Siber güvenlik konusunda yaygın bir yanılgı, tüm unsurların teknik olduğu düşüncesidir. Evet, bilgisayar yazılımı ve donanımı, siber saldırıları önlemede ve etkilerini azaltmada önemli bir rol oynar. Yazılım güvenlik açıkları istismar edilebilir ve kötü tasarlanmış donanımların hacklenmesi daha kolaydır. Ancak, bu alanda yeni olanlar genellikle insan faktörünü göz ardı eder.
Siber suç grupları sıklıkla insanları ve onların zaaflarını hedef alır. Ağdaki dahili bir bilgisayara güvenlik duvarlarını aşarak veya şifrelemeyi kırarak kötü amaçlı erişim sağlamak daha zordur. Ancak, ayrıcalıklı erişim bilgilerine sahip bir kişinin kullanıcı adı ve şifresini ele geçirmek çok daha kolaydır.
Siber saldırıların büyük bir kısmı, sosyal mühendislik içerir. Sosyal mühendislik, insanları aldatma yöntemidir ve siber güvenlik alanında önemli bir konudur. Kullanıcı arayüzleri (UI), kullanıcıların yazılım uygulamalarıyla etkileşim kurmasına yardımcı olur. Ancak, kötü tasarlanmış arayüzler siber güvenlik risklerini artırabilir. Bir işletme olarak, çalışanlarınızı kötü kullanıcı arayüzleriyle nasıl etkili şekilde çalışacakları konusunda eğitmek önemlidir.
UI ve kullanıcı deneyimi (UX) tasarımı, siber güvenlik risklerini azaltmada kritik rol oynar. Ayrıca, psikoloji ve sosyoloji bilgisinin siber güvenlik açısından neden önemli olduğunu anlamak, kuruluşların güvenliğini artırmada faydalıdır.
Birçok siber saldırı, iç kaynaklardan gelir. Çalışanlar, sistemlere kullanıcı adı, şifre veya fiziksel erişim anahtarlarıyla zarar verebilir. Bu tür saldırıları önlemek için endüstride genel kabul gören yöntemler ve daha az bilinen bazı yaklaşımlar bulunmaktadır.
Son olarak, hacktivizm ve işletmenize olan etkisinden bahsetmek gerekir. Çoğu siber saldırı mali kazanç hedeflese de, hacktivizm sosyal aktivizm ile motive olur. Hacktivist gruplar, finansal amaçlar gütmeden, belirli toplumsal hedefler doğrultusunda hareket eder. Bu gruplardan biri Anonymous’tur. Hacktivizmin işletmenizin siber güvenliğine olan etkilerini göz önünde bulundurmak da önemlidir.
Sosyal Mühendislik
Sosyal mühendislik, insanları aldatmaya dayalı bir tekniktir. Günümüzün sosyal mühendislik saldırıları genellikle web siteleri, e-postalar ve kötü amaçlı yazılımlar aracılığıyla gerçekleştirilir. Bu tür saldırıların bilgisayar bilimi becerileri gerektirdiği düşünülebilir, ancak aslında sosyal mühendislik, bilgisayarlardan çok önce var olan bir aldatma yöntemidir.
Örneğin, Truva atları, en yaygın kötü amaçlı yazılım türlerinden biridir. Bu yazılımlar, kullanıcıları kötü amaçlı bir dosya veya uygulamanın aslında istedikleri bir şey olduğuna inandırarak çalışır. Bir e-postaya eklenen sevimli bir kedi yavrusu resmi, kötü amaçlı yazılım içerebilir ve kullanıcı bu resmi açtığında zararlı yazılım etkinleşir. 1990'lar ve 2000'lerin başında, insanlar genellikle Windows PC’leri için eğlenceli ekran koruyucular veya yenilikçi imleç paketleri indirirlerdi. Ancak bu "ücretsiz" yazılımlar, siber suçlulara bilgisayara erişim sağlayacak kötü amaçlı yazılımlar barındırıyordu.
Truva atları bazen eğlenceden ziyade iş amaçlı belgelerle ilişkilendirilebilir. Örneğin, bir ofis çalışanına, önemli belgeler içeren bir e-posta gönderilir ve bu belgeler aslında kötü amaçlı yazılım içerir. Bu saldırılar, tıpkı sevimli kedi resimleri gibi, kullanıcıyı aldatmaya yönelik bir yöntemdir.
Günümüzde Truva atları, iPhone veya Android telefonları hedef alan mobil uygulamalar aracılığıyla da yaygın olarak yayılmaktadır. Apple ve Google, bu kötü amaçlı yazılımların uygulama mağazalarına girmesini engellemek için çaba sarf etse de bazen başarılı olamamaktadırlar.
Truva atı terimi, Antik Yunan mitolojisine dayanmaktadır. Truva Savaşı sırasında, Akhalar, Truva şehrine gizlice girebilmek için bir tahta at kullanarak muhafızları kandırdılar. İçine askerlerin gizlendiği bu tahta ganimet, Truva'ya sokuldu ve şehir savunmasını aşmak için kullanıldı. Bu hikaye, sosyal mühendislik stratejilerinin eski zamanlardan beri uygulandığını gösterir. Teknoloji değişmiş olsa da insan doğası sabit kalmıştır.
Kevin Mitnick, en kötü şöhretli siber saldırganlardan biridir ve saldırılarını insanları kandırarak gerçekleştirmiştir. Örneğin, bir otobüs şoförünü bileti onaylaması için kandırmış ve resepsiyonistleri arayarak teknik destek görevlisi gibi davranmıştır. Telefonla yapılan bu tür sosyal mühendislik saldırılarına "phreaking" denir.
Kimlik Avı (Phishing)
Kimlik avı, hassas verilere erişmek veya bir hedefe saldırı düzenlemek amacıyla güvenilir kuruluşları taklit eden e-postalar, kısa mesajlar, sosyal medya paylaşımları ya da web siteleri kullanılarak yapılan bir siber saldırı türüdür.
Bir örnek vermek gerekirse, bir kişinin Acme Bank'ta bir hesabı olduğunu düşünelim. Bu kişi, bankacılık işlemleri için Acme Bank’ın çevrimiçi web sitesini ve mobil uygulamasını kullanır ve bu süreçte kullanıcı adı ve şifresini girer. Bu bilgilerin korunması çok önemlidir, çünkü bir siber suçlu bu bilgilere ulaşırsa, kişinin hesabına erişebilir ve para çekebilir.
Bir gün bu kişi, Acme Bank'tan geldiği gibi görünen bir e-posta alır. E-posta, bankanın logosunu ve stilini taklit eder ve destek adresi olarak "support@àcmebank.com" görünür. E-postada, "şifrenizi güncellemeniz gerektiği" söylenir ve "hesabınıza saldırı olasılığı" vurgulanır. E-posta, alıcıyı www.àcmebank.com gibi gerçek siteye benzeyen bir adrese yönlendirir. Kullanıcı, sahte form üzerinden giriş bilgilerini verir ve böylece farkında olmadan siber suçlulara erişim sağlar.
Bu tür saldırılar, URL ve alan adlarının dikkatlice taklit edilmesiyle gerçekleşir. Siber suçlular, gerçek alan adlarına benzeyen, ancak Unicode karakterleri kullanarak küçük farklarla yeni alan adları oluşturabilir. Örneğin, www.google.com yerine www.ġoogle.com gibi bir adres kullanılabilir. Bu tür saldırılar, “punicode saldırısı” olarak adlandırılır ve kullanıcıların sahte alan adlarını gerçek sanarak kimlik bilgilerini paylaşmalarına yol açabilir.
Siber suçluların, kimlik avı e-postaları ve web sayfaları oluşturmak için ileri düzey tasarım bilgisine ihtiyaçları yoktur. Dark web pazarlarında kimlik avı kitleri satılmaktadır. Bu kitler, belirli bir banka, hizmet sağlayıcı veya başka bir kuruluşu taklit etmek için gerekli tüm web ve grafik tasarım unsurlarını içerir. Bu da kimlik avını kolay ve etkili hale getirir.
Kimlik avı kitlerinin ve punicode saldırılarının yaygınlaşması, kimlik avı saldırılarını oldukça kolaylaştırmıştır. Siber güvenlik uzmanları bile bu saldırılara maruz kalabilir. Bu yüzden herhangi bir e-postadaki bağlantıya tıklamak yerine, doğrudan tarayıcıya güvenilir web adreslerini yazmak her zaman daha güvenlidir. Birçok çevrimiçi hizmet, hesap yönetimi için bu yöntemi desteklemektedir. Ayrıca, kimlik avı metin mesajlarına da dikkat edilmelidir. Bir bağlantıya tıklamasanız bile, bir kimlik avı mesajındaki kötü amaçlı bir bağlantı, bilgisayarınıza veya telefonunuza zararlı yazılım yükleyebilir. Bu nedenle, e-postalardaki ve mesajlardaki bağlantılara dikkat edilmelidir.
NFT'ler ve ABA Bize Sosyal Mühendislik Hakkında Ne Öğretebilir?
NFT'ler (Non-Fungible Tokens) ve ABA (Applied Behavior Analysis - Uygulamalı Davranış Analizi), sosyal mühendislik hakkında çeşitli dersler çıkarabileceğimiz iki farklı konudur. Her iki alan da insan davranışlarını anlamaya ve etkilemeye yönelik stratejilere dayanır. Şimdi, bu iki alanın sosyal mühendislik bağlamında bize ne öğretebileceğine bakalım:
1. İnsan Psikolojisinin Gücü:
NFT'ler, dijital sanat ve koleksiyonların sahiplik haklarını doğrulamak için kullanılır. Değerleri, nadirlik ve arz-talep ilişkisi üzerine kuruludur, ancak büyük oranda sosyal etkiler ve insanların sahiplik arzusuna dayanır. Bu, sosyal mühendislikte de görülen bir faktördür: İnsanların duygusal ya da psikolojik tepkileri manipüle edilerek, onları belirli bir eylemi yapmaya yönlendirmek mümkündür. Sosyal mühendisler, bu duygusal tetikleyicileri kullanarak kurbanları kandırabilir.
ABA ise insanların davranışlarını analiz ederek belirli sonuçlara ulaşmayı amaçlayan bir disiplin. Bu analiz, sosyal mühendislerin hedeflerinin davranışlarını nasıl manipüle edebileceklerini anlamaları için önemli bir yöntem sunar. Bir kişinin belirli bir durumda nasıl tepki vereceğini öngörmek, sosyal mühendislik saldırılarında önemli bir avantaj sağlar.
2. Güven ve Doğrulama:
- NFT'lerde, kullanıcıların dijital bir eserin gerçekten benzersiz olup olmadığını doğrulaması gerekir. Aynı şekilde, sosyal mühendislik saldırılarında da güven büyük bir faktördür. Sosyal mühendisler, hedeflerin güvenini kazanarak onların kişisel bilgilerini elde etmeye çalışır. NFT dünyasında dolandırıcılığın önüne geçmek için doğru doğrulama mekanizmaları kullanmak gerektiği gibi, sosyal mühendislik saldırılarına karşı da bilinçli olmak ve kimlik doğrulama adımlarını atmak önemlidir.
3. İnsanların Karar Verme Süreçlerini Etkilemek:
NFT'ler, özellikle FOMO (Fear of Missing Out - Bir şeyleri kaçırma korkusu) duygusunu tetikleyerek insanların hızlı kararlar almasını sağlar. Aynı taktik, sosyal mühendislik saldırılarında da kullanılır. Saldırganlar, hedeflerinin baskı altında hızlı kararlar almasını sağlamak için aciliyet veya korku hissi yaratabilirler.
ABA, insanların davranışlarını değiştirmek için ödül ve ceza gibi teknikleri kullanır. Sosyal mühendisler de benzer şekilde ödül ya da ceza algısı yaratıp hedeflerini manipüle edebilir.
4. Teknolojik Gelişmeler ve Sosyal Mühendislik:
NFT teknolojisi, yeni bir dijital ekonomi oluşturmuş olsa da dolandırıcılıklar ve kimlik avı saldırıları gibi sosyal mühendislik taktiklerine de açık olabilir. Kötü niyetli kişiler, sahte NFT projeleri oluşturarak kullanıcıları tuzağa düşürebilir. Bu durum, sosyal mühendislerin teknolojiye adapte olma hızını gösterir. Sosyal mühendislik saldırıları, teknolojik gelişmelerle birlikte evrilir ve yeni dolandırıcılık yöntemleri ortaya çıkar.
ABA ise davranışların nasıl değiştirilebileceği üzerine yoğunlaşırken, bu süreçleri dijital ortama taşıyan sosyal mühendislik saldırganları, hedeflerinin dijital dünyadaki davranışlarını da analiz edip ona göre strateji geliştirebilir.
5. Bilinç ve Eğitim:
NFT dünyasında, kullanıcılar kendilerini dolandırıcılıklara karşı korumak için bilinçli olmalı ve eğitim almalıdır. NFT'lerin nasıl çalıştığını, kimlik doğrulama süreçlerini ve dolandırıcılık işaretlerini anlamak, bireylerin güvenliğini sağlar. Aynı şekilde, sosyal mühendislik saldırılarına karşı da bilinçli olmak, insanların bu tür saldırılara karşı daha dirençli olmalarını sağlar.
ABA'nın öğretici yöntemleri, bireylerin sosyal mühendislik saldırılarına karşı daha bilinçli olmasını sağlayacak eğitim stratejilerinin geliştirilmesine katkıda bulunabilir.
İşletmenize Yönelik Sosyal Mühendislik Saldırılarını Nasıl Önlersiniz?
Sosyal mühendislik saldırılarına herkes maruz kalabilir. Teknik olmayan personelden, yönetici kadronuza ve hatta teknik siber güvenlik uzmanlarınıza kadar tüm çalışanlarınız bu tür saldırılara karşı savunmasız olabilir. Hatta ben bile kandırılabilirim. Bu nedenle herkesin sosyal mühendislik saldırılarına karşı korunması için eğitime ihtiyacı vardır.
Kuruluşunuzdaki tüm çalışanlara yılda bir veya iki kez sosyal mühendislik eğitimi vermelisiniz. Eğitimlerde kimlik avı e-postalarının, kısa mesajların ve web sitelerinin nasıl görünebileceğini göstermeli ve Punicode saldırılarını açıklamalısınız. İnsanlara, kimlik avı saldırılarının yasal e-postalar, kısa mesajlar ve web siteleri gibi görünebileceğini anlatmalısınız.
Çalışanlarınızı, şüpheli iletilerdeki bağlantılara tıklamak yerine, URL’leri doğrudan web tarayıcılarına girerek hizmet sağlayıcılarının web sitelerine gitmeleri konusunda teşvik edin.
Ayrıca, telefonla yapılan sosyal mühendislik saldırılarına karşı personelinizi eğitin. Çalışanlarınıza hiçbir koşulda telefon üzerinden hassas bilgi paylaşmamaları gerektiğini öğretin. Siber saldırganlar, genellikle kuruluşunuzda çalışan kişiler gibi davranarak bilgilerinizi ele geçirmeye çalışır. Bu nedenle, çalışanlarınıza kim olurlarsa olsunlar (hatta BT departmanı ya da üst yönetim olduklarını iddia etseler bile), telefonda veya e-posta yoluyla bilgi paylaşmadıkları için asla cezalandırılmayacaklarını açıkça belirtmelisiniz. Hassas bilgilerin paylaşılması ya da ayrıcalıklı erişim verilmesi gerekiyorsa, bu yalnızca yüz yüze bir toplantıda ya da video konferans aracılığıyla kişinin kimliğinin doğrulandığı durumlarda yapılmalıdır. Derin sahte (deepfake) teknolojileri gelişene kadar bu yöntemler güvenli olacaktır.
Teknik personelinize, özellikle ağ erişimleri ve yetkileri nedeniyle hedef alınabileceklerini hatırlatın. Bilgisayar bilimlerinde uzmanlıkları veya CISSP sertifikaları olan kişiler bile aldatılabilir. Kandırılabileceğinizi kabul etmek, kendinizi korumanın ilk adımıdır. Bu, paradoksal olsa da gerçektir.
Ofis ortamında, e-posta ekleri sıklıkla açılır. Çalışanlarınıza yalnızca tanıdıkları ve güvendikleri göndericilerden gelen ekleri açmalarını hatırlatın. Bazı kötü amaçlı yazılımlar yine de fark edilmeyebilir. Bu yüzden, uç nokta bilgisayarlarınızda güncel antivirüs yazılımı çalıştırdığınızdan ve e-posta sunucularınızda kötü amaçlı yazılım tespit sistemlerini etkin bir şekilde kullandığınızdan emin olun.
UI ve UX Tasarımı
Eğer bu metni bir e-kitap biçiminde okuyorsanız, uygulamanızın bölümlerini atlamak, ekranı aydınlatmak veya karartmak ve yazı tipi boyutunu değiştirmek için düğmeleriniz vardır. Ayrıca hangi sayfada olduğunuzu gösteren bir gösterge ve sayfaları, basılı bir kitapmış gibi, parmağınızla kaydırma yeteneğiniz bulunmaktadır.
Diğer uygulamalarınızda da tıklanabilir düğmeler veya dokunulabilir menüler bulunur. Tüm bunlar, UI (Kullanıcı Arayüzü) tasarımının temel unsurlarını oluşturur. İyi bir şekilde tasarlandıklarında, kullanıcıların herhangi bir açıklama yapmadan onlarla nasıl etkileşimde bulunacaklarını anlamalarını sağlarlar. Etkili UI tasarımı, görsel ipuçlarıyla doludur ve sezgisel olmalıdır.
UX (Kullanıcı Deneyimi), UI tasarımını içerir ancak bunun ötesine geçer. Uygulama hızlı mı yoksa yavaş mı çalışıyor? Uygulama ile etkileşimdeyken nasıl hissediyorsunuz? Yapmanız gerekenleri hızlı ve kolay bir şekilde gerçekleştirebiliyor musunuz? İyi bir UX tasarımı, uygulamaları olabildiğince keyifli hale getirir.
Siber güvenlik, burada devreye giriyor. UI ve UX yanlış tasarlandığında, kullanıcılar güvenlik açısından tehlikeli hareketlerde bulunabilirler. Kafa karıştırıcı bir kullanıcı arayüzü, istemeden dosyaları silmenize yol açarak bilgi güvenliği, bütünlük ve kullanılabilirlik ilkelerini tehdit edebilir. Güvenlik odaklı UI tasarımı, kullanıcı şifrelerini girerken, karakterlerin görünmesi yerine ekranda bir dizi yıldız işareti göstermelidir.
Kullanıcıların güvenli bir şekilde hareket etmelerini teşvik etmekte UX önemli bir rol oynar. En etkili kimlik doğrulama yöntemleri, bir parola, iki faktörlü kimlik doğrulama (2FA) kodu ve muhtemelen bir iris veya parmak izi taraması gibi birden fazla faktörü içermelidir. Kullanıcıların, bu yöntemleri daha sık kullanmaları gerektiğinde ve bu yöntemleri daha zor hale getirdiğinizde, birden fazla kimlik doğrulama faktörü kullanma olasılıkları düşecektir. Ayrıca, sınırlı ayrıcalıkları olan kullanıcılar uygulama içinde görevlerini yerine getiremezlerse, yönetici ayrıcalıklarına sahip bir hesap kullanmaya teşvik edilebilirler. Örneğin, uygulamanızın kullanıcı arayüzünü açık moddan karanlık moda geçirebilmek için yönetici haklarına ihtiyaç olmamalıdır.
2017 yılında AT&T Cybersecurity blogunda kötü UI ve UX tasarımının neden olduğu bir siber tehdit hakkında yazdım. ASUSWRT'nin GUI'si, güvenlik duvarı bölümünde “WAN'dan Web Erişimini Etkinleştir: Hayır” ve “Güvenlik Duvarını Etkinleştir: Evet” şeklinde yazılmış iki ayar içeriyordu. Ne yazık ki, "Güvenlik Duvarını Etkinleştir" "Hayır" olarak ayarlanmış olsa bile, "WAN'dan Web Erişimini Etkinleştir" "Hayır" olarak ayarlanmış olsa bile yönlendiricinin yönetici paneline genel internet erişimi verilecekti. Ağ yönetimi deneyimimle ben bile bunu kafa karıştırıcı bulurdum.
Sonuç olarak, yönlendirici ayarları oldukça karmaşıktı. Bir ağ güvenliği uzmanı bile bu durumu anlamakta zorlanabilirdi. Kullanıcı arayüzü, ayarları kullanıcılara açık bir şekilde açıklayacak şekilde tasarlandığında, kullanıcılar yönlendiricilerini daha güvenli bir şekilde yapılandırabilirler.
Eğer şirketiniz yazılım geliştiriyorsa, kullanıcıları daha iyi siber güvenlik davranışları sergilemeye teşvik eden etkili UI ve UX tasarımı hakkında bilgi edinmelisiniz. Eğer şirketiniz yazılım geliştirmiyorsa, güvenlik ekibiniz kullandığınız uygulamaları gözden geçirmeli ve çalışanlarınızın bunları doğru bir şekilde kullanabildiğinden emin olmalıdır.
İç Tehditler
Kuruluşlar genellikle dış tehditlere odaklanır; bu tehditler, şirketinizin dışından, kuruluşunuz için çalışmayan kişilerden kaynaklanır. Tedarik zincirinizin dışındadırlar ve şirketinizi hedef alan dışarıdan siber suçlular, siber saldırının en klasik örneğidir. Kapüşonlu, kötü niyetli bir siber saldırgan, şirketinizin web sitesine dolar işaretiyle bakarak içeri girmeye çalışır. Ancak kapüşonlu "hacker" imajı bir klişe olsa da, bu tür olaylar gerçekten yaşanmaktadır. Siber saldırganlar her türlü görünümde olabilir; hatta askeri üniforma giyenler bile vardır çünkü birçok siber saldırı ulus devlet askeri gruplarından gelmektedir. Bu nedenle, ağınızın çevresini güvence altına almak ve dışarıdan gelen kötü niyetli aktörlerin onu kıramayacağından emin olmak zorundasınız.
Ancak dahili siber saldırganlar genellikle göz ardı edilmektedir. Bu saldırılar, şirketiniz için çalışan kişilerden gelir ve dahili siber saldırganların ağınızdan yararlanmaları daha kolaydır çünkü onları zaten içeri davet ettiniz; işlerini yapmak için bu erişime ihtiyaçları vardır. Kullanıcı hesapları, zarar vermek için ihtiyaç duydukları ayrıcalıklara zaten sahip olabilir, bu nedenle genellikle ayrıcalıklarını yükseltmelerine gerek yoktur.
Dahili siber saldırılar endişe verici derecede yaygındır. İçeridekilerin sahip olduğu ayrıcalıklı erişim nedeniyle, dışarıdan gelen tehditleri tespit etmek ve durdurmak çok daha zor olabilir. Bir çalışan hassas verilerle çalışırken, kötü niyetli bir eylemde bulunup bulunmadığını bilmek zordur. İçeriden biri ağınızda kötü niyetli davranıyorsa, bu durumun dürüst bir hata olduğunu iddia edebilir ve suçluluğunu kanıtlamak da zor olabilir.
Ayrıca, içeriden gelen tehditleri kontrol altına almak, dışarıdan gelen tehditleri kontrol altına almaktan çok daha zordur. Ponemon Enstitüsü'nün 2018 İçeriden Tehditlerin Maliyeti çalışmasına göre, içeriden öğrenilen olayların kontrol altına alınması ortalama 73 gün sürmektedir. İçeriden öğrenilenlerin yalnızca yüzde 16'sı 30 günden daha kısa bir sürede kontrol altına alınabilmektedir. Ağınıza yönelik bir tehdit 20 gün sürse bile, bu süre içinde ne kadar zararın olabileceğini düşünmek gerekir.
Bu konuyu ele almanın nedeni, dahili siber tehditleri azaltmanın büyük ölçüde sosyal bir kavram olmasıdır. Dahili saldırıları önlemeye yönelik bazı ortak endüstri bilgeliğini ve kendi sıra dışı fikirlerimi paylaşacağım.
İlk olarak, hoşnutsuz çalışanları izlemeniz gerekir. En tehlikeli olanlar, fesih bildirimi almış olanlardır. Artık kovulmaktan endişe duymadıkları için kaybedecek bir şeyleri olmadığını düşünebilirler. Şirketinizin doğasına bağlı olarak, işten çıkarıldıklarını öğrendikleri anda çalışmayı bırakmaları iyi bir fikir olabilir. Sahip olabilecekleri fiziksel anahtarları size vermelerini sağlayın ve kullanıcı hesaplarını hemen devre dışı bırakın. Sonuç olarak, işten çıkarılan bir çalışana kıdem tazminatı vermek, birkaç hafta daha çalışması için ödeme yapmaktan daha az maliyetli olabilir. Ancak işten çıkarıldıktan sonra bir süre daha çalışmaları gerekiyorsa, onları dikkatlice izlemelisiniz.
İşten çıkarılmaya hazır olmayan hoşnutsuz çalışanlar da bir tehdit oluşturabilir. İçeride kötü niyetli hale gelebilecek hoşnutsuz çalışanların belirtileri arasında amirleri ve iş arkadaşlarıyla sık sık çatışma yaşayanlar ve düşük performans gösterenler bulunur. İş ilanı sitelerine yapılan ziyaretler de hoşnutsuz bir çalışanın açık bir göstergesi olabilir.
İlginç bir şekilde, içeriden kötü niyetli olabilecek bir diğer çalışan veya müteahhit türü, işleri konusunda aşırı hevesli görünen kişilerdir. Zam istemek yerine, hassas verilere erişimlerini genişletmek için daha fazla iş veya ek görevler için gönüllü olabilirler. “Evet, yardım masasında çalışıyorum ama ağları yönetme konusunda deneyimim var” diyerek ağ yöneticisinin yerini doldurabileceğini öne sürebilirler.
Diğer şehirlere veya ülkelere sık sık yapılan geziler, endüstriyel casusluğun bir işareti olabilir. Hassas ve özel bilgileri başka bir şirketle paylaşma niyetinde olabilirler.
İç tehdit aktörlerinin bir diğer önemli göstergesi, mali durumlarında açıklanamayan önemli değişiklikler olan çalışanlar veya personeldir. Yılda 40.000 dolar kazanan bir çalışanın neden birden bire Bentley kullandığını sorgulamak gerekir. Her iki durumda da, ekstra para endüstriyel casusluktan, kötü amaçlı yazılımların kripto madenciliğinden veya şirket hesaplarından para çalmaktan gelebilir.
İkinci olarak, çalışanlarınızın kullanıcı hesaplarını izlemeniz gerekir. Kullanıcı hesabı davranış anormalliklerini izlemek için günlük analiz yazılımları, uygulama güvenlik duvarları ve Güvenlik Bilgileri ve Olay Yönetim Sistemleri (SIEM) kullanılabilir. Anormallik örnekleri, çalışanınızın genellikle çalışmadığı zamanlarda kullanıcı hesaplarının aktif olması veya genellikle erişmediği dosyalara, klasörlere, uygulamalara veya sunuculara erişim sağlamasıdır. Ancak kullanıcı hesabı davranış anormallikleri her zaman siber saldırının göstergesi olmayabilir; belki de çalışanınızın sık sık yapmadığı bir görevi yerine getirmesi gerekiyordur. Ağ güvenliği olaylarını izleyen güçlü bir güvenlik ekibi, hangi olayların yanlış pozitif ve hangilerinin gerçek pozitif uzlaşma belirtileri (IOC) olduğunu belirlemek için ağ cihazı günlüklerinden ve muhtemelen bir SIEM'den faydalanabilir.
İşte benim alışılmadık bilgeliğim - başka bir yerde duyma ihtimaliniz olmayan ve politik olarak tartışmalı olabilecek bir tavsiye: Dahili siber saldırıları önlemenin en iyi yollarından biri, çalışanlarınıza ve yüklenicilerinize iyi davranmak ve onlara iyi ödeme yapmaktır. Benim görüşüme göre, mutlu bir çalışan sadık bir çalışandır ve işverenine zarar vermek isteme olasılığı daha düşüktür. Ayrıca, iyi ücret alırlarsa, kripto madenciliği veya hassas şirket verilerinin satışı gibi eylemler yoluyla ekstra para kazanmak için “ders dışı faaliyetlere” katılma motivasyonları azalır.
Ayrıca, işçi sendikalaşmasına müdahale etmeyin ve çalışanlarınız bir sendikaya katılırsa, sendikayla müzakere etmeye istekli olun. Bazı şirketler, çalışanlarını sendikalaşmadan caydırmak için izleme ve yıldırma yöntemlerine milyonlarca dolar harcamaktadır. Bu eylemler hem ahlaki olarak yanlıştır hem de kuruluşunuzun siber güvenliğini ve üretkenliğini geliştirmeye tahsis edilebilecek bir kaynak israfı olarak kabul edilebilir. Ayrıca, çalışanların moraline zarar vereceksiniz. “Moral düzelene kadar dayak devam eder” örneği olmayın. Çalışanlarınıza iyi davranmak, onları mutlu eder ve mutlu çalışanlar doğal olarak daha üretken olur ve daha kaliteli işler üretir. İşçilerine iyi davranan bir şirketin sendikalaşmadan korkacak hiçbir şeyi yoktur çünkü zaten çalışanlarının müzakere sürecinde tipik olarak istediklerini vereceklerdir.
Sonuç olarak, hiçbir kuruluş dahili siber saldırıları hak etmez. Otoparkta kilitli olmayan bir araç soyulmayı hak etmez, ancak diğer yandan kapılarınızı kilitlemek otomatik hırsızlığı önleme garantisi değildir. Yine de, arabanızın kapılarını kilitlemek iyi bir fikirdir. Bazen, çalışanlarına iyi davranan bir şirket bile, insan doğasının önceden tahmin edilemez olabileceğinden dahili siber saldırılarla karşılaşabilir. Ancak, çalışanlarınıza iyi davranarak kurum içindeki siber saldırı olasılığını kesinlikle azaltabilirsiniz.
Dahili siber tehditleri ele almak, iki tür çalışmayı da gerektirir: Çalışanlarınızı dahili tehdit belirtileri açısından izlemek (amaç sendikalaşmayı önlemek değil) ve morallerini iyileştirmek için onlara iyi davranmak.
Hacktivizm
Hacktivistler, finansal kazanç yerine politik amaçlar güden siber saldırganlardır. Genellikle siber saldırıların çoğu finansal motivasyonla gerçekleştirilirken, finansal olarak motive olmayanlar neredeyse her zaman hacktivizmle ilgilidir. Bu nedenle, hacktivizm tüm kuruluşların dikkate alması gereken bir tehdit oluşturur.
Hacktivizme Örnek: Bir e-ticaret sitesi, kürk mantolar satmaktadır. Bu durumu protesto eden bir hayvan hakları grubu, siteye yönelik dağıtılmış hizmet reddi (DDoS) saldırısı düzenler. Saldırı sonucunda e-ticaret sitesi çevrimdışı kalır ve tüm sayfalara katledilen hayvanların resimlerini ve “kürk cinayettir” ifadesini eklerler. Bu eylemden maddi kazanç sağlamazlar, ancak kürk ticaretine zarar vererek politik bir mesaj iletmiş olurlar.
Hacktivizm genellikle organize gruplar tarafından gerçekleştirilir, ancak bireyler tarafından da yapılabilmektedir. Bu gruplar, hayvan hakları, çevre koruma veya aşırı sağ görüşleri gibi belirli ideolojilere sahip olabilir. Kuruluşlar, iş yaptıkları alana bağlı olarak hangi ideolojik grupların kendilerine saldırıda bulunabileceğini belirlemelidir.
Hacktivizm gruplarının zamanla değişen motivasyonları ve kampanyaları olabilir. Anonim (Anonymous), belki de en ünlü hacktivizm grubudur; ancak LulzSec gibi diğer gruplar da mevcuttur. Bu gruplarda resmi bir üyelik yoktur; kimse kendisini belirli bir üye olarak tanımlamak zorunda değildir. Anonymous veya LulzSec olarak eylemde bulunan herkes bu gruplarla ilişkilendirilir. Anonymous'un kökeni, 2000'lerin başındaki 4chan web forumlarına dayanır. 4chan kültürü, kullanıcıların kullanıcı adı vermeden paylaşımda bulunmalarını teşvik eder, bu nedenle herkes "anonim" olarak adlandırılır.
Kuruluşların siber güvenliğinde hacktivizm, insan psikolojisi ve sosyolojisi açısından dikkate alınması gereken birçok konu içerir. Teknolojik yön önemli olsa da, siber güvenliğin temelde psikolojik ve sosyolojik bir alan olduğunu unutmamak gerekir. Bilgisayarlar insanlar tarafından kullanılır ve kötüye kullanılır; bu nedenle, kullanıcıların motivasyonlarını anlamak, siber güvenliği güçlendirmek ve değerli varlıkları korumak için kritik bir adımdır.