Siber Güvenlikte İç Tehditler: Nedir? Türleri Nelerdir?

Siber Güvenlikte İç Tehditler: Nedir? Türleri Nelerdir?

Haz 27, 2021 / Kron

İş dünyasının yaşadığı dijital dönüşüm sürecinde şirketlerin karşılaştığı en önemli sorunların başında iç tehditlerin neden olduğu veri ihlalleri geliyor. Veri güvenliği ve siber güvenlik sistemlerindeki çeşitli açıklar ya da bilinçli/bilinçsiz insan hatalarından kaynaklı olarak meydana gelen ihlaller özellikle şirketlere ait kritik veri yığınlarının korunmasını önemli ölçüde zorlaştırıyor. Bu nedenle şirket içi erişim yönetimini eksiksiz şekilde yapılandırmanız gerekiyor.

Siber Güvenlik Alanındaki Tehditler

Şirketlerin siber güvenlik alanında karşılaştığı birçok farklı tehdit mevcut. Ransomware (Fidye yazılım), malware (kötü amaçlı yazılım), sosyal mühendislik çalışmaları ve phishing (oltalama) veri güvenliğini tehdit eden başlıca unsurlar arasında yer alıyor. Öte yandan uzaktan erişim sırasında yaşanabilecek ihlaller ve insan kaynaklı hatalar da siber güvenlikte karşılaşılan önemli veri ihlali türlerinden bazıları.

İlgili alandaki dikkat çeken güvenlik sorunlarından birini de iç tehditler (insider threats) oluşturuyor. Birçok farklı sektör için veri ve erişim güvenliği açısından ciddi bir problem konumundaki iç tehditler, siber saldırı yapılması planlanan şirketten kaynaklanan güvenlik riskleri olarak tanımlanabilir. Bir başka deyişle iç tehditler, şirketlerin kritik verilerine erişim yetkisi olan kişilerin söz konusu yetkileri kasıtlı ya da kasıtsız biçimde kötüye kullanmasıyla ortaya çıkan siber güvenlik sorunları şeklinde de ifade edilebilir.

İç tehdidin kaynağının hâlihazırda şirketinizde çalışan bir profesyonel olması gerekmiyor. Mevcut çalışanlarınızdan kaynaklı veri ihlalleri yaşayabileceğinizi gibi, eski çalışan, iş ortağı, yönetim kurulu üyesi ve size danışmanlık hizmeti veren profesyoneller de iç tehdit yaratarak başınızı derde sokabilir. Tam da bu sebeple aktif şekilde kurumsal iletişimde olup olmadığınız fark etmeksizin, şirketiniz ile bağlantılı tüm profesyonellerin erişebildikleri verilerin sınırlarını ve erişebilme yöntemlerini birkaç farklı adımdan oluşan önlemler ile kontrol altında tutmanız öneriliyor.

İç Tehditler (Insider Threats) ve Türleri

Çalışanlarınız ya da profesyonel bağlamda ilişki kurduğunuz kişilerin dışında, şirket verilerinize doğrudan erişim yetkisine sahip olan bir kişi de iç tehdit unsuru kabul ediliyor. Yine iş modeliniz gereği iletişimde olduğunuz tedarikçi ve satıcılar da iç tehdit yaratabilecek önemli kaynaklar arasında dikkat çekiyor.

İç tehditler motivasyon, farkındalık, erişim düzeyi ve niyet açısından farklı gruplara ayrılıyor. IBM’in yapmış olduğu çalışma ile Ponemon Enstitüsü iç tehditleri ihmalkâr, suçlu ve kimlik bilgisi hırsızlığı kavramlarını kullanarak tanımlıyor. Gartner ise iç tehditleri dört farklı grup altında ele almayı tercih ediyor. Gartner’a göre iç tehditler piyonlar, kolaya kaçanlar, iş birlikçiler ve yalnız kurtlardan oluşuyor. Bu arada Ponemon Enstitüsü ve Gartner’ın bağımsız kuruluşlar olduğunu ve farklı alanlarda hazırladıkları raporları devlet kurumlarına sunduklarını belirtmekte de yarar var.

Piyonlar

İç tehdit gruplarının ilk ayağını oluşturan piyonlar, farkında olmadan veri ihlaline sebep olabilecek, kötü niyetli faaliyetlerde bulunmak üzere manipüle edilen şirket çalışanlarını kapsıyor. Piyonlar kötü amaçlı yazılımlar indirerek şirketinizin veri güvenliğine zarar verebileceği gibi, kimlik avı ve sosyal mühendislik saldırıları sonucunda da kimlik bilgilerini ifşa edebilir. Her iki yöntem de siber saldırgan ve piyonlar arasındaki ilişkinin zeminini inşa ediyor. Piyonlar genelde bilişim ve finans sektöründe iç tehditler kategorisinde öne çıkıyor.

Kolaya Kaçanlar

Önemli bir iç tehdit unsuru konumundaki kolaya kaçanlar, şirket içi veri güvenliği politikalarından muaf olduklarını düşünüyor. Cahil ya da kibirli olarak tanımlanabilecek ilgili grubun iç tehdit yaratmasının temel nedeni ise kolaya kaçmaları veya yetersizlik nedeniyle güvenlik protokollerini atlamaya çalışmaları. Bunun sonucunda şirket içi veriler savunmasız ve saldırıya açık hâle geliyor. Donanım eksiklikleri sebebiyle bu grup, büyük oranda dünya genelindeki kamu alanında yer alan iç tehditler başlığı altında karşılaşılıyor.

İş Birlikçiler

Siber suç işlemek için şirketinizin rakipleri ya da yabancı devletler ile iş birliği yapan çalışanlara iş birlikçiler ismi veriliyor. İş birlikçiler şirket içi ayrıcalıklı erişimlerini çoğunlukla fikri mülkiyet ve müşteri bilgilerini çalmak amacıyla kullanıyor. Ayrıca söz konusu grup, ortaklık kurduğu şirket/devlet çıkarı ya da kendi kişisel kazancı için şirket operasyonlarında bilinçli kesintilere de neden oluyor. İş birlikçilere finans sektöründe sıkça rastlamak mümkün.

Yalnız Kurtlar

Yalnız kurtlar, özellikle ağ ya da veri tabanı yöneticisi gibi yüksek erişim ayrıcalığına sahip kişiler ise bir hayli tehlikeli olabilir. Doğrudan finansal kazanç için manipüle edilmesine gerek kalmadan kötü niyetli davranışlar sergileyen yalnız kurtları, kişisel sağlık verilerini satmak amacı da güdebilmeleri sebebiyle, sağlık sektöründe iç tehditler konulu araştırmalarda bol bol görebilirsiniz.

İç Tehdit Göstergeleri (Indicators)

Şirketinizde ortaya çıkabilecek iç tehditlerin göstergeleri, dijital ve davranışsal olmak üzere iki farklı başlık altında inceleniyor:

Dijital Göstergeler

  • Önemli miktarda veri indirme ve veri erişimi
  • İş tanımları dışındaki hassas verilere erişim
  • Davranış profillerinin dışında kalan verilere erişim
  • Şirket içi görevleri dışındaki kaynaklara erişim için birden çok istek
  • Yetkisiz depolama aygıtlarının kullanılması
  • Ağ taraması
  • Veri istifleme
  • Hassas verileri şirket dışı bir ağa e-posta ile gönderme

Davranışsal Göstergeler

  • Güvenlik protokollerini atlama girişimleri
  • Mesai saatleri dışında sık sık ofiste kalma
  • Meslektaşlarına karşı olumsuz davranışlar
  • Kurumsal politikaların ihlali
  • İstifa ve yeni iş fırsatlarına yönelik tartışmalar

Örneğin bir çalışanınız yetkisi dışındaki verilere erişim için yönetici onayı almaya çalışıyorsa ya da erişim yetkisine sahip olduğu verileri istiflemeye veya şirket dışı bir ağa e-posta aracılığıyla gönderme girişimlerinde bulunuyorsa bir iç tehditten bahsetmek pekala mümkün.

Nitekim IBM tarafından yayımlanan “Cost of Insider Threats: Global Report 2020” isimli rapora göre iç tehditlerden kaynaklanan veri ihlali sıklığı 2016’dan bu yana üç kat arttı. Ayrıca 2019’da iç tehditlerin gerçekleştirdiği sızıntılardan meydana gelen ortalama zarar 493.093 $’dan 871.686 $’a yükseldi.

204 farklı şirkette, 964 IT departmanı çalışanı üzerinde gerçekleştirilen araştırma, raporlanan 4716 ihlalin 2962’sinin ihmalkârlık veya kasıtsız eylem nedeniyle oluştuğunu ortaya koyuyor. Yine aynı araştırma 1105 ihlalin doğrudan kötü niyetli veri ihlali girişimleri ile olduğunu belirtirken 649 olayda kimlik bilgilerinin çalındığını gösteriyor. Ayrıca 191 olayda ise ayrıcalıklı erişime sahip kullanıcıların kimlik bilgilerinin çalındığı, raporda yer alan bir diğer önemli konu.

Raporda siber güvenlikte iç tehdit sorununun %63 ihmallerden, %23 şirket çalışanlarının kasıtlı zarar verme girişimlerinden ve %14 kullanıcıların kimlik bilgilerinin manipüle edilmesi ve çalınmasından kaynaklandığı aktarılıyor.

Hassas veriler ve siber güvenlik uygulamaları söz konusu olduğunda şirketinizde tehdit analizi yaparak iç ve dış tehditlerin belirlenmesini sağlamanız gerekiyor. IBM tarafından yapılan araştırmanın da gösterdiği gibi, yetkili hesapların denetlenmesi, kontrolü ve yönetimi şirketler açısından oldukça önem taşıyor. Bu aşamada Ayrıcalıklı Erişim Yönetimi (Privileged Access Management - PAM) uygulamaları iç tehditleri azaltmanızda önemli görevler üstleniyor. Yetkili oturumları kayıt altına alarak raporlama yapabilmenizi sağlayacak Yetkili Oturum Yöneticisi, çalışanlar arasında şifre paylaşımını ortadan kaldırarak şifre kasası özelliği bulunan Merkezi Parola Yönetimi, tek kullanımlık parolalar üreterek coğrafi konum doğrulama (geo-location) özelliği bulunan İki Faktörlü Kimlik Doğrulama (2FA) gibi ürünler iç tehditleri bertaraf etmenize yardımcı olacaktır.

Alanında uzman ve deneyimli ekibimiz ile Ayrıcalıklı Erişim Yönetimi (PAM) alanında geliştirdiğimiz platformumuz Single Connect, Gartner tarafından hazırlanan ve en iyi PAM uygulamalarının iş dünyasıyla paylaşıldığı Magic Quadrant for Privileged Access Management raporunda da yer alarak dünyanın önde gelen Ayrıcalıklı Erişim Yönetimi sistemlerinden biri olduğunu kanıtlıyor.

İç tehditleri azaltmaya yönelik yapısı ve üst düzey güvenlik sunan modülleri ile uçtan uca veri güvenliği sağlayan Ayrıcalıklı Erişim Yönetimi (PAM) yaklaşımını kullanarak iç tehditlere karşı nasıl önlem alabileceğinizi bir sonraki yazımızda ele alacağız.

Siz de Single Connect hakkında merak ettiklerinizi öğrenmek için bizimle irtibata geçebilirsiniz. Ayrıca düzenli olarak güncellediğimiz, güncel içeriklere sahip Kron Blog üzerinden siber güvenlik ile ilgili farklı bilgilere de ulaşabilirsiniz.

Diğer Bloglar