Siber İç Tehdit Nedir? Benim İçin Önemli mi? Siber Güvenlik Politikalarının Kurumsal Bazda Uygulanması Problemine Genel Bir Bakış: What is internal cyber threat? Why it might be important to us?
Tesla, şirket kaynak kodunda değişiklik yaptığını ve gigabaytlarca özel veriyi bilinmeyen üçüncü kişilere aktardığını öğrendiği eski bir çalışanına dava açtı. (17 Haziran 2018)
Musk, Tesla çalışanlarına gönderdiği bir e-postada, şirketin bir çalışanının faaliyetlerine “oldukça kapsamlı ve zarar verici bir sabotaj uyguladığını” öğrendiğini söyledi. E-postanın bir kopyasını alan ve doğruluğunu onaylayan CNBC’ye göre , çalışan, büyük miktarlarda son derece hassas verileri bilinmeyen üçüncü taraflara aktarmayı da başardı.
Saldırgan Tesla’nın imalat sistemlerinin bir video dahil Tesla’nın periyodik ihracat bilgileri, Tesla’nın finansalları, Model 3 aracı için pil üretme süreci ve pil fabrikasında kullanılan hurda ve hammadde miktarı gibi gb’larca bilgiyi ele geçirebilecek bir kod yazmıştı.
Saldırgan Tesla’da süreç teknisyeni olarak çalışmaktaydı ve olaydan 1 sene önce Ekim ayında işe alınmıştı. Bu tür olayların birçoğunda olduğu gibi, çalışanın iş durumundan rahatsız olduğu ve hak ettiğini düşündüğü bir terfi alamadığına inandığı için bu saldırıyı yaptığı düşünülüyor.
Facebook, kadınları takip etmek için erişim sağladığı iddia edilen mühendisi kovdu (1 Mayıs 2018)
Sosyal medya devi, Facebook NBC News’e yaptığı açıklamada, Facebook’un, daha sonra çevrimiçi olarak kadınları takip etmek için kullandığı bilgilere erişmek için pozisyonundan yararlandığı iddia edilen bir güvenlik mühendisini kovduğunu doğruladı.
İddia, bir siber güvenlik danışmanı olan Jackie Stokes’in Pazar günü bir tweet’inde flört uygulaması Tinder’da “şu anda Facebook’ta çalışan bir güvenlik mühendisinin çevrimiçi olarak kadınları takip etmek için ayrıcalıklı erişim kullandığını” gösteren bir metin sohbetinin kopyalarını paylaşması ile ortaya çıktı.
Siber iç tehdit, saldırıya maruz kalan organizasyonun içinden kaynaklanan bir güvenlik zafiyetidir. Genellikle, bir kuruluş uygulamasındaki hassas bilgilere ve ayrıcalıklı hesaplara erişimi olan ve bu erişimi bilerek ya da bilmeden kötüye kullanan mevcut veya eski bir çalışan, iş ortağı tarafından gerçekleştirilir.
Siber iç tehdit içeriden kötü niyetli olarak yapıldığı takdirde motivasyon genellikle mali veya kişisel teşvikler olmaktadır. Örneğin, eski bir işverene kin besleyen bir kişi tarafından şirket bilgilerinin rekabetçi firmaya sızdırılması, veri tabanlarından verilerin çalınması, zararlı yazılım ile bilişim sistemlerine zarar verilmesi ve kullanılamaz hale getirilmesi gibi örnekler kötü niyetli iç saldırılar olarak özetlenebilir.
Dikkatsizlikten kaynaklanan tehditler ise sitemi bilmeyen ya da korumak için alınması gereken asgari önlemleri almayan personel tarafından ortaya çıkan tehditlerdir. Örneğin sisteme zarar vermek istemeyen bir çalışan, güvenli olmayan bir bağlantıya tıklayarak sisteme kötü amaçlı yazılım bulaştırabilir.
Organizasyon içinden kaynaklı üçüncü iç tehdit ise köstebektir. Köstebek teknik olarak bir yabancıdır ancak ayrıcalıklı olarak bir ağa içeriden erişim sağlamayı amaçlar. Bir çalışan veya ortak görünümünde olabileceği gibi, çeşitli yöntemlerle organizasyonun fiziksel alanı içerisine sızmayı başarmış herhangi biri olabilir.
Organizasyon İçerisinden Gelebilecek Tehditleri Nasıl Saptayabiliriz?
Ağ düzeyindeki anormal aktivite, içeriden bir tehdit göstergesi olabilir.
*Olağandışı zamanda gerçekleşen etkinlik- Örneğin; sabaha karşı 3’te oturum açma.
*Ağ üzerinde çok fazla veri aktaran trafik hacmi
*Etkinlik türü- İş işlevleriyle ilişkili olmayan hassas verilere erişim
*Veri istifleme, hassas klasörlerden dosya kopyalama
*Hassas verileri kuruluşun dışına e-posta ile gönderme
..
Davranışlar önemli mi?
Organizasyon içinden kaynaklanan siber saldırılarda tehdit içeriden; çalışanlardan, eskiden çalışmış olanlardan ya da çalışan gibi yapanlardan kaynaklandığı için tehdit, aslında denetlenebilir olmaktan çok gözlenebilir de olabilir. Bu nedenle çalışanlarınızı düzenli olarak eğitimden geçirip davranışlarını gözlemlemek organizasyon için hayati önem taşımaktadır.
Davranışsal Uyarı İşaretleri Neler Olabilir?
*Güvenliği atlatma girişimleri veya sistemi tam olarak bilmemekten kaynaklı gönderilen sürekli erişim istekleri
*Mesai saatleri dışında ofiste bulunmak, çalışma programlarını kullanmak
*İş arkadaşlarına karşı hoşnutsuz davranışlar sergilemek
*Kurumsal politikaların ihlali
..
En Yaygın İç Saldırılar
· Zayıf şifreler
Genel olarak, çalışanlar parolalar konusunda çok dikkatsiz olma eğilimindedir. Şirkette kullandıkları aynı şifre ile birden fazla siteye giriş yapıyor olabilirler ve bu kötüye kullanılabilir. Aynı şekilde, parolalarını basit tutuyor, post-it e yazıp sistem yakınlarına koyuyor veya yetkisiz kişilere yahut kötü niyetli web sitelerine şifrelerini veriyor olabilirler. Şüpheci olmayan sıradan davranış, kimlik avı saldırılarının başarısına yol açar. Bu nedenle çalışanların hesaplarından nasıl yararlanılabileceği konusunda eğitilmeleri gerekir. Böylece karmaşık şifrelerin önemi anlatılabilir. Ek olarak, sistemde oturum açmak için çok faktörlü kimlik doğrulamaları zorunlu kılınmalıdır.
· Kimlik Avı Saldırılarının kurbanı olmak
Saldırganlar, kimlik avı konusunda eğitim almadıklarında bu girişimlere kolayca verebilecek olan çalışanlardan şifreleri veya diğer hassas bilgileri almak için sosyal mühendislik kullanılır. Bu sayede saldırganlar sisteme erişmek için gerekli bilgiyi saldırı mağdurundan alır.
Son kullanıcılar, bir ağ sisteminin en zayıf bileşenidir. Bu nedenle, çalışanların belirli önlemlerin neden gerekli olduğu ve kimlik avının nasıl işlediği konusunda onları aydınlatması için güçlü bir eğitim seansına ihtiyaç vardır, aksi takdirde güvenlik önlemlerini önemsiz bulabilirler.
Bu sorun, her kuruluşta sıkı bir şekilde takip edilmesi gereken açık bir bilgi güvenliği politikasının gerekliliği konusunda bizi uyarmaktadır.
· Dolandırıcılık
Çalışanların, kuruluş adına kişilerle hileli anlaşmalar yapması parasal çıkarlar için olabilir veya bir kuruluşun itibarına zarar verebilir. Dolandırıcılıklar, kuruluşun hassas bilgilerinin kötüye kullanımını, müşterilerin özel sırlarının veya verilerinin sızdırılmasını ve hatta parasal kazançlar için rakip kuruluşlara satılabilen kuruluşun fikri mülkiyet veya planlarının çalınması suretiyle yapılabilir.
· Araçların kötüye kullanılması
Ofis araçlarının kötüye kullanılması ofislerde yaygın bir sorundur. Saldırı ve virüs içeren kasıtlı bir siber suçla rekabet etmese de, bir sisteme o kadar zarar verebilir.
Ofis personeli ‘internette gezinirken’ uygunsuz siteleri ziyaret etme eğilimindedir. Bu siteler kötü amaçlı olabilir veya bir sisteme kötü amaçlı arka kapılar bırakmak için güvenlik açıklarından yararlanabilir. Aynı şekilde, ofis araçları da gizli verileri yetkisiz kullanıcılara iletmek için kullanılabilir.
Fikri mülkiyet veya kişisel verilerin kötüye kullanımını önlemek için, uygun internet izleme stratejilerinin uygulanması gerekir.
· Kötü amaçlı indirmeler
Büyük firmaların bir çoğu düzenli olarak virüslü e-postalar veya dosyalar almaktadır ve bunların bir çoğu Microsoft office veya excel dosyaları içerisine gizlenmiştir. Çalışanlar, virüs ve kötü amaçlı yazılım taşıyan bu tür doğrulanmamış kötü amaçlı dosyaları indirerek bir sistemi tehlikeye atabilirler.
Ayrıca, internetten yapılan indirmeler yalnızca doğrulanmış kaynaklardan gelen dosyalarla sınırlandırılmalıdır. Çalışanlar, bu tür kısıtlamalar ve bunların uygulanmasının izlenmesi olmadan, ofis cihazlarına sisteme zarar verebilecek gereksiz kötü amaçlı yazılımlar veya oyunlar indirebilir.
İç Saldırılar Nasıl Önlenir?
Dahili saldırılara karşı en yaygın uygulamalardan biri, bir saldırı tespit sistemi uygulamaktır. Hem harici hem de dahili saldırıları tarayacak şekilde yapılandırılmalıdır. Dahası, dahili saldırılara karşı korunmaya yardımcı olmak için, çalışanların erişim ayrıcalıkları görevlerinin gerekliliğine göre ayrılmalıdır.
Dahili saldırılara karşı koruma sağlamak için çalışanların çevrimiçi faaliyetlerinin izlenmesini otomatikleştiren birçok yazılım türü mevcuttur. Güncellenmiş anti-virüs, güvenlik duvarları ve saldırı tespit sistemlerinin kurulması, bilgi güvenliğini sağlam tutmak için gerekli adımlardan bazılarıdır.
Kaynaklar:
1-)https://www.researchgate.net/publication/337424459_Insider_threats_in_Cyber_Security_The_enemy_within_the_gates
2-)https://www.researchgate.net/publication/329421961_Risk_Assessment_Method_for_Insider_Threats_in_Cyber_Security_A_Review
3-) https://smallbusiness.chron.com/difference-between-internal-external-threats-database-74165.html
4-)https://www.researchgate.net/publication/325461720_Rulemaking_for_Insider_Threat_Mitigation
5-)https://www.researchgate.net/publication/322412904_Social_Engineering_and_Insider_Threats
6-)https://www.rewterz.com/vulnerability-management/internal-attacks-and-their-impact-on-organizations
