COVID-19 Siber Güvenliği Nasıl Değiştirdi?
COVID-19 açık ofis planının, yüz yüze görüşmelerin ve el sıkışmalarının sonu anlamına gelmiş olabilir. Bu süreçte siber güvenlik nasıl değişti ve CISO’lar hangi yeni rolü oynayacak?
Pandemi ile dikkatler toplumsal kilitlenmelere, sosyal mesafeye, çeşitli belirsizliklere kayarken COVID-19 ile siber güvenlik dünyasının öncelikleri, stratejileri ve süreçleri de tersine döndü. Türkiye’de dahil olmak üzere dünya çapında binlerce kişiye istihdam sağlayan çeşitli şirketler, iş gücünün bir kısmının pandemi riski ortadan kalkıncaya dek süresiz olarak evden çalışmaya devam etmesine izin vereceğini duyurdu. COVID-19 halk sağlığı krizinin ötesine geçerek birçok kurum için yeni bir normale işaret ederken bu kapsamdaki artan siber riskliler ve bununla mücadele yöntemleri tekrar masaya yatırıldı.
Evden çalışma (İngilizce WFH) operasyonlarına geçişle, değişen BT ve güvenlik süreçlerinin yanında artık hem bağımsız hem de ulus devlet siber suçluların artan faaliyetleriyle uğraşmak zorunda. Siber risklerin arttığı bu dönemde tehdit aktörlerinin başarılı olmamasını sağlamak için daha dikkatli olmaları ve yeni süreçler ve farklı prosedürleri hayata geçirmeleri gerekiyor. Uzaktan çalışmanın iş gücüne ani olarak geçişin siber güvenlik ihlallerine yol açmasının birkaç nedeni var. Bunlar;
1. Davranış değişiklikleri: Uzaktan çalışmaya yeni başlayan işletme çalışanları adaptasyon sorunu yaşamakta ve altyapı güvenliğini riske atma olasılıkları daha yüksektir – uzaktan çalışma için tasarlanmış güvenlik ve yüksek görünürlük altyapısı yoksa, siber suçluların oltalama saldırıları ile e-postaları yanıtlayabilirler. Bunun yanında, iş nedenli stres seviyeleri arttıkça, daha reaktif ve daha az stratejik olmaya meyilli olarak kurum güvenliğini risk altına girmektedir.
2. Durum değişiklikleri: Farklı yerlerde çalışmak, güvenlik prosedürleri ve VPN, ZTNA efektif çalışan teknoloji ve prosedürleri olmadığı durumda kurum güvenliğini riske atabilir. Bu aktiviteleri denetleyecek uygun yapıların sağlanamadığı durumlarda iş süreçlerinin güvenlik açısından ciddi olarak etkilendiği koşullar oluşarak siber suçlular için bir atak senaryosu haline kolaylıkla gelebilmektedir.
3. Teknolojik değişiklikler: Pandemi şartları altında kurumlar aniden güvenlik altyapılarını fiziksel sınırlarının ötesine genişletmek zorunda kalmıştır. Kurum altyapılarına çok çeşitli cihazlardan, hatta kişisel cihazlardan erişilmektedir, bu değişiklikler kurum kaynaklarına yetkisiz ve kontrolsüz erişime yada erişememe sorunlarına neden olarak önemli güvenlik problemlerine yol açabilir.
Yine başka bir temel zorluk ise, CISO’lar da dahil olmak üzere siber güvenlik profesyonellerinin değişen rolleri ve güvenlik KPI metrikleri olmaktadır. Pandemi sürecinde WFH için yapılan bir çok araştırmada siber güvenlik çalışmalarının zorunlu olarak uzaktan yapılması ile güvenlik operasyonları verimliliği konusunda en çok zorlanılan alanlardan biri olduğunu ortaya çıkardı. Bunun yanında tehdit aktörlerinin çoğu WFH temelli atak yöntemlerine geçtiği için kuruluşlara daha geniş saldırı yüzeylerinden istismar etmeye çalıştığı ortaya koyulmuştur.
CISO’ların karşılaştıkları kritik sorunlar arasında uzaktan çalışmayı destekleyecek ve verimliliği düşürmeyecek teknoloji eksikliği, son kullanıcıların kaynaklara erişimdeki etkili MFA(Multi Factor Authentication) ve PAM (Privileged Access Management) yöntemlerindeki verimsizlik, uyumsuzluk sorunları ile kurum güvenlik politikalarına uygunsuzluğu yer almaktadır.
CISO’lar ve güvenlik ekipleri, mevcut ve gelecekteki uzaktan çalışma, WFH politikalarının verimlilik ve siber güvenliğin uçtan uca sağlanmasının yanında iş sürekliliğinin güçlendirilmesinde önemli bir role sahip. Bu hedeflere ulaşmak için atabilecekleri adımları bir kaç madde altında topladık;
1. Yeni normal’de uzaktan erişim yöntemlerini belirleyin
Güvenlik alarmlarının sayısı ve seviyesinden daha çok, hangisinin bir atak yöntemi içerisinde aktif olarak kullanıldığı daha önemli. Bunun yanında güvenlik ataklarında ilk istismar edilen yönetici hesapları olduğundan, kritik profildeki kullanıcıların admin, devops vb. uzaktan erişim eğilimlerini ve kullanım modellerini yakından takip etmeleri oldukça önemli.
Örnek olarak kaynak IP adresini izlemek oldukça zor olacağından, siber güvenlik ekiplerinin, internet servis sağlayıcıları gibi çeşitli ağlardan, birden çok konumdaki kullanıcıların kimliğini doğrulaması ve erişim yöntemlerini belirlemesi gerekecektir. Kullanıcılar ofisin dışına çıktıkça, uzaktan erişim anormallikleri için ‘false positive’ uyarılarda büyük olasılıkla artış olması muhtemel olacaktır. VPN erişimlerinde coğrafi konum bilgilerinin denetimi de bir o kadar kritiktir, farklı ülkelerden gelen uzaktan erişim girişimleri için endişe duymanız gerekebilir.
2. Ağlar ve Uç Noktalar Arasında Görünürlüğü Önceliklendirin
Pandemi şartları altında uzaktan bağlantılarda, çalışanlar kurumsal ağlardan ayrıldığında güvenlik ekiplerini ağ ve uç nokta etkinliklerini monitör etmesini zorlaştırır. Bu durum önemli görünürlük problemleri başta olmak üzere birçok siber güvenlik açıklarına kolayca neden olabilmektedir.
Anti-Virüs, EDR/XDR araçları gibi son kullanıcı güvenlik yazılımları WFH şartları altında ‘log’ bilgilerini merkezi bir sunucuya göndermesi gerekmektedir. Uzaktan çalışan kullanıcılar VPN’e sürekli olarak bağlanmazsa, bu log bilgileri son kullanıcı bilgisayarlarında saatlerce yada günlerce kalabilir, bu durumda güvenlik olay yönetimi ve uyumluluk kriterleri açısından gerekli KPI’ların sağlanmamasına ve potansiyel siber güvenlik riskleri anlamına gelmektedir.
3. Öngörülebilir Risklerin Farkında Olmak
Güvenlik pratikleri ve bunu adresleyen standartlar bir dizi deneyimin sonucu olarak güvenlik süreçlerini nasıl yapılandırılması gerektiği ile ilgili önemli deneyimler barındırır. Hızlı bir şekilde dijitalleştirme ve dış dünyadaki siber güvenlik riskleri iş süreçlerini olumsuz etkilemektedir. Bu nedenle kurumların kendi metriklerini oluştururken güvenlik tespit ve proaktif çeşitli teknolojilerden yararlanmaları, mevcut güvenlik yatırımlarının ne kadar efektif olduğunu denetlemeleri güvenlik yatırımlarının verimliliği kadar güvenlik ekiplerinin adaptasyonu için de önemlidir.
Siber güvenlik söz konusu olduğunda, herkese uyan tek bir yaklaşım olmasa da, kuruluşların iş süreçleri için uygun olan ağ güvenliği pratiklerini uygulaması gerekir. Bu uygulamalar politika tabanlı erişim kontrolü, ağ bölümleme, yasal uyumluluk, IoT güvenliği vb birçok süreci içerebilir.
COVID-19 sırasında, uzaktan erişim, IoT, ağ erişim kontrolü, kullanıcı yetkilendirme ve gizliliği gibi alanlara ekstra dikkat edilmelidir. Diğer bir olasılık ise, uzaktan çalışanlar şirket tarafından sağlanan donanım yerine gerekli güvenlik kontrollerinden yoksun, şirket envanteri dışındaki cihazlarla izinsiz şekilde kurumsal ağlarına bağlanabilirler. Bu nedenle kuruluşların uç nokta denetimini, trafik denetimini, segmentasyonu ve iyileştirme / izolasyonu artırması gerekir. Kullanıcıların kişisel verilerinin korunduğundan emin olmak ve KVKK, GDPR gibi uyumlulukların sağlanması için veri gizliliği de akılda tutulmalıdır.
Her An Dikkatli Olmak…
Son olarak, her kurum bu süre zarfında kendilerin dahil olduğu güvenlik kapsamı ve riskleri konusunda ekstra dikkat göstermelidir. Güvenlik altyapılarındaki şüpheli aktiviteler görmezden gelinmemeli, anormallikler görüldüğü anda gerekli aksiyonlar alınmalıdır – erken tespit ve müdahale, güvenlik sorunlarının negatif etkilerini ciddi olarak azaltmakta ve yayılımını önleyerek ve daha geniş çapta hasarın önüne geçmek için çok önemlidir.
Detaylı çözüm ve bilgi için sales@inforte.com.tr