İçeriden gelen bir tehdit, bir kuruluş içinden kaynaklanan bir güvenlik riski olarak tanımlanır; ve küresel maliyeti ortalama 11,45 milyon dolarken, kuruluşların bu konuyu ele alması çok önemlidir. Risk, genellikle kötü niyetli veya ihmalkâr çalışanların yanı sıra, yükleniciler ve iş ortakları gibi kuruluşa yakın diğer kişilerle ilişkilendirilir ve çalışan izleme yazılımı tehditleri önleyecektir. Yine de, içeriden gelen tehditler hakkındaki bu anlayış yanıltıcı bir şekilde insanları suçluyor; başka bir deyişle, günah keçisi olarak teşhir etmek.
Yazar hakkında
Javvad Malik, KnowBe4'te bir Güvenlik Farkındalığı Avukatıdır.
Bir kuruluşa aktif olarak zarar vermek isteyen insanlar olsa da, Ponemon Enstitüsü'nün '2020 İçeriden Tehdit Maliyeti Raporu'na göre, içeriden öğrenen tehditlerin yalnızca% 23'ünü oluşturuyorlar. İnsanların çoğu, kuruluşun yükümlülüğünden ziyade bir varlık olmak üzere kolayca eğitilebilir.
O zaman insanları suçlamak yerine neden dikkatimizi sorunun kökenine kaydırmıyoruz? Yani güvenlik yazılımı.
İster güvenlik açıklarına gömülmüş, ister hükümetler tarafından bozulmuş olsun, ister kar amaçlı veri toplamak için bir kanal olarak kullanılsın, şu anda güvenlik yazılımının kullanımı sorunlarla doludur.
Güvenlikte çifte temsilciler
En büyük ve en yaygın kullanılan güvenlik yazılımı sağlayıcılarından biri, Çek merkezli şirket, Avast antivirüsantivirüs korumasını kullanan 59 ülkede 435 milyondan fazla aktif kullanıcısı var. Bununla birlikte, Ocak 2020'nin sonuna kadar Avast, kullanıcılarından gizlice veri topluyor ve bu verileri yan kuruluşu Jumpstart aracılığıyla üçüncü taraf müşterilere satıyordu. Bu anlamda, internet güvenliği ve özellikle mahremiyetleri ile onlara emanet eden insanlara karşı çifte ajan olarak çalışıyorlar.
(Un) Kusursuz
Çoğu durumda, yazılımın kendisi arızalıdır. Veracode SOSS Report Vol. Geçen yıl yayınlanan 10, 85.000 başvuruda yaklaşık 10 milyon kusur bulundu ve bu uygulamaların% 83'ünün ilk taramada en az bir kusuru vardı. Bu kusurlardan% 20'si "yüksek" veya "çok yüksek" ciddiyetiyle işaretlendi. Kötü aktörlerin bir kuruluşa sızabilmesi ve verilerine erişebilmesi tam da bu tür güvenlik açıklarından yararlanarak gerçekleşir.
İşleri daha da karmaşık hale getirmek için, güvenlik açıklarının büyüklüğü ve karmaşıklığı, bir sistemin yamalanmış olup olmadığını doğrulamayı çok daha zor hale getirir. Gerçekten de, veri ihlallerinin çoğu (% 60) yazılım güvenlik açıklarının toplu bırakılmasından kaynaklanmaktadır. 2017'deki Equifax veri ihlali ve 2018'deki Marriott ihlali, bunun meydana gelen iki örneğidir ve toplu olarak 640 milyondan fazla kaydı ortaya koymaktadır.
Maymun işi hükümet
Bazı durumlarda, hükümet ihlalleri çözecek şekilde değil, sürece dahil olur gizlilik Saldırıların arkasındaki suçluları hak eder veya yakalar. Aksine, kendileri suçludur. APT5 tarafından Manganese olarak da bilinen saldırıların ileri teknoloji şirketlere gerçekleştirilmesi VPN sunucuları bunun açık bir örneğidir.
Ağustos 2019'dan bu yana, Çin devlet destekli bilgisayar korsanlarının Fortinet ve Pulse Secure VPN sunucularını aramak için internet taramaları gerçekleştirdiği ortaya çıktı. Daha sonra kimlik doğrulama gerekmeden dosyalara erişmek için bu VPN sunucuları içindeki iki güvenlik açığından yararlanmaya çalıştılar. Bu şekilde, bilgisayar korsanlarının savunmasız aygıtlardan parolalara ve VPN oturum verilerine erişmesine olanak tanır. İranlılar da çok geride değil. Tarafından rapor siber güvenlik ClearSky firması, İran’ın devlet destekli bilgisayar korsanları biriminin, halka açık olur olmaz VPN hatalarından yararlanmayı bir öncelik haline getirdiğini açıkladı.
Fortinet ve Pulse Secure VPN sunucularının her ikisi de yüz binlerce müşteriyle yaygın olarak kullanılmaktadır. Daha spesifik olarak, Pulse Secure, en büyük teknoloji firmaları ve devlet kurumları da dahil olmak üzere çok sayıda Fortune 500 şirketi arasında popülerdir. Bir VPN sunucusu kullanmaları, öncelikle dahili sunucularını yetkisiz erişime karşı korumaktır. Ancak, bunu başaramazlarsa, bir ihlal meydana geldiğinde çalışanları nasıl tersine çevirip suçlayabiliriz?
Bir günah keçisi için kimlik avı
Sonunda, korkutucu. İsminden de anlaşılacağı gibi, scareware, korkunuz ve yaklaşan bir tehdit algısı üzerine kumar oynayan bir kimlik avı türüdür. Bir pop-up reklam aracılığıyla, siber suçlular bilgisayarınıza bulaştığını bildiren uyarılar gönderir Kötü amaçlı yazılım ya da “yavaş çalışıyor”. Daha sonra endişenizden yararlanırlar ve bir 'çözüm' sağlamak için paniğe kapılırlar.
Ancak, 'çözüm', sahte veya sahte bir güncelleme, kötü aktörün verilerinize erişmesini ve bilgisayarınıza kötü amaçlı yazılım yüklemesini, hatta belki de fidye. Bu tür bir senaryoda, parmağı reklamı tıklayan kişiye yönlendirmek kolaydır, ancak bunun gerçekleşmesine izin veren güvenlik yazılımı sağlayıcıları ne olacak? Kötü amaçlı reklamları belirlemek ve ekranda görünmelerini engellemek güvenlik yazılım programlarının sorumluluğu değil mi?
Gerçek iç tehdit
Sonunda, gerçek içerden tehditin ne olduğunu merak etmeye bırakıldık. Bunca zaman, insanlar en zayıf halka olarak tanımlanmış ve örgütleri güvensizliğe maruz bırakmaktan sorumlu tutulmuştur. Ancak, kanıtlara bakıldığında, sorunların güvenlik yazılımlarından ve sağlayıcılarından kaynaklandığı görülmektedir. Bizi, hem bireyleri hem de örgütleri bir siber saldırıdan koruyacakları düşünülürse, gerçekte sorun olmaları oldukça ironiktir.
Bir yanıt bırakın