İLETİŞİM
.png){kind=logo}
İLETİŞİM
DESTEK
Mail Güvenliği 
Veri Merkezi 
Bilgi ve İletişim Güvenliği Rehberi (BİGR) Danışmanlığı Hizmeti
UTM 
DİĞER 
Bulut Bilişimde İçeriden Gelen Tehditler
Önümüzdeki yıllarda bulut bilişimin iş rekabetini sürdürmek için gereken temel unsurlardan biri olması bekleniyor. Ancak bulut kullanımının hızla artması, hassas verileri ve güvenliği tehlikeye atabilecek potansiyel bulut güvenliği tehditlerine karşı tetikte olunması gerektiği anlamına geliyor.
Bulut altyapısına yönelik güvenlik kaygılarının başında içeriden gelen tehditler (insider threat) öne çıkıyor.
İçeriden gelen tehditler, kurum içinden birinin kasıtlı veya kasıtsız olarak yetkili erişimini kullanarak kurumun misyonuna, kaynaklarına, personeline, tesislerine, bilgilerine, ekipmanına, ağlarına veya sistemlerine zarar vermesi tehdidi olarak tanımlanmaktadır. İçeriden gelen tehditler şiddet, casusluk, sabotaj, hırsızlık ve siber eylemler olarak çeşitlendirilebilir.
Bulut altyapısının her büyüklükteki işletme için taşıdığı önem ve içerideki kişilerin sahip olduğu ayrıcalıklı erişim, içeriden gelen tehdit riskinin azaltılmasının artık güvenlik ekipleri için öncelikli olarak üzerinde durulması gereken bir konu olduğunu gösteriyor.
İçeriden gelen tehditler en çok işin sonlandırılması, istifa, kurum içi pozisyon değişikliği, organizasyon birleşme ve satın alma faaliyetleri ve finansal sorunların ortaya çıkması durumlarında gerçekleşiyor.
İçeriden gelen tehdit, rakip firma için çalışmaya başlamak, hoşnutsuzluk, şüpheli yurt dışı seyahati, mali çıkar çatışması ve fiziksel mülk hırsızlığı davranışlarını sergiliyor.
Veri sızdırma çoğunlukla e-posta, taşınabilir ortam, kağıt, web ve sözlü olarak aktarma yöntemleri kullanılarak gerçekleştiriliyor.
Sabotaj yöntemi olarak genellikle kritik verinin değiştirilmesi veya silinmesi, DoS saldırısı, kötü amaçlı kodun eklenmesi ve sosyal mühendislik kullanılıyor.
İçeriden Gelen Tehditlere Karşı Alınabilecek Önlemler
İç tehdit risklerini yönetmenin başlıca adımlarından biri kuruma rekabet avantajı sağlayan kritik varlıkları bilmek ve korumaktır. Hizmet bazlı veya donanım bazlı envanter yaklaşımı ile kritik varlıklar listesi oluşturulmalı ve risk değerlendirmesi yapılmalıdır. Risk değerlendirmesi, bir kuruluşun varlıklarını tanımasının ve onları içeriden gelebilecek saldırılara karşı korumasının en iyi yollarından biridir. Risk değerlendirmesinin sonuçları, bir tehdit aktörünün kurumsal varlıklara yetkili erişimini nasıl kötüye kullanabileceği konusunda kuruluşa bilgi verir.
Tüm kurumsal politika ve prosedürler hakkında tutarlı ve açık bir mesaja sahip olmak, çalışanların yanlışlıkla kuruluşlarına zarar verme veya algılanan bir adaletsizlik nedeniyle kuruluşa veya diğer çalışanlara saldırma olasılığını azaltır.
Kuruluşlar, içerideki kişilerin manuel ve otomatik kontrol mekanizmalarını aşmak amacıyla kullanıcı hesaplarının güvenliğini ihlal etmesini önlemek için bulut sistemlerde katı şifre ve hesap yönetimi politikaları ve uygulamaları kullanmalıdır.
Sistem yöneticileri, teknik kullanıcılar ve ayrıcalıklı kullanıcılar, kötü amaçlı etkinlikleri gerçekleştirmek ve gizlemek için teknik beceriye, erişime ve gözetimle ilgili yeteneklere sahiptir. Bu nedenle bulut sistemlerindeki ayrıcalıklı kullanıcılara yönelik sıkı erişim kontrolleri ve izleme politikaları oluşturulmalıdır.
Kuruluşlar, iç tehdit riskini azaltmak için işe alma sürecinden başlayarak şüpheli veya rahatsız edici davranışları izlemeli ve bunlara cevap vermelidir. Potansiyel çalışanların özgeçmiş kontrolleri, önceki cezai mahkumiyetleri ortaya çıkarılmalıdır. Bu geçmiş kontrolleri bir kredi kontrolünü, kimlik bilgilerinin ve geçmiş istihdamın doğrulanmasını ve önceki işverenlerle bireyin yeterliliği ve işyeri sorunlarıyla başa çıkma yaklaşımına ilişkin görüşmeleri içermelidir.
Çalışma ortamındaki olumsuz sorunları öngörmek ve yönetmek de önemli konulardan biridir. Kuruluş, politikalarını ve uygulamalarını yeni çalışanlarına ilk gününde iletmeli, yeni ve deneyimli çalışanların tümü bu politikaların ve bunları ihlal etmenin sonuçlarının farkında olmalıdır.
Sosyal medya sitelerini kullanan çalışanlar, bir kuruluşun kritik varlıklarını tehdit edebilir. Kuruluşlar, çalışanların sosyal medyayı nasıl kullanması gerektiği konusunda eğitim, politika ve prosedürler sağlamalıdır. Sosyal medya konusunda özellikle dikkatli olunmalıdır.
Kuruluşlar, çalışanların psikolojisini ve çalışanlara yüklediği talepleri anlamalıdır. Bu bilgiye sahip olan kuruluşlar, olumlu sonuçlara olanak sağlayan bir çalışma ortamı yaratmalıdır. Çalışanların stresini ve hataları en aza indirecek bir yapı kurulmalıdır.
Bir kuruluşta istikrarlı bir güvenlik kültürü oluşturmak için, iç tehdit risklerinin çeşitli biçimlerine ilişkin farkındalığın artırılmasını da içeren periyodik güvenlik eğitimleri gerçekleştirilmelidir.
Çalışanların bulut sistemlerde gerçekleştirdikleri eylemlerini izlemeye ve çoklu veri kaynaklarından gelen bilgileri ilişkilendirmeye yönelik çözümler kullanılmalıdır.
Bir kuruluşun içeriden gelen bir tehdidi tanımlamak için bakabileceği çeşitli göstergeler vardır. İçeriden gelen tehditlere ilişkin bulut tabanlı göstergeler belirlenmelidir.
Kuruluşlar tamamen uzaktan veya hibrit (uzaktan ve kişisel olarak karışık) bir varlıkla çalışmaya yöneldikçe, proaktif risk analizi, uzak etkinlikleri izlemek için hangi bilgi kaynaklarının mevcut olduğunu ve iş gücü üyelerinin taşıması için hangi düzeyde uzaktan erişimin gerekli olduğunu belirlemelidir. Bu amaçla mobil cihazlar dahil tüm uç noktalardan uzaktan erişim izlenmeli ve kontrol edilmelidir.
Her ne kadar bu uygulama ayrıcalıklı kullanıcılarla ilgili olarak tartışılsa da kuruluşların bulut sistemler dahil tüm iş süreçlerinde yer alan tüm çalışanları için görev ayrımını ve en az ayrıcalık prensibini uygulaması gerekmektedir. Bu uygulama, kötü niyetli kişilerin kritik iş süreçlerine, sistemlere ve bilgilere verebileceği zararı sınırlar.
Bulut hizmetlerine, özellikle erişim kısıtlamalarına ve izleme yeteneklerine ilişkin açık güvenlik anlaşmalarını tanımlanmalıdır. Bu, bulut hizmeti sağlayıcılarıyla ilgili endişeleri özel olarak ele alacak şekilde ince ayarlar yapılmasını sağlar.
Kuruluşlar kötü amaçlı kod veya programların eklenmesini önlemek için bulut sistem ve uygulamalarda yapılan değişiklikleri kontrol etmelidir. Kuruluşlar değişiklik kontrollerini kapsamlı bir şekilde uygulamalı ve bunları zaman içinde ve tüm proje aşamalarında uygulamaya devam etmelidir.
Kapsamlı bir iş fesih prosedürü geliştirilmelidir.
Kuruluşta veya başka bir yerde önceki olayların nasıl ortaya çıktığını anlamak, mevcut iç tehdit risk yönetimi uygulamalarının etkinliği hakkında önemli bilgiler sağlar. Geçmişteki iç tehdit olaylarından dersler çıkarılmalıdır.
Kaynaklar:
https://insights.sei.cmu.edu/documents/5777/5692_CSG_Book_20-optimized.pdf
Yazar: M. K. / Denetim Hizmetleri ve Teknolojileri Birimi Takım Lideri