Hepimiz uzaktan çalışmaya ayarladığımızdan, dünya genelindeki güvenlik ekipleri çok ciddi bir mücadele ile boğuşuyor. Neredeyse bir gecede şirketlerimiz değişti. İyi kurulmuş prosedürler yeniden yazılıyor, en iyi uygulamalar hızlı bir şekilde yeniden düşünülüyor ve politikalar kırılma noktasına kadar uzanıyor.
İş dönüşümü her zaman bir güvenlik riskidir. Yeni teknoloji ve çalışma uygulamaları yeni güvenlik önlemlerine ihtiyaç duyar; ancak normalde bu risk dikkatle ve zamanla yönetilir. Covid-19 bize bu lüksü vermedi. Bazı işletmeler için bu değişikliğin ölçeği ve hızı daha önce görülmemiş olacaktır. Aynı zamanda çok halka açıktır; saldırganlar durumun farkında ve zaten sömürüyorlar. Güvenlik ekiplerinin önümüzdeki haftalarda karşılaşacağı en ciddi tehditlerden bazıları aşağıdadır.
Gelen kutunuza dikkat ve sağduyu uygulayın
Değişim yenilik getirir ve yenilik dolandırıcılara fırsat getirir. Son 48 saat içinde, iç güvenlik ekipleri önemli uzaktan çalışma araçlarını sunmak için yarışacaklar. Yeni yazılım indirme bağlantıları, hizmetlerin kimliğini doğrulama şeklimizde değişiklikler. Ne bekleyeceğinizi bilmediğinizde, sosyal mühendisliği tespit etmeye yönelik çalışan eğitimi pencereden dışarı çıkar. Hem çalışanlar hem de BT departmanları beklenmedik çağrılara ve isteklere karşı dikkatli olmalıdır:
“Merhaba, BT'den arıyorum, yeni Duo sistemine geçiş yaptığınızı doğrulamak için lütfen 2FA kodunuzu bana okuyabilir misiniz?”
"Merhaba, O365 şifremi unuttum, lütfen kişisel Gmail'ime bir sıfırlama kodu gönderebilir misiniz?"
Bu tür istekler meşru olabilir ve normal kanalların dışında çözülmesi gerekebilir. Bu, bireylerin temkinli olmaları, sağduyulu olmaları ve uygun şekilde onaylamaları olacaktır.
Mızrak avcılarının üçüncü tarafları ve müşterileri taklit etmeleri için de bol fırsat olacak:
“Merhaba John, uzak olmak için önümüzdeki hafta toplantımızı yeniden planlamam gerekiyor. Yakınlaştırma çağrısına davet için lütfen aşağıdaki bağlantıya bakın. ”
Bu riskler, standart dışı web konferans yazılımının kullanımını ve dosyaların e-posta ile paylaşılmasını kolaylaştırmak için güvenlik kontrollerinin aynı anda gevşemesi ile daha da artacaktır. Saldırganların hem fırsatı hem de olanakları olacaktır.
Tehdit ortamını genişletmek
Güvenlik denetimlerinin zayıflaması, güvenlik duvarı kurallarını ve e-posta politikasını gevşetmenin çok ötesine geçer. Mevcut güvenlik katmanlarının çoğu uzak çalışanlar için geçerli olmayacaktır. Aniden iş bilgisayarlarını evlerine götüren çalışanlar, ofis ağlarını ev Wi-Fi'leri için ticaret yaparken kendilerini korumadan mahrum bırakacaklar. İnternet proxy, NAC, IDS ve NGFW olmadan, istemci cihazlar artık potansiyel olarak güvenliği ihlal edilmiş cihazlar arasında güvenli olmayan potansiyel ağlara maruz kalacaklardır. Uç nokta güvenliği, tam koruma sağlamak zorundadır.
Dahili ağ güvenliği de tehlikeye girebilir; çalışanların önceden yalnızca bir konumdaki kablolu ağda erişilebilen kaynaklara erişmesi gerekebilir. VPN üzerinden erişilebilir olmasını sağlamak için dahili segmentasyonun düzleştirilmesi gerekebilir. Bu, kötü amaçlı yazılım yayılmasına ve yanal harekete kapı açacaktır. Şirket dizüstü bilgisayarı olmayan çalışanlar için BYOD'nin çalışmasını sağlamak için web hizmetlerini koruyan istemci sertifikası kimlik doğrulamasının kapatılması gerekebilir.
Bu değişiklikler titizlikle kaydedilmeli ve bağımlılıklar anlaşılmalıdır. Ekstra ağırlığın başka bir yere taşınması gerekecektir: belki ana AV politikaları ağ korumasının eksikliğini telafi etmek için sıkılaştırılabilir, belki çalışan cihazlar şirket içi DNS sunucusu yerine güvenli bir harici DNS sağlayıcı kullanacak şekilde yeniden yapılandırılabilir.
Yeni bir saldırı dalgası
Mevcut kontrollerin zayıflamasının ötesinde, yeni altyapının canlandırılması yeni riskler getirecektir. Ocak ayında web'e dönük Citrix altyapısına yönelik bir dizi saldırı gördük. Şirketler hızla VPN ağ geçitleri kuracak, Sharepoint'e geçecek ve internete bakan çevrelerini genişletecek. Bu hızla artan saldırı yüzeyinin izlenmesi ve korunması gerekecektir. Güvenlik ekipleri kaba kuvvet ve sunucu tarafı saldırıları konusunda uyarılmış durumda olmalıdır. DDoS koruması da her zamankinden daha önemli hale gelecek; birçok şirket için bu, bir DDoS saldırısının, uzak çalışanların internet üzerinden hizmetlere erişmesini engelleyerek işlerini ilk kez saklayabileceği bir durum olacaktır. Bu saldırı türlerinin her ikisinde de hemen keskin bir artış görmeyi beklemeliyiz.
Döküntü kararları verme
“S3 kovasına koy”, “bunun yerine join.me kullanalım”, “WeTransfer üzerinden size göndereceğim”.
Hem BT hem de bireysel çalışanlar engelleyicilerle karşılaşacak. İhtiyaçları için yetkili bir çözüm olmayacak ve bu ihtiyaçlar çok acil olabilir. İşletmelerin finansal durumları ve faaliyet gösterebilmeleri konusunda son derece endişe duydukları bir zamanda, rüzgara karşı dikkatli olma ve "işi her zamanki gibi" koruma baskısı olacaktır. Bu basınç üstten bile gelebilir. Güvenlik liderliği, hem kızarıklık kararlarına karşı çıkmak hem de yaratıcı çözümler sunmak için ellerinden gelenin en iyisini yapmalıdır.
İyi niyetli çalışanlar yaratıcı olacak ve sorumluluk ekip liderlerine “ne gerekiyorsa yapma” yetkisi verilecektir. Güvenliğin merkezi olarak polise ulaşması imkansız olabilir, ancak riskli davranışı ve uyumsuzluğu tespit etmek için uyanıklığın izlenmesi gerekecektir. Bunu söylemek yapmaktan daha kolay; SOC'den bir değişim denizindeki olayları izlemesi istenecektir. Mevcut kullanım durumları ve kuralları geçerli olmayacak ve şirketlerin algılama ve yanıt verme konusunda daha proaktif ve dinamik bir yaklaşıma ihtiyaçları olacaktır.
Eviniz bir işletmenin sıfır güven ortamıdır
Ne yazık ki, şirketlerimiz içinde, biz aşağıdayken bizi tekmelemek isteyen bazı kişiler olacak. Ani uzaktan çalışma, kötü niyetli içerenler için bir nimettir. Veriler artık kendi evlerinin mahremiyetinde USB üzerinden bir şirket cihazından kolayca alınabiliyor. Güvenlik izleme tamamen sakatlanabilir veya devre dışı bırakılabilir. Bu riskin ele alınması daha zordur. Çıkarılabilir olmayabilir, ancak üretkenlik ve verilere erişim ihtiyacı ile dengelenebilir.
Ayrıca etrafımızdakilere de dikkat etmeliyiz. Hepimiz birlikte yaşadığımız insanlara güvenebileceğimizi umuyoruz. Ancak şirket açısından bakıldığında, çalışanların evleri sıfır güven ortamlarıdır. Artık gizli görüşmeler kulak misafiri menzilinde gerçekleştirilecektir. Fikri mülkiyet, ülke genelindeki oturma odalarında ekranlarda ve monitörlerde görünecektir. Bu risk, ev paylaşımı yapma olasılığı daha genç olan demografik veriler için daha fazladır, ancak tüm çalışanlar için geçerlidir; teslimatçı, ev ziyaretçileri – hepsi potansiyel olarak mutfak oda masasından bir şirket dizüstü çalabilir. Belirli risk gruplarındaki çalışanların eğitimi anahtar olacaktır.
Yeni normalin ayarlanması
Sürekli olarak gelişebilen ve değişime uyum sağlayabilen AI sistemleri, yanlış yapılandırmaları, saldırıları ve riskli davranışları tespit etmek için en iyi şansı sağlayacaktır – neyi arayacağınızı bilmediğinizde, kalıpları tanımlayabilen ve sizin için riskleri ölçebilen teknolojiye ihtiyacınız vardır. . Otonom Yanıt teknolojisi, ekipler bunu durduramadıklarında kötü niyetli aktiviteyi durdurmak için cerrahi olarak müdahale edebilir, temel işlemlerin etkilenmeden devam etmesine izin verirken cihazları ve sistemleri korur.
Yukarıdaki değişiklik ve risklerin tümü, SOC'ler için bir izleme kabusu yaratır. Değişimin yeni normal olacağı bir dijital bilinmeyen dönemine giriyoruz. Veri akışları ve topoloji değişecektir. Yeni teknoloji ve hizmetler kullanılacak. Günlük biçimleri farklı olacaktır. Geliştirilmesi 12 ay süren SIEM kullanım vakalarının bir gecede hurdaya çıkarılması gerekecektir. Önümüzdeki birkaç hafta boyunca, iş uygulamaları hızla değişecektir.
Statik savunma ve kurallar, ne kadar titiz ve hızlı bir şekilde yeniden yazsak yazılsın, ayak uyduramaz. Denetim günlüklerinizde O365'e kötü amaçlı bir giriş denemesini nasıl keşfedeceksiniz, bağlantılar dünyanın dört bir yanındaki binlerce farklı yerden geliyor mu? Şirketlerin, bu kritik zamanda verimliliği boğmadan belirsizlik altında çalışmaya devam edebilmelerini sağlayacak teknolojiden faydalanması gerekiyor. Daha da önemlisi, bu tehditleri içermek çok önemlidir – virüslü bir makineyi günlerce yeniden görüntülenemiyor veya değiştirilemezse tamamen karantinaya almak mümkün olmayacaktır.
Andrew Tsonchev, Teknoloji Direktörü Darktrace
Bir yanıt bırakın