İç ve Dış Tehditler

Değerli arkadaşlar, merhaba! Bu yazımızda sizlere, saldırıların genel olarak ne olduğundan, iç tehditler ve dış tehditlerden bahsedeceğiz. 

Bir saldırıyı tam olarak neyin oluşturduğuna baktığımızda onu temsil ettiği saldırı türüne, saldırının temsil ettiği riske ve onu azaltmak için kullanabileceğimiz kontrollere göre ayırabiliriz.

Karşılaşabileceğimiz saldırı türlerine baktığımızda bunları genellikle dört kategoride toplarız:

1. Müdahale (Interception) Saldırıları: Yetkisiz kullanıcıların verilerimize, uygulamalarımıza veya ortamlarımıza erişmesini izin verir ve esas olarak gizliliğe yönelik bir saldırıdır. Düzgün yürütüldüğünde müdahale saldırılarını tespit etmek çok zor olabilir.

2. Kesinti (Interruption) Saldırıları: Varlıklarımızın geçici veya kalıcı olarak kullanılamaz hale gelmesine neden olur. Kesinti saldırıları genellikle kullanılabilirliği etkiler ancak bütünlüğe yönelik bir saldırı da olabilir.

3. Değiştirme (Modification) Saldırıları: Varlığımızın kurcalanmasını içerir. Bu tür saldırılar öncelikle bir bütünlük saldırısı olarak kabul edilebilir ancak bir kullanılabilirlik saldırısını da temsil edebilir.

4. Uydurma (Fabrication) Saldırıları: Bir sistem ile veri, süreç, iletişim veya diğer benzer faaliyetler oluşturmayı içerir. Bu saldırılar öncelikle bütünlüğü etkiler ancak bir kullanılabilirlik saldırısı olarak da düşünülebilir.

Tehditler, bize zarar verme potansiyeli olan saldırı türleridir. Güvenlik açıkları (vulnerabilites), bize zarar vermek için kullanılabilecek zayıf yönlerdir. Bize zarar vermek için tehditler tarafından istismar edilebilecek deliklerdir. Risk ise kötü bir şey olma olasılığıdır. Belirli bir ortamda bir riske sahip olmamız için hem bir tehdide hem de belirli bir tehdidin yararlanabileceği bir güvenlik açığına sahip olmamız gerekir. Kaynaklarımızı, olası her saldırıyı planlamaya çalışmak için harcarsak kendimizi zayıflatmış oluruz. Yazımızın devamında ‘tehditler’ hakkında konuşacağız. Güvenlik açıkları ve risk ise başka bir blog konusu olacaktır.

Tehdit Türleri

Tehditler, genel olarak “İç Tehditler (Insider Threats) ve Dış Tehditler (External Threats)” olarak ikiye ayrılır. İç tehditler, organizasyon içinden veya kuruluşun dışından kaynaklanabilir. Çalışanlar veya sözleşme ortağı gibi dahili bir kullanıcı sisteme, kazara veya kasıtlı olarak şunları yapabilir:

  • Gizli verileri yanlış kullanma
  • İç sunucuların veya ağ alt yapısı aygıtlarının işlemlerini tehdit etme
  • Virüs bulaşmış USB ortamını kurumsal bilgisayar sistemine bağlayarak dış saldırıları kolaylaştırma
  • Kötü amaçlı e-postalar veya web siteleri aracılığıyla kötü amaçlı yazılımları ağa yanlışlıkla da olsa davet etme

İç tehditler, %80’lik kısmı kaplar ve dış tehditlere göre daha fazla zarar verme potansiyeline sahiptirler. Çünkü dahili kullanıcılar binaya ve alt yapı cihazlarına doğrudan erişebilir. Ayrıca çalışanlar; kurumsal ağın, kaynakların ve gizli verilerin yanında farklı kullanıcı veya idari ayrıcalıkların düzeyleri hakkında da bilgi sahibidir.

İç tehditleri de 4 gruba ayırabiliriz:

1. Piyonlar: İç tehdit gruplarının ilk ayağını oluşturan piyonlar, farkında olmadan veri ihlaline sebep olabilecek kötü niyetli faaliyetlerde bulunmak üzere manipüle edilen şirket çalışanlarıdır.

2. Kolaya Kaçanlar: Şirket içi veri güvenliği politikalarından muaf olduklarını düşünürler. Cahil ya da kibirli olarak tanımlanabilecek grubun, iç tehdit yaratmasının temel nedeni ise kolaya kaçmaları veya yetersizlik nedeniyle güvenlik protokollerini atlamaya çalışmalarıdır. Bunun sonucunda şirket içi veriler savunmasız ve saldırıya açık hâle gelmektedir.

3. İş Birlikçiler: Siber suç işlemek için şirketin rakipleri ya da yabancı devletler ile iş birliği yapan çalışanlara iş birlikçi denir. İş birlikçiler, şirket içi ayrıcalıklı erişimlerini çoğunlukla fikri mülkiyet ve müşteri bilgilerini çalmak amacıyla kullanır.

4. Yalnız Kurtlar: Özellikle ağ ya da veri tabanı yöneticisi gibi yüksek erişim ayrıcalığına sahip kişilerdir.

İç Tehditlerin Dijital Göstergeleri

  • Önemli miktarda veri indirme ve veri erişimi
  • İş tanımları dışındaki hassas verilere erişim
  • Davranış profillerinin dışında kalan verilere erişim
  • Şirket içi görevleri dışındaki kaynaklara erişim için birden fazla istek
  • Yetkisiz depolama aygıtlarının kullanılması
  • Ağ taraması
  • Veri istifleme
  • Hassas verileri şirket dışı bir ağa e-posta ile gönderme

İç Tehditlerin Davranışsal Göstergeleri

  • Güvenlik protokollerini atlama girişimleri
  • Mesai saatleri dışında sık sık ofiste kalma
  • Meslektaşlarına karşı olumsuz davranışlar
  • Kurumsal politikaların ihlali
  • İstifa ve yeni iş fırsatlarına yönelik tartışmalar

Şirket içi yetkili hesaplar, veri ihlalleri söz konusu olduğunda ilk önce kontrol edilmesi gereken iç tehditler olarak rol oynar. Ayrıcalıklı erişim hakları neticesinde şirket verileri ile ilgili birçok farklı işlem yapabilen yetkili kullanıcılar, gelişmiş güvenlik protokollerine tâbi tutulmadıklarında şirketi siber saldırılara açık hâle getirebilir. Bu gibi durumları önlemek amacıyla geliştirilen, çok etkili bazı kavramlardan bahsedelim.

Zero Trust

Sanılanın aksine bir güvenlik programı ya da veri güvenliği uygulaması değildir. En yalın haliyle “Hiçbir zaman güvenme, her zaman teyit et” yaklaşımından yola çıkarak geliştirilen ve şirketlerin ağ içinde ya da dışında hiçbir dijital varlığa güvenmemesi prensibine dayanan stratejik veri güvenliği yaklaşımı anlamına gelir. İlgili güvenlik politikası, şirket ağına bağlanmayan çalışan tüm dijital unsurların veri erişimi izni verilmeden önce doğrulanması ilkesine dayanır.

Zero Trust metodolojisinin en büyük artısı, iç tehditlere karşı da önlem alabilme kabiliyetidir. Doğrulama ve yetkilendirme onayı gerektiren birçok süreci barındırabilen Zero Trust politikası, iç tehditlerden kaynaklanabilecek veri ihlallerini önemli oranda azaltır.

Zero Trust; merkezi parola yönetimi, yetkili oturum yönetimi ve çok faktörlü kimlik doğrulama (MFA) gibi uygulamaları kullanarak erişimi kontrol altında tutar. Böylece çalışanların, kasıtlı veya kasıtsız şekilde yapacağı yanlışları/hataları önler.

Least Privilege

The Principle of Least Privilege (PoLP), Türkçe ismiyle ‘En Az Ayrıcalık İlkesi’, şirket verilerine erişimi doğru biçimde kısıtlamayı sağlayan bir disiplindir. PoLP, sadece şirket ağına erişim sağlamak isteyen üçüncü taraf servis sağlayıcıları ya da çalışanları değil, veri tabanı hizmetleri gibi sanal kullanıcıları da içine alan çok yönlü bir veri güvenliği yaklaşımı ortaya koyar.

İç tehditlerin tespit edilmesi ve engellenmesinde önemli rol oynayan Least Priviege, verilere ayrıcalıklı erişim hakkına sahip olacak kullanıcıların ve bu kullanıcılarının erişim düzeylerinin belirlenmesini esas alıyor. PoLP kullanılarak standart hesap, yetkili hesap ya da paylaşılan hesap benzeri profil için farklı yetki düzeyleri tanımlanmasına olanak sağlar.

Ayrıcalıklı Erişim Yönetimi

Zero Trust ve Least Privilege metodolojilerinden yararlanmanın yanında bunlara uyumlu bir şekilde çalışarak hassas verilere erişen kullanıcıları her zaman denetleyen, kimlik bilgilerini koruma altına alan, gerçek zamanlı izleme imkanı sunan, oturum kaydı yapabilen, parola yönetimini şifre kasaları gibi güvenle muhafaza eden uygulamalar da kullanmanız bir hayli önemlidir. İşte burada devreye “Ayrıcalıklı Erişim Yönetimi (Privilege Access Management – PAM)” girmektedir.

PAM aracılığıyla ayrıcalıklı erişime dair tüm adımları zahmetsizce uygulayabilir ve şirket için sorun yaratabilecek iç tehditleri tehdit olmaktan çıkarabilirsiniz. PAM, 2FA (Two Factor Authentication – Çift Faktörlü Kimlik Doğrulama) çözümü sayesinde kritik varlıklara erişimi zaman ve konum doğrulaması ile güvence altına alıyor, böylece iç tehditler daha kolay saptanır. Dinamik Veri Maskeleme ve Veri Tabanı Erişim Yöneticisi özelliği ise veri tabanı yöneticileri de dahil olmak üzere sistemdeki kullanıcıların tüm işlemleri kayıt altına alınır. Ayrıcalıklı Görev Otomasyonu (PTA – Privileged Task Automation) da ağdaki rutin görevleri otomatik hale getirerek kasıtsız çalışan hatalarından kaynaklanabilecek veri ihlallerini ortadan kaldırır.

Dış Tehditler

Amatörlerden veya yetenekli saldırganlardan kaynaklanan dış tehditler, ağdaki veya bilgi işlem cihazlarındaki güvenlik açıklarından yararlanabilir veya erişim elde etmek için sosyal mühendisliği kullanabilir. %20’lik kısmı kaplar. Burada dikkat edilmesi gereken en önemli şey, ciddi saldırıların oldukça endişe verici olan yetenekli ve sofistike bilgisayar korsanlarından gelmesidir.

Kuruluşun dışındaki insanlar üzerinde hiçbir kontrole sahip olmadığınız için dış saldırılarla başa çıkmak daha zordur. Saldırıların yoğunluğunu daha iyi anlamak için kuruluşların, bu saldırıların gerçekleşebileceği giriş noktalarını bilmesi gerekir.

Bazı yazılımlar daha az zararlıyken bazıları ise bir ağı yok etme potansiyeline sahiptir. Yaygın örnekler arasında casus yazılım (spyware), reklam yazılımı (adware), fidye yazılımı (ransomware), solucan (worm), rootkit ve Truva atları (trojan) bulunur. 

Zararlı yazılımlar hakkındaki blogumuz için tıklayın

Dış tehditlerin, bu denli zarar verme hevesinin arkasında çeşitli motivasyonlar bulunmaktadır. Bu motivasyonlar arasında para, prestij, ün kazanma gibi faktörler sayılabilir fakat bazen de sadece zevk için de bir saldırı gerçekleştirilebilir.

İnsanlar, özel ve önemli bilgilerini ifşa etmeleri için kolayca kandırılabilirler. Bu gibi durumlara karşı kuruluşların alması gereken en önemli önlem, sözleşmelerle desteklenmiş bilinçlendirme çalışmalarıdır. Çalışanların bilinçlendirilmesi, belirsiz aralıklarla test edilmesi dış tehditlerden korunmanın yollarından biridir.

Yayınlanma Tarihi: 2022-07-06 23:38:42

Son Düzenleme Tarihi: 2022-07-29 23:06:24