu öğreniyor, yaklaşan tatil planları ve her ekip üyesinin iletişim tarzı hakkında notlar alıyorlar. Daha sonra şirket, belki de büyük bir tatil ya da yaz tatili sırasında çekirdek bir ekibe geçtiğinde greve çıkarlar.
SANS Enstitüsü başkanı ve Counter Hack’in kurucusu Ed Skoudis, bir kuruluş için bu sessiz keşfin yıkıcı sonuçlar doğurduğunu söylüyor. Bir saldırgan, bir sohbet kanalında güvenilir bir meslektaş gibi davrandı ve birçok ekip üyesi tatildeyken kıdemsiz bir çalışanı kritik yapılandırma değişiklikleri yapması için kandırdı. İzole edilmiş ve yardım etmeye istekli çalışanın, şirketin güvenilen ortamında bulunan birinden şüphelenmesi için hiçbir neden yoktu. Saldırganın sabrı, zamanlaması ve sosyal mühendisliği mükemmel bir fırtına yarattı; bu fırtına, personel sayısının azaldığı dönemlerde doğrulama, dikkat ve daha iyi operasyonel güvenlik önlemlerine olan ihtiyacın altını çizdi.
Batı ülkelerinde Noel ile Yeni Yıl arasındaki yavaş hafta, Ağustos ayındaki Avrupa yaz tatili veya çok sayıda çalışanın tatile çıktığı yılın diğer dönemleri olsun, küresel ayak izine sahip kuruluşların bölgesel yavaşlamalar sırasında siber güvenlik sürekliliğini sürdürmesi gerekiyor. . Asya’da Ay Yeni Yılı gibi tatiller ve Kurban Bayramı günleri Orta Doğu’da genellikle kritik operasyonları denetleyen daha az işçi anlamına gelir. İş gücünün bir kısmının ölçeği küçüldüğünde saldırganların sayısı artıyor.
“Bu çok zor bir sorun” diyen Skoudis, yönetimde bulunan kişi sayısının azalmasının kuruluşları saldırılara karşı savunmasız bıraktığına dikkat çekiyor. Güvenlik liderleri, güvenlik ekibinin yarısı çevrimdışıyken ortamlarını koruma sorunuyla karşı karşıyadır.
Siber Suçlular Neden Tatilleri Sever?
Uzaktan çalışan işgücü sayesinde şirketlerin çalışanlarla daha az temas noktası oluyor. Karışıma tatilleri de ekleyin ve güvenlik ekipleri bu zamanlarda çok sayıda potansiyel riskle karşı karşıya kalır.
Skoudis, “Saldırganlar tatillerde suç faaliyetlerine devam ediyor” diyor. “Kuruluşların operasyonların ölçeğini küçülttüklerini biliyorlar. Bunu daha kıdemsiz, prosedürlere aşina olmayan veya izole edilmiş personelle birleştirirseniz, saldırganların saldırması için ideal bir zaman elde edersiniz.”
Doğrudan tehditlerin ötesinde, bu yavaş dönemler aynı zamanda operasyonel boşlukları da artırıyor. Yama programları, konfigürasyon izleme ve olay müdahale süreleri gecikebilir.
Okta’nın bölgesel STK’sı Chris Niggel bunun sadece savunma olmadığını söylüyor. Bu, ekiplerin personeli yetersiz olduğunda operasyonların sorunsuz bir şekilde ilerlemeye devam etmesini sağlamakla ilgilidir.
Niggel, “En büyük zorluk, ekiplerinizin hizmet seviyesi anlaşmalarını sürdürebilmesini ve ekipler daha küçük olsa bile tehditlere hızla yanıt verebilmesini sağlamaktır” diyor.
Örneğin Log4j’deki kritik güvenlik açığı, birçok kuruluşun minimum personelle faaliyet gösterdiği Aralık 2021’in sonlarına doğru keşfedildi. Kusurun giderilmesi acil ve hızlı eylem gerektiriyordu ve birçok işletme yeterince hızlı yanıt vermekte zorlandı. Yanıttaki gecikmelerin farkında olan saldırganlar, yama yapılmamış sistemlerden yararlanma fırsatı yakaladı.
Niggel, “Takımlar zaten zayıftı ama yine de tepki vermek zorundaydılar” diyor. “İşte bu noktada sağlam iletişim planlarına ve geri dönüş stratejilerine sahip olmak hayati önem taşıyor.”
Niggel ayrıca, Log4j sırasında daha iyi performans gösteren kuruluşların, otomatik izleme araçlarını, önleyici yama planlarını ve kilit personelin müsait olmadığı durumlar için açık yükseltme yollarını uygulayarak bu tür senaryolara hazırlandıklarını da belirtiyor. Bu önlemler, daha az iş gücü olsa bile güvenlik açıklarının önceliklendirilmesini ve ele alınmasını sağladı.
Hazırlık Boşlukları Kapatmanın Anahtarıdır
Riskleri belirleyerek, çalışanları eğiterek, teknolojiden yararlanarak ve iş yüklerini stratejik olarak dağıtarak şirketler hem sistemleri hem de operasyonları koruyan bir güvenlik ağı oluşturabilir. Önemli olan son dakikaya kadar beklemek değil; Personel ayrılmadan önce hazırlıklar yapılmalıdır.
Kuruluşlar proaktif stratejilerle tatil risklerini azaltabilir:
Önceden bir plan oluşturun. Personel düzeylerini belirleyin ve üst kademeye yükseltme yollarını net bir şekilde ana hatlarıyla belirtin. Skoudis, “Tıpkı Tetris blokları gibi” diyor. “Saatleri doldurmanız, karar vericileri tanımlamanız ve kritik seçimleri en kıdemsiz personele bırakmaktan kaçınmanız gerekiyor.”
Her zaman doğrulayın. Çalışanlarınızı, özellikle kesintiler sırasında acil eylem taleplerini doğrulamak için eğitin. Skoudis basit önlemler öneriyor: telefon numaralarını geri aramak, kimliği doğrulamak için görüntülü sohbetler yapmak ve kurumsal rehberdeki fotoğrafları kullanmak. Asla göründüğü gibi bir mesaja güvenme, diyor. “Bu kişinin söylediği kişi olduğuna dair daha fazla doğrulama önlemi almak istiyorsunuz” diyor.
Teknolojiyi ve otomasyonu dağıtın. İnsan hatasını azaltmak için uyarıları ve doğrulamaları otomatikleştirin. Niggel, Okta’nın çalışanları alışılmadık oturum açma işlemleri konusunda bilgilendirme yönteminin, güvenliğin önemli sinyallere odaklanmasına olanak tanıyan otomasyonu içerdiğini söylüyor. “Bir çalışan benzersiz bir konumdan giriş yaparsa Slack’te bir mesaj alacaktır” diyor. “Bir çalışan büyükannesinin evinden giriş yapıyorsa doğrulamak için evet’i tıklayabilir.”
Kritik sistemler için değişiklikleri dondurun. Yavaş dönemlerde kod ve konfigürasyonun donması operasyonel riskleri azaltır. Skoudis, “Donma, değişiklik yapmak için ekstra çaba gerektirir” diyor. “Saldırganları önler ve kazara hata olasılığını sınırlar.”
“Güneşi takip et” modelini benimseyin. Çok uluslu kuruluşlar iş yüklerini zaman dilimlerine dağıtabilir. GuidePoint Security’de DFIR başkanı Mark Lance, tatillerin gözlemlenmediği bölgelerde ekiplerin kullanılmasını öneriyor. “Bu dengeyle ilgili” diyor. “Bir bölge geri adım attığında diğeri öne çıkıyor.”
Kültür, İşbirliği ve Sağlıklı Dozda Paranoya
İnsan unsuru aynı zamanda herhangi bir güvenlik planı için de kritik öneme sahiptir; daha az sayıda çalışanın mesaisi olsa bile. Lance, çekirdek mürettebat dönemlerinde işbirliğini teşvik etmenin ve izolasyonu azaltmanın savunmanın anahtarı olduğunu söylüyor.
Lance, “Yalnız olmadığınızda daha iyi kararlar alınır” diyor.
Yükseltme yollarına sahip olmak ve asistan çalışanların bir şeyler ters gittiğinde nereye döneceklerini bilmelerini sağlamak büyük fark yaratabilir. Niggel de bu tür durumlarla nasıl başa çıkılacağı konusunda personelin uygun şekilde eğitilmesinin önemini vurgulayarak aynı fikirde.
“Politikaların bir nedeni var” diyor. “Çalışanların yerleşik süreçlere başvurabileceklerini ve yardım isteyebileceklerini bilmeleri gerekiyor.”
Sezon ne olursa olsun dikkat yüksek düzeyde kalmalıdır. Saldırganlar ara vermez ve kurumsal savunmalar da ara vermemelidir. Şirketler bir saldırının ne zaman gerçekleşebileceğini her zaman tahmin edemese de hazırlıklı olma, doğrulama ve akıllı personel stratejileri, ekibin bir kısmı kapalıyken güvenlik açıklarının kapatılmasına yardımcı olur. Tatil sezonları ve küresel etkinlikler gelip geçerken, bir adım önde olmak teknoloji, planlama ve ekip çalışmasının bir karışımını gerektirir.
Skoudis, “Her zaman şüpheci olun” diyor. “Bir şeylerin yanlış olduğunu düşünüyorsanız, bunu doğrulayın. Bir felaketi durdurabilirsiniz.”
