ÖNCE İLKELER

Günümüz Kuruluşlarının Üçüncü Taraf Erişimi Sorunu

Julia
Julia
16 Mayıs 2024

Günümüzde kuruluşlar için dış kaynak kullanımı, verimli ve yenilikçi bir iş yürütmenin hayati bir parçası haline geldi. Ancak şirketler daha önce görülmemiş bir hızla yeni tedarikçiler edinmeye devam ederken üçüncü taraf erişimi, iş ortamına kattığı riskler dolayısıyla her zamankinden daha fazla üzerinde durmayı gerektiriyor.

Günümüzde, şirketlerde faaliyetlerin yürütülmesi için üçüncü taraf kullanımının oranı gerçekten şaşırtıcıdır. Şirketler giderek daha fazla iç işlevleri ve operasyonları ve dış hizmetleri dışarıdan temin etme yolunu arıyor.

Araştırmaya göre şirketlerin dörtte biri, 100’den fazla üçüncü taraf tedarikçi kullandıklarını ve bunların çoğunun etkin bir şekilde çalışmak ve sözleşmelerini yerine getirmek için şirket içi varlıklara, verilere ve iş uygulamalarına erişime ihtiyaç duyduklarını söylüyor.

Ayrıca çalışmada, katılımcıların %90’ının üçüncü tarafların yalnızca iç kaynaklara değil kritik iç kaynaklara da erişmesine izin verdiği tespit edilmiştir. Her CISO bu duruma acilen dikkat etmelidir. 

Üçüncü taraf satıcılara güvenen şirketler mükemmel siber güvenlik önlemleri almış olabilir ancak satıcının erişim kontrolleri güvensiz olduğunda bunların hiçbir anlamı yoktur.

Birçok kuruluş için üçüncü taraf sağlayıcılardan erişimi güvence altına almak inanılmaz derecede karmaşıktır; genellikle çok faktörlü kimlik doğrulama, VPN desteği, şirketlere gönderilen kurumsal dizüstü bilgisayarlar, dizin hizmetleri, aracılar ve daha fazlası gibi çözümler gerektirir.

Bu durum sadece güvenlik uzmanları için kafa karışıklığı ve ek yük yaratmakla kalmaz aynı zamanda üçüncü tarafların işlerini yapmak için ihtiyaç duydukları sistemlere erişmeleri için karışık ve genellikle güvenli olmayan yollar oluşturur.

Yazımızın devamında üçüncü taraf istismarının işletmeler için nasıl büyük bir siber güvenlik riski olduğunu paylaşacağız.

Şirketler hızla yeni tedarikçiler edinmeye devam ederken üçüncü taraf erişimi, iş ortamına kattığı riskler dolayısıyla daha fazla üzerinde durmayı gerektiriyor.

Üçüncü taraf erişimi kaynaklı saldırılar artıyor

Üçüncü taraflar ağ güvenliğini sizin istediğiniz kadar ciddiye almayabilir. Bunu bilen siber suçlular işletmenize doğrudan saldırmak yerine, üçüncü taraf tedarikçileri arasından daha kolay bir hedef arayabilirler.

Güvenliği ihlal edilmiş bir tedarikçi kolayca siber suçlular için bir giriş noktasına dönüştürülebilir. Bir tedarik zinciri saldırısı bu şekilde işler.

Şirketlerin birlikte çalıştıkları üçüncü taraf kuruluşların sayısı ve bunlara ifşa edilen hassas veri miktarı da her yıl artmaktadır. Elbette aynı durumun üçüncü tarafların neden olduğu veri ihlalleri için de geçerli olduğunu unutmamak gerek.

İşte, üçüncü tarafların karıştığı siber güvenlik olaylarından sadece birkaç örnek:

Magecart Saldırıları

2015 yılından bu yana Magecart adlı bir grup siber suçlu, büyük perakendecilere dünya çapında çeşitli saldırılar düzenledi. Grubun Ticketmaster, British Airways, Newegg, Feedify ve Magento mağazalarına yapılan son saldırılardan sorumlu olduğuna inanılıyor. Magecart korsanları genellikle kurbanları tarafından kullanılan üçüncü taraf web hizmetlerine bulaşarak başta kredi kartı verileri olmak üzere değerli bilgileri ele geçirdi.

Atrium Health Veri İhlali

2018 yılında Atrium Health, 2,65 milyondan fazla hastanın kişisel bilgilerinin açığa çıkmasına neden olan bir veri ihlali yaşadı. İhlal, Atrium Health’in faturalandırma sağlayıcılarından biri tarafından kullanılan sunucuların ele geçirilmesinden kaynaklandı.

Amazon Veri Sızıntısı

Amazon, eBay, Shopify ve PayPal 2020 yılında büyük bir veri ihlalinin kurbanı oldu. Birleşik Krallık’a ait yaklaşık 8 milyon çevrimiçi alışveriş işlemini içeren üçüncü taraf bir veri tabanı internette yayımlandı.

Amazon’un üçüncü taraf olaylarından ilk kez muzdarip olmaması da dikkat çekici. Saldırganlar 2017 yılında Amazon ile çalışan çeşitli üçüncü taraf satıcıların sistemine girmiş ve satıcıların kimlik bilgilerini, ortamda kötü niyetli eylemler gerçekleştirmek için kullanmışlardı.

General Electric (GE) Veri İhlali

2020 yılında GE, hizmet sağlayıcılarından birinin neden olduğu bir veri ihlalini bildirdi. Ele geçirilen bir e-posta hesabı, mevcut ve eski GE hak sahiplerinin ve çalışanlarının kişisel olarak tanımlanabilir bilgilerinin kamuya sızdırılmasına yol açtı.

Dış kaynaklı tedarikçinin taahhüdünün niteliğine bağlı olarak, bir kuruluş farklı risklerle karşı karşıya kalabilir. Şimdi en yaygın risk kategorilerine ve bu riskleri azaltmak için hazırlıklı olmanız gereken tehditlere göz atalım.

Üçüncü taraf erişimi ile ilgili riskler nelerdir?

Küçük hizmet sağlayıcıların ve alt yüklenicilerin mali ve teknik kapasiteleri her zaman müşterilerinin kapasiteleriyle eşleşmeyebilir. Bu yüzden siber suçlular başarılı olmak için küçük çaplı işletmelerden başlayabilir ve tedarik zincirlerinde kolay bir hedef arayabilirler.

Güvenliği ihlal edilmiş bir üçüncü taraf tedarikçi, dört ana kategoriye ayrılabilecek çeşitli risklere yol açabilir:

  1. Siber Güvenlik Riskleri: Alt yükleniciler genellikle müşterilerinin farklı ortamlarına, sistemlerine ve verilerine meşru erişime sahiptir. Saldırganlar, değerli varlıklarınızı ele geçirmek için üçüncü taraf bir satıcıyı giriş noktası olarak kullanabilir.
  2. Operasyonel Riskler: Siber suçlular sadece verilerinizi değil dahili sistemlerinizi ve kullandığınız hizmetleri de hedef alabilir. Bu durum, operasyonlarınızın kısmen kesintiye uğramasının yanı sıra tamamen durmasına neden olabilir.
  3. Uyumluluk Riskleri: Uluslararası, yerel ve sektöre özgü standartlar ve düzenlemeler, kuruluşların karşılaması gereken katı siber güvenlik kriterlerini tanımlar. Ayrıca bu kuruluşlarla çalışan üçüncü taraflar da bu gerekliliklere uymak zorundadır. Kuruluşların bunlara uyumlu olmaması genellikle önemli para cezalarına ve itibar kaybına yol açar.
  4. İtibar Riskleri: Değerli verilerinizin ve sistemlerinizin tehlikeye girmesi, mevcut ve gelecekteki ortaklarınız ve müşterileriniz için kırmızı bayrak görevi görür. İtibarınızı yeniden kazanmak çok zaman ve çaba gerektirecektir. Ne yazık ki ciddi bir siber güvenlik olayından sonra bunu başarılı bir şekilde geri kazanabileceğinizin garantisi yoktur.

Birçok kuruluşun üçüncü taraflarla olan çalışmalarını güvence altına almakta bu kadar zorlanması, görünürlük ve kontrol eksikliğinden kaynaklanır: Çünkü şirketler, genellikle üçüncü taraf tedarikçilerinin şirkete ait kritik veri ve sistemleri ile ne yaptığının farkında değildir.

Üçüncü taraf erişimini içeren belirli tehditler nelerdir?

Alt yüklenicilerle iş birliğinizi daha güvenli hale getirmek için üçüncü tarafların şirketinizin siber güvenliğine ne gibi tehditler oluşturabileceklerini anlamanız gerekir.

En yaygın 4 tehdit türü:

  1. Ayrıcalıkların Kötüye Kullanımı: Üçüncü taraf tedarikçiler, kendilerine verdiğiniz erişim ayrıcalıklarını çeşitli şekillerde ve çeşitli nedenlerle ihlal edebilir. Alt yüklenicinizin çalışanları kimlik bilgilerini gönüllü olarak başkalarına verebilir ya da ağınızdaki erişim izinleri doğru yapılandırılmamışsa üçüncü taraf bir tedarikçi kendileriyle paylaşılmaması gereken verilere erişim sağlayabilir.
  2. İnsan Hataları: Tedarikçinizin çalışanlarının kasıtsız hataları, kasıtlı saldırılar kadar hasara neden olabilir. Yaygın hatalar arasında dosya ve bilgilerin yanlışlıkla silinmesi veya paylaşılması, yanlış veri girilmesi, sistem ve çözümlerin yanlış yapılandırılması yer alır. Kasıtlı olmasa da bu hatalar veri sızıntılarına, hizmet kesintilerine ve önemli gelir kayıplarına yol açabilir.
  3. Veri Hırsızlığı: Kasıtsız veri hasarının yanı sıra, üçüncü taraf tedarikçiler üzerinden maruz kalacağınız yüksek bir veri hırsızlığı riski mevcuttur. Uygun bir tedarikçi yönetimi politikası olmadan, üçüncü taraf çalışanların değerli iş bilgilerini çalma ve kendi çıkarları için kullanma riski vardır.
  4. Tedarikçilerinizden kaynaklanan üçüncü taraf riskleri: Üçüncü taraf tedarikçilerinizin siber güvenlik gereksinimlerinizi karşılamasını ve en iyi siber güvenlik uygulamalarını takip etmesini sağlamak yeterli değildir. Tedarik zincirlerini nasıl yönettiklerini de anlamanız gerekir.

Neyse ki üçüncü taraf tedarikçilerinizden, şirketinizin siber güvenlik direncini önemli ölçüde artıracak bir dizi en iyi risk yönetimi uygulamasını takip etmesini isteyerek tüm bu riskleri ve tehditleri etkili bir şekilde yönetebilirsiniz.

Üçüncü taraf erişimini azaltmak için teknik kontroller nelerdir?

Üçüncü taraflarınızın şirketinizin ayrıcalıklı hesaplarına, kritik varlıklarına ve gizli bilgilerine erişimi varsa yüksek düzeyde erişim kontrolü sağlamak özellikle önemlidir.

Kurum, riski daha iyi yönetmesine olanak tanıyan nedenler ve ölçütler konusunda görünürlüğe sahiptir. Buna yardımcı olmak için teknik kontroller uygulanabilir.

Teknik kontroller şunları içerir:

Çok Faktörlü Kimlik Doğrulama (MFA)

Sistemlere erişirken MFA kullanmamak için hiçbir neden yoktur. Saldırganların aşması zor bir engel olduğu için hayati önem taşır. Bu, ilk savunma hattı ve üçüncü taraf erişim kontrolü için zorunlu olarak kullanılmalıdır.

Merkezi Erişim Yönetimi

Erişimin merkezi olarak yönetilmesi, gerçekleştirilmesi gereken teknik ve idari eylemlere yardımcı olur. Ayrıca erişimin merkezi olarak görülebilir ve kontrol edilebilir olması, yönetilmesini kolaylaştıracaktır. Kuruluş, merkezi bir sistemin yokluğunda, basitleştirilmiş yönetim için bunu uygulamayı düşünmelidir.

Merkezi Erişim Ağ Geçidi

Sistemlere erişmek için üçüncü bir tarafça kullanılan bir ağ geçidi kullanışlıdır. Bu, merkezi bir odak noktası sağladığı için erişim yönetimine yardımcı olur. Muhafızların konuşlandırıldığı bir kale kapısına eşdeğerdir.

Bu durum kontrol sağlandığı zaman diğer alanların izlenmesine gerek kalmadığı anlamına gelmez. Ancak bu tarz bir merkezi erişim noktasına sahip olmak bir güvenlik odak noktası oluşturur.

Sanal Özel Ağlar (VPN)

Sistemlere erişimin ağ açısından güvenli olmasını sağlamak da çok önemlidir. Merkezi nokta için VPN veya SSL/TLS seviyesinde güvenlik kullanmak, bu korumaya sahip olmamaktan daha güvenli bir yoldur.

Üçüncü taraflar her zaman bir kuruluşun sahip olabileceği eşdeğer güvenlik seviyesine veya daha iyisine sahip değildir ve şifreli ağlar üzerinden erişimi güvence altına almak güvenliğe katkı sağlar.

Gerekli olan tek kontrol bu değildir, riski etkili bir şekilde azaltmak için kontrollerin bir kombinasyonu uygulanmalıdır. Bazı kuruluşlar kontrollerden birini ya da diğerini tercih etme eğilimindedir.

Üçüncü Taraf Erişimi Kaydı

Yazılı erişim, ortamınızda uygulamak için harika bir kontroldür. Hem kurumu hem de üçüncü tarafı korur. Kuruluşun elinde ne olduğuna dair bir kayıt varsa, adımları izleyebilir ve sorunu tersine çevirebilir veya en azından çözebilir.

Ayrıca kayıtlı erişim ile ne olduğu konusunda hiçbir şüphe olmamalıdır. Her şey dijital kayıtlara geçmiştir. İlk başta bazı insanlar bu fikri reddedebilir ancak bir kez kullanıldığında kontrolün değeri hızla ortaya çıkar ve güçlü bir araç haline gelir.

Yukarıdaki teknik kontroller ancak gerçekten kullanıldığında ve doğru kullanıldığında etkilidir. Savunmaları uygulayacak, işletecek, izleyecek ve yönetecek kaynaklar olmadan bunların faydaları gerçekleştirilemeyecektir.

Bir kuruluş kolay bir hedef teşkil ediyorsa ihlal olasılığı artar. Bu nedenle yürürlükteki kontrollerin kurumun personeline ve güvenilir üçüncü taraflara riski sınırlandıracak şekilde faaliyet göstermeleri için gereken düzeyde rehberlik etmeye yeterli olduğundan emin olmak hayati önem taşımaktadır.

Güçlü bir PAM çözümü üçüncü taraf erişimi için yardımcı olabilir

Günümüz kuruluşları için dış kaynak kullanımı, verimli ve yenilikçi bir iş yürütmenin kritik bir parçası haline gelmiştir. Şirketler daha önce görülmemiş bir hızla yeni tedarikçiler eklerken üçüncü tarafların iş ortamına kattığı riskleri en aza indirmek her zamankinden daha önemlidir.

Kapsamlı bir üçüncü taraf risk yönetimi stratejisi ile şirketler, üçüncü tarafların sağladığı uzmanlık ve maliyet tasarrufundan yararlanırken kendilerini bu modern çalışma ortamının sunduğu çok çeşitli risklerden koruyabilirler.

Üçüncü taraf risk yönetimi stratejinizi değerlendirirken güçlü bir ayrıcalıklı erişim yönetimi (PAM) çözümü kritik varlıklarınıza üçüncü taraf erişimini korumaya ve kontrol etmeye yardımcı olabilir.

senhasegura, kullanıcı yaşam döngüsü boyunca iş akışlarını otomatikleştirmek, politika tabanlı kontrolleri uygulamak ve anormallikleri ve yetkisiz erişim girişimlerini tespit etmek için önde gelen sistemler ve uygulamalarla entegre olur.

Ayrıca PAM, kuruluşların kaynak erişimine ihtiyaç duyan tedarikçileri kısıtlarken geçici hesapların devre dışı bırakılmasını sağlamak için otomatik sona erme tarihleri belirlemelerine de olanak tanır.

İlgili makale: 2022’nin en büyük fidye yazılımı saldırıları

senhasegura PAM (Ayrıcalıklı Erişim Yönetimi)
senhasegura PAM (Ayrıcalıklı Erişim Yönetimi)

Etiketler:

Öne Çıkanlar

© 2024, ESET Türkiye

© 1992 – 2024 ESET, spol. s r.o. – Tüm hakları saklıdır. Burada kullanılan markalar ESET spol. s r.o.’nun ya da ESET Kuzey Amerika’nın tescilli markalarıdır.
Diğer tüm isim ve markalar sahipleri olan saygıdeğer şirketlerin tescili altındadır.

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye