İçTehdit Meselesi veya FETÖcü Avlamak

 

Buradaki ipuçları bugünün güncel tehdidi FETÖ/PDY dışında gelecekte karşımıza çıkabilecek ve içimize sızabilecek diğer tehditlere karşı da etkili olacaktır.

İç tehdit nedir?

Bilgi güvenliği alanında en sıkıntılı konulardan birisi de yetkili kullanıcıların bilgilerin ve sistemlerin gizliliğini, bütünlüğünü ve erişilebilirliğini tehdit etmesidir. Sistemlere erişim yetkisi olan birisinin, günün birinde, farklı düşünmeye başlaması ve dönüp kuruluşumuzu hedef alması günümüz şartlarında çok imkansız görünmüyor değil mi?

Siber güvenlik doktrini iç tehdit olarak algılanabilecek etkenleri, saldırganlık seviyelerine göre, 3 temel gruba ayırıyor. Bu üç ana grubun gerçekleştirebilecekleri saldırılar veya yol açabilecekleri olaylara göre de değerlendirildiği bir tabloyu aşağıda görebilirsiniz.

 

Mailin yanlış birine gönderilmesinden fırsat buldukça kuruluş verilerini kopyalayana kadar pek çok farklı iç tehdit etkeni yukarıdaki tabloda görülebilir.

İç tehditleri tespit edip ortaya çıkartmak için kullanılabilecek en etkili yöntemlerinden birisi faaliyet analizidir (activity-based analysis). Bu yöntemle kullanıcı davranışları yakından izlenir ve sadece iç tehditler değil, dışarıdan sızmış olması muhtemel saldırganları da tespit etmek mümkündür.

Aşağıda bize birilerinin “yanlış” bir şeyler yaptığına işaret edebilecek bazı göstergeler paylaşıyorum.

  • Kullanıcının işiyle doğrudan ilgili olmayan veri kaynaklarına erişmesi
  • Kullanıcı internet/ağ kullanımında değişiklikler
  • Kullanıcı yetkilerinde değişiklik
  • Sistem güvenlik seviyesinde geçici azalma sonrası düzelme
  • Komut satırında beklenmeyen komut kullanımı
  • Log (kayıt) dosyalarında değişiklik
  • Veri/sistem erişim saatlerinde değişiklikler
  • Kullanıcı erişim noktasında değişiklik
  • Kullanıcı iş kalitesinde azalma
  • Bilinmeyen (veya zararlı) yazılım kurulumu
  • Kuruluş kültürüne/düzenine aykırı davranış
  • Kişisel konularda esnek olmamak
  • Artan iş veya kişisel seyahatler
  • Diğer personelle iletişim/etkileşimin azalması
  • Evlilik/boşanma gibi ani medeni durum değişiklikleri

Bu örnekler çoğaltılabilir.

 

İç tehditleri tespit edebilmek için alışık olduğumuz sistem odaklı güvenlik yaklaşımının yanında kullanıcı davranışı ve veri odaklı bir güvenlik yaklaşımı da benimsenmelidir. Bunu yaparken iç tehditlere yönelik bazı süreçleri de geliştirmekte fayda olacaktır.

Etkili bir iç tehdit önleme programı için kuruluş bünyesinde atılması gereken başlıca adımlardan birkaçı şunlardır;

  • Kritik/önemli verilerin tespiti için veri sınıflandırma çalışmasının yapılması
  • Kritik/önemli verilerde yapılacak değişikliklerin tespit edilmesini sağlayacak yapının kurulması
  • Erişim kontrolü mekanizmalarının yerleştirilmesi
  • Kullanıcı hesapları ve erişimlerin denetlenmesi
  • Görevler ayrılığı ilkelerinin kuruluş geneline yaygınlaştırılması
  • Çalışma ortamındaki olumsuzlukların tespit edilip giderilmesi
  • İç tehditler ve tedarikçilerden kaynaklı tehditlerin kuruluş risk seviyesine etkilerinin ölçülmesi
  • Personel sosyal medya kullanımının denetlenmesi
  •  İş süreçlerinin personel hatası ihtimalini azaltacak şekilde yeniden düzenlenmesi
  • Personel farkındalık eğitimlerine iç tehdit konularının dahil edilmesi
  • Kullanıcı hesapları ve parolaları konusunda sıkı denetim mekanizmalarının oluşturulması
  • Kullanıcıların erişebilecekleri kaynakların işleri için gerekli olanlarla sınırlandırılması
  • Farklı kaynaklardan gelen logların toplanması
  • Kuruluş ağ ve sistemlerine uzaktan erişimlerin denetlenmesi ve izlenmesi
  • Sistemlerde yapılan değişikliklerin (kullanıcı ve konfigürasyon) iş süreçlerine bağlı olarak yapılması
  • Güvenli bir yedek alma ve FKM yapısının kurulması
  • Personelin işle ilişiğinin kesilmesi konusunda iş süreçlerinin belirlenmesi

Kuruluşunuzun iç tehditler konusunda bir hassasiyeti varsa kullanabileceğiniz bazı teknolojiler şunlardır;

  • Veri/dosya şifreleme
  • Veri erişim denetimi çözümleri
  • Parola kasası
  • Veri sızdırma çözümü (DLP – Data Loss Prevention)
  • Kullanıcı denetimi (Identity and Access Management)

Bunların yanında iyi planlanmış bir eğitim programı, gerekli alarmların üretilmesini sağlayacak bir yapının oluşturulması ve iç tehdit mücadele süreçlerinin kuruluş geneline yayılması faydalı olacaktır.

İç tehdit konusunda yapılabilecek çok çalışma var, bu yazı kapsamlı bir çözüm önerisi olmaktan çok uzaktır. Sadece iç tehditler söz konusu olduğunda düşünülmesi gereken bazı noktalar kısaca ele alınmıştır.