Suçlular, insanların evde olmalarını kendi çıkarları için kullanıyorlar: Tüketicilere yönelik çevrimiçi dolandırıcılık artış gösterirken suçlular, aynı zamanda evden çalışan insanları da hedef alıyorlar. COVID-19’un ve evden çalışmanın insanlarda yarattığı savunmasızlığı, özellikle de bireyler, ekipler ve güvenlik çalışanlarının üzerindeki stresi istismar ederek başarıya ulaşıyorlar.
Şu anda ABD’deki çalışanların üçte biri evden çalışıyor. Pandeminin başında uzaktan çalışma sistemini oturtup işler hale getirme telaşı içindeyken, güvenlik ve veri koruma prosedürlerinin amaca uygun olmasını sağlayabilmek için fırsatlar sınırlıydı. Nitekim Citrix’in 7500 ofis çalışanını kapsayan dünya çapındaki yeni Workquake araştırması, şu anda çalışanların üçte birinden daha fazlasının (yüzde 39’unun) onaylanmamış ya da BT ekiplerince açıkça yasaklanmış uygulamaları kullandıklarını ortaya çıkardı.
Suçlular insanlar hakkında da detaylı bilgi toplayacaklar
Daha geniş kitleler aşılandıkça ve tam zamanlı olarak evden çalışma modeli son bulduğunda, hibrit çalışma modelinin en öne çıkacak model olması bekleniyor. Citrix’in Workquake araştırmasına katılan çalışanların yüzde 44’ü, salgın hafifledikten sonra daha sık evden çalışmak istediğini belirtti.
Gelecekteki saldırıların yeni muğlaklıklar ve zayıflıklar yaratacak bu hibrit çalışma ortamını hedef alma olasılığı daha yüksek. Suçlular, bir saldırı öncesinde yalnızca sistemler hakkında değil, aynı zamanda insanlar hakkında da detaylı bilgi toplayacaklar. Kuruluşlara ilişkin birçok bilgiye LinkedIn gibi sosyal iş ağlarından ulaşılabilir. İşe alma uzmanları bu bilgileri yetenek arayışında kullanırlar. Suçlular da bunları kullanırlar, hatta kuruluş şemasını otomatik olarak dolduran özel araçlara bile sahiptirler. Çalışma modelleri hakkında biraz bilgiye sahip olduklarında, kilit rol oynayan çalışanların uzakta ve ekibin dağınık bir halde olduğunu bilerek saldırıya geçebilirler.
Kuruluşlar, saldırganların kendileri hakkında çok fazla bilgiye sahip olduklarını varsaymalı ve planlarını bu doğrultuda yapmalıdır. Siber suçlarla mücadelede en önemli nokta, her bireyin riske girmektense kontrol etmenin daha iyi olduğunu bilmesi gerektiğidir. Beklenmedik bir iletişim ya da olağan dışı bir istek olduğu zaman, herhangi bir eylem yapılmadan önce her zaman kontrol edilmelidir.
Bireyler üzerindeki stres: Dikkatleri dağıtarak başarıya ulaşan kimlik avı saldırıları
Salgının değişkenliği, belirsizliği, karmaşıklığı ve muğlaklığı (VUCA – volatility, uncertainty, complexity and ambiguity) artık ikinci, hatta üçüncü dalgasında. Söz konusu ister bakım sorumlulukları ister evde eğitim ya da diğer baskılar olsun, tüm bireyler dikkatlice hazırlanmış bir kimlik avı e-postasının tuzağına kolaylıkla düşebiliyorlar.
Stres aynı zamanda ekipleri bütünüyle de etkileyebilir. BT ekipleri insanları desteklemeye devam etmek için çabalasa da dışarıdan gelen olaylara yeterince hızlı karşılık veremeyebilirler. Acil ve olağan dışı durumların üstesinden gelmek için resmi olmayan yüz yüze iletişime artık güvenemezler. Onlar da bu stresle başa çıkmak için yeni ancak güvenli olmayan çalışma modelleri oluşturmuş olabilirler. Bu durumu bilen suçlular, watering-hole (su kaynağı) gibi saldırılarla yüksek riskli iş süreçlerindeki boşlukları kullanabilirler.
Watering-hole saldırısı, hedeflenen bir kuruluşta çalışan veya hassas bir iş tanımına (finans gibi) sahip kullanıcılar arasında popüler olan bir web sitesinin belirlenmesiyle gerçekleşir. Söz konusu web sitesi daha sonra ele geçirilir ve tek seferde bu insanların tamamına kötü amaçlı yazılımlar dağıtılır. Hassas iş tanımlarına sahip bireylere, aşina oldukları web sitelerinin de güvenilir olamayabileceği konusunda bilgi verilmelidir.
Güvenlik çalışanları üzerindeki stres: Aynı anda birden çok saldırı
Siber suçlular yeni stresler yaratabilirler. İşletmelerin halka açık kurumsal web sitelerine hizmet engelleme gibi bariz saldırılar gerçekleştirirler ve kuruluşlar, bu gibi ‘paravan’ saldırılarla daha çok karşılaşırlar. Suçluların amacı, güvenlik müdahalesi çalışanlarının dikkatini dağıtarak o an gerçekleşmekte olan daha sessiz ve yüksek etkiye sahip ‘gerçek’ saldırıyı fark etmemelerini sağlamaktır. BT ve güvenlik ekipleri bariz saldırıları rutin olarak görmemeli, aynı anda birden fazla saldırıyı tespit edip bu saldırılara müdahale etmeye hazır olduklarından emin olmalıdır. Bu senaryonun bir güvenlik müdahalesi çalışması olarak prova edilmesi akıllıca olur. Güvenlik çalışanları evden çalışmaya uyum sağlama aşamasındayken bu gibi düzenli çalışmalar ertelenmiş olabilir, ancak artık arayı kapatma zamanı.
Citrix’e göre, tüm kuruluşların 2021 yılında bu yeni saldırı biçimlerinin üstesinden gelebilmek için dikkate almaları gereken üç temel nokta şu:
1- Analitik, merkezi bir role sahip olabilir
Analitik teknolojisi, güvenliğe ilişkin anormalliklerin anında tespit edilebilmesi için güçlü bir araçtır. Bu anormallikler, olağan dışı bir konumdan (örneğin kişinin daha önce hiç bulunmadığı bir ülke) oturum açılması gibi kolaylıkla anlaşılacak hareketler olabilir. Birden çok hassas uygulamayı kapsayan alışılmamış bir çalışma modeli gibi daha karmaşık bir yapıya da sahip olabilirler. Bir anormallik tespit edildiğinde sistem, örneğin bir yöneticinin erişim yetkisi vermesinin gerekmesi gibi, bu anormalliğe karşılık verebilir.
Sistemlere gerçekleştirilen saldırıların fark edilmesi zor olabilir, ancak bu saldırılar öngörülebilir modeller izler. Analitik teknolojisi, bu modelleri tanıyıp anormallikleri akıllı bir şekilde gruplandırarak güvenlik çalışanlarına yardımcı olabilir. Böylece aynı anda gerçekleşen birden çok saldırı gerçek zamanlı olarak işleme alınabilir.
2 – BT ekipleri erişilebilir, görünür ve ulaşılabilir olmalıdır
Çalışanların, güvenliğe ilişkin endişelerini BT ekiplerine rahatlıkla bildirebilmeleri için BT ekipleri ve çalışanlar arasındaki etkileşimlerin sorunsuz bir şekilde gerçekleşmesine duyulan ihtiyaç her zamankinden daha fazla.
Basit bir fikir vermek gerekirse kuruluşlar, yeni güvenlik kontrollerine çevrimiçi iletişim araçları dahil edebilirler. Tüketiciler sohbet robotları görmeye alışkındır; bir güvenlik sohbet robotu tasarlayıp onu yeni bir sisteme eklemeyi düşünün, böylece bir sorunun içinden çıkamayan kullanıcılar ihtiyaç duydukları noktada rehberlik alabilirler.
3 – En fazla risk altında olanlara yardımcı olunmalıdır
Her kuruluşta üst düzey yöneticiler, finans çalışanları ve sistem yöneticilerinin de yer aldığı yüksek riskli gruplar bulunur. Bu grupların kesinlikle kendilerini hedefleyen belirli tehditlere karşı düzenli olarak güvenlik eğitimi almaları ve bu tehditleri ele alan iş prosedürlerinin güncellenmesi gerekir.
Ancak, sorumluluk yalnızca onların omuzlarına yüklenmemelidir. Özel uygulama kontrolleri ve en yeni donanımlar da dahil olmak üzere gelişmiş güvenlik teknolojisi, özel bir destek ekibiyle (‘hiper destek’) birlikte ihtiyaç duydukları güvenlik korumasını ve desteğini tamamlar.