Hücumcuların İşe Alındığı Zaman: Günümüzün Yeni Kimlik Krizi
Siz bir mühendis işe aldınız, ama o mühendis aslında bir hücumcu mu? Bu durum, e-posta dolandırıcılığı değil, işe alım sırasında sızma olayıdır. “Colorado’dan Jordan” adlı çalışan, güçlü bir özgeçmişe, inandırıcı referanslara ve temiz bir geçmiş kontrolüne sahip.
Jordan, ilk gününde e-postasına giriş yapar, haftalık toplantıya katılır ve ekipten sıcak bir karşılamayla karşılaşır. Birkaç saat içinde repo ve proje klasörlerine erişim sağlarken, borçlu olunan geliştirici anahtarlarını bile kullanır.
Bir hafta sonra, Jordan’ın kapattığı biletler hızla kapanır ve herkes etkilenir. Jordan, çevre hakkında akıllıca gözlemler yapar; hangi teknolojik yığınların kullanıldığını, hangi araçların hatalı yapılandırıldığını gözetler. Ancak, Jordan aslında Jordan değildi. Ekibin sıcak karşılaması, saldırgan için bir altın anahtar olmuştur.
Phishing’den Sahte İstihdama Geçiş
Modern dolandırıcılık artık e-postanızdaki tehlikeli bir bağlantı değil; şirket içerisindeki legitim bir giriş ile gerçekleşiyor. Phishing, hala önemli bir tehdit olmaya devam ediyor. Ancak, bu saldırı yolu iyi bilinir hale geldi. Kurumlar yıllar boyunca e-posta geçitlerini güçlendirdi, çalışanları tehlikeli içeriği tanımaları için eğitti ve iç saldırılarla ilgili testler yaptı.
2021’den bu yana phishing olaylarında %49 artış görüldü. Bununla birlikte, büyük dillerin kullanımıyla üretilen e-postalar için 6,7 kat artış yaşandı. Saldırganlar phishing saldırılarını gerçekleştirmekte daha da kolaylaştı. Fakat işte tam da burada Jordan, onu içeri alan bir İK belgeleri ile işe alındı.
Neden İstihdam Dolandırıcılığı Şimdi Bir Problem?
Son yıllarda uzaktan işe alım artık hızla yaygınlaştı. Şirketler, %100 uzaktan çalışmanın mümkün olduğunu keşfetti ve çalışanların fiziksel ofislere ihtiyacı kalmadı. Yetenekli insan kaynakları dünyanın her yerinde mevcut. Uzaktan işe almak, organizasyonların geniş bir istihdam havuzundan faydalanmasına olanak tanıyor. Ancak uzaktan işe alım, yüz yüze görüşmelerin doğal koruma mekanizmalarını ortadan kaldırarak, tehdit aktörleri için yeni bir açılım yaratıyor.
Günümüzün kimliği yeni perimeter oldu. Bu da demektir ki, kimlik sahte olarak yaratılabilir, taklit edilebilir veya yapay zeka ile üretilabilir. Referanslar sahte olabilir. Görüşmeler eğitilebilir veya temsil edilebilir. Yüzler ve sesler yapay zeka tarafından oluşturulabilir (veya derin sahte ile oluşturulabilir). Anonim bir düşman, “Colorado’dan Jordan” gibi ikna edici bir şekilde görünebilir ve bir organizasyona krallığın anahtarını vermeye ikna edebilir.
Sahte İstihdam Gerçekleri: Kuzey Kore’nin Uzaktan “İşe Al” Operasyonları
Uzaktan işe alım dolandırıcılığı tehdidi yalnızca gözlemlediğimiz ya da korkutucu hikayelerde hayal ettiğimiz bir şey değil. Bu yılın Ağustos ayında yayımlanan bir rapor, Kuzey Koreli operatiflerin yanlış kimlikler ve düzenlenmiş özgeçmişler ile şirketlere sızdığını ortaya koydu. Bu örnek, %220 oranında bir artış gösterdi.
Birçok Kuzey Koreli operatif, yapay zeka ile üretilmiş profiller, derin sahte görüntüler ve gerçek zamanlı yapay zeka manipülasyonu kullanarak mülakatları geçti. Bir olayda, Amerikalı ortaklar “laptop çiftlikleri” işleterek, operatiflere fiziksel ABD aygıtları, şirketin verdiği makineler ve yerel adresler sağladılar. Bu düzenek sayesinde, verileri çaldılar ve maaşları Kuzey Kore rejimine yönlendirdiler, tüm bunları tespit edilmeden gerçekleştirdiler.
Kaleye ve Hendek Problemi
Birçok organizasyon, aşırı tedbir almakla cevap veriyor: “Tüm şirketimin, en hassas kaynağım kadar kilitli olmasını istiyorum.” Bunun mantıklı olduğunu düşünebilirsiniz; ancak bu yaklaşım, iş verimliliğini yavaşlatabilir. Güvenlik politikalarınız, gerçek işleyişlerle gereksiz maruziyetleri ayırt edemeyecek kadar katı hale gelirse, sonuçta çalışanlar işlerini yapmak için sürekli çözüm arayışına girebilir.
Zamanla, istisnalar normal hale gelir ve risk içeri girmeye başlar. Bu iç istisna yığını, sizi “kale ve hendek” yaklaşımına geri iter. Dışarıdan korunan duvarlar, içeriden açık. Çalışanlarınıza işlerini yapabilmeleri için her şeyi açmanız, o anahtarı Jordan’a vermek demektir.
Yanlış bir şekilde her şeyi kapatmak, bıraktığınız halde açık tutmaktan daha tehlikeli olabilir. Güçlü güvenlik, gerçek iş akışlarına uyum sağlamalı ve buna göre güncellenmelidir.
Sıfır Sürekli Yetki Durumunu Nasıl Elde Edebiliriz?
Hepimiz sıfır güven ilkesini duymuşuzdur: hiç güvenme, her zaman doğrula. Bu, her isteğe, her zaman uygulanmalıdır, birisi “içeride” olsa bile.
Artık yeni perimetr üzerindeki güvenlik yapılandırmamızı kimlik lensinden değerlendirmemiz gerekiyor. Burada sıfır sürekli yetki (ZSP) kavramına geliyoruz.
Kale modelinin aksine, ZSP durumu esnekliği koruyarak oluşturulmalıdır:
- Varsayılan olarak sürekli erişim yok – Her kimlik için asgari erişim hakkı tanınmalıdır.
- Zamanında ve yeterli ayrıcalık (Just-in-Time + Just-Enough-Privilege) – Ek erişim, yalnızca gerektiğinde ve belirli bir süre için tanınır.
- Denetim ve hesap verebilirlik – Her erişim verme ve geçersiz kılma kaydedilmeli ve şeffaf bir kayıt oluşturulmalıdır.
Bu yaklaşım, kale problemini kapatır. Saldırganların sürekli erişim elde etmesini engellerken, çalışanların iş akışlarını hızlı bir şekilde sürdürmelerine olanak tanır. Doğru bir ZSP uygulaması, verimlilik ile koruma arasında bir denge sağlar.
Güçlü bir güvenlik yaklaşımı, gerçek dünyadaki çalışmayı hesaplamalı ve durumu göz önünde bulundurmalıdır. Van Heerden’in yazdığı bu makale, güçlü güvenlik politikalarının önemini güçlü bir dille ifade ediyor.
