Kurumsal veriler için 2025’te siber tehdit koruması

Kurumsal veriler her zaman tehdit altındadır. Yaşanan ihlaller, müşteri güveninin azalması ve itibarın zarar görmesi sonucunda gelir ve piyasa değeri kaybına neden olabilir.

ABD Kimlik Hırsızlığı Kaynak Merkezi'(ITRC) ne göre, 2023 yılında Amerika Birleşik Devletleri’nde 3.200’den fazla veri tehlikeye girdi ve birden fazla kez etkilenenler de dahil olmak üzere 353 milyon mağdur oldu. Bu bireylerin her biri, sonuç olarak işlerini başka bir yere taşımaya karar veren bir müşteri olabilir ya da kuruluşunuzdaki pozisyonunu yeniden gözden geçiren bir çalışan. Bu, veri güvenliği çabalarına öncelik vermek için yeterli bir neden olmalıdır.

Küresel işletmeler siber güvenlik için her yıl on milyarlarca dolar harcamasına rağmen veri ihlalleri çoğalmaya devam ediyor. Bu siber riskleri azaltmak neden bu kadar zor? Saldırıların ölçeği ve çeşitliliği, tehdit aktörlerinin becerikliliği ve tipik kurumsal saldırı yüzeyinin büyüklüğü cevaplardan bazılarını barındırıyor.

Kurumsal veriler neden iş yükü?

Dijital dönüşüm sayesinde son yıllarda küresel olarak yaratılan veri hacminde patlama yaşandı. Bir tahmine göre, 2024 yılında her gün 147 zettabayt veri oluşturulacak, yakalanacak, kopyalanacak ve/veya tüketilecektir. Bu veriler, hayati önem taşıyan müşteri içgörülerini ortaya çıkarmanın, operasyonel verimliliği artırmanın ve nihayetinde daha iyi iş kararları almanın anahtarını elinde tutuyor.

Aynı zamanda ticari sırlar, hassas IP, müşteriler ve işverenler hakkında kişisel/finansal bilgiler de içermekte olup bu bilgiler siber suç dünyasında yüksek oranda paraya çevrilebilmektedir. Bu da hem mali motivasyona sahip siber suçlular hem de devlete bağlı aktörler için risk oluşturmaktadır.

ITRC’ye göre ABD’de 2023 yılında 3.200’den fazla veri tehlikesi yaşanmıştır. Bunlar, aşağıdakiler de dahil olmak üzere önemli mali ve itibar hasarlarına neden olabilir:

• Maliyetli toplu davalar
• Marka hasarı 
• Kayıp müşteriler
• Hisse fiyatı düşüşleri
• BT adli tıp ve kurtarma ile ilgili maliyetler
• Düzenleyici para cezaları
• İhlal bildirim maliyetleri
• Üretkenlik kaybı 
• Operasyonel kesintiler

En ciddi veri tehditleri nelerdir?

Tüm ihlaller kasıtlı değildir. Verizon tarafından geçen yıl analiz edilen ihlallerin üçte ikisinden fazlası (%68), bir çalışanın sosyal mühendislik saldırısına kurban gitmesi veya hassas bilgilerin yanlışlıkla yanlış alıcıya e-posta ile gönderilmesi gibi “kötü niyetli olmayan bir insan eyleminden” kaynaklanmıştır. İnsan hatası, bulut hesapları gibi kritik BT sistemlerinin yanlış yapılandırılmasını da içerebilir. Bu, güçlü ve benzersiz bir parola eklememek kadar basit bir şey olabilir. 

Ancak içeriden kötü niyetli kişilerden kaynaklanan tehdidin de farkında olmalısınız. Söz konusu kişi yanlış yaptığına dair kanıtları kasıtlı olarak gizliyorsa ve aynı zamanda iş süreçleri ve araçlarıyla ilgili içeriden edindiği bilgileri kullanabiliyorsa bunları tespit etmek daha zor olabilir. Bu tür olayların maliyetinin giderek arttığı iddia edilmektedir. 

Cesaretlendirilmiş ulus devlet aktörleri de ısrarcı ve sofistike bir rakiptir. İhlallerin yalnızca %7’sini oluşturabilirler (Verizon’a göre) ancak kuruluşunuz hedef olacak kadar talihsizse veya çapraz ateşe yakalanırsa başarı şansları yüksektir

Kurumsal veriler için en büyük tehdit vektörleri nelerdir?

• Kimlik avı ve diğer sosyal mühendislik çabaları, tehlikeye girmenin en önemli yolu olmaya devam ediyor. Neden mi? Çünkü insanlar, dolandırıcılar tarafından kendilerine anlatılan hikâyelere genellikle kanan, yanılabilir yaratıklar olmaya devam ediyor. Spear-phishing saldırılarında bu çabalar belirli kişileri hedef alıyorsa hedefe ulaşma şansları daha da yüksektir. Siber suçlular bu mesajları sosyal medyadan, özellikle de LinkedIn’den uyarlamak için bilgi toplayabilir.
• Tedarik zincirleri çeşitli şekillerde ele geçirilebilir. Siber suçlular bulut veya yönetilen hizmet sağlayıcılarını (CSP’ler/MSP’ler) birden fazla müşteri kuruluşuna girmek için bir basamak olarak kullanabilir. Ya da açık kaynak bileşenlerine kötü amaçlı yazılım yerleştirip indirilmelerini bekleyebilirler. En karmaşık saldırılarda, SolarWinds kampanyasında olduğu gibi, bir yazılım geliştiricisini ihlal edebilir ve yazılım güncellemelerinin içine kötü amaçlı yazılım yükleyebilirler.
• Güvenlik açığından yararlanma, fidye yazılımı saldırılarını başlatmanın ilk üç yöntemi olmaya devam ediyor. Verizon’a göre, bu yıl veri ihlali olaylarıyla ilişkili güvenlik açığı istismarlarının hacmi 2023’e göre %180 arttı. Five Eyes istihbarat grubu, sıfırıncı gün güvenlik açıklarının sayısının da arttığı konusunda uyarıda bulundu; bu, yazılım yamaları bulunmayan kusurlar olduğu için daha da büyük bir endişe kaynağı olmalıdır.
• Ele geçirilen kimlik bilgileri genellikle zayıf parola güvenliği/yönetimi, başarılı kimlik avı saldırıları, büyük ölçekli veri ihlalleri veya parola kaba kuvvet saldırılarının sonucudur. Herhangi bir alarm vermeden siber savunmanızı atlatmanın en etkili yollarından birini sunarlar. Verizon, çalıntı kimlik bilgilerinin kullanımının son on yıldaki tüm ihlallerin neredeyse üçte birinde (%31) görüldüğünü iddia etmektedir.
• BYOD tehdit aktörleri için fırsatlar sunmaya devam ediyor çünkü şirket çalışanları genellikle kişisel cihazlarına anti-malware indirmeyi unutuyor. Bu cihazlar ele geçirilirse bilgisayar korsanları kurumsal bulut hesapları için oturum açma bilgilerini elde edebilir, iş e-postalarına erişebilir ve çok daha fazlasını yapabilir. 
• Karadan yaşamak saldırısı, yanal hareket ve sızma için yaygın olarak kullanılan bir dizi istismar sonrası tekniktir ve bir düşmanın göz önünde gizli kalmasını sağlar. Cobalt Strike, PsExec ve Mimikatz gibi meşru araçları kullanarak fark edilmesi zor bir şekilde bir dizi işlevi yerine getirebilirler.

Burada yapay zekâ destekli araçların tehdit aktörlerine yardımcı olma potansiyelinden de bahsetmeliyiz. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) Ocak 2024‘te teknolojinin “önümüzdeki iki yıl içinde siber saldırıların hacmini neredeyse kesinlikle artıracağını ve etkisini yükselteceğini” iddia etti. Bu durum özellikle keşif ve sosyal mühendislik için geçerlidir.

Kurumsal veriler ihlal edilmeden önlem alalım

Veri ihlalleri sorunuyla mücadele etmek, her dijital dönüşüm yatırımı, yamalanmamış uzaktan çalışma uç noktası ve çalınan kimlik bilgileriyle büyümeye devam eden bir saldırı yüzeyindeki riski azaltmak için tüm cephelerde harekete geçmek anlamına gelir. İşte başlangıç için birkaç fikir:

• Tüm BT varlıklarınızın sürekli olarak haritasını çıkararak saldırı yüzeyinizin kapsamını anlayın
• Periyodik sızma testleri de dahil olmak üzere risk tabanlı yama ve güvenlik açığı yönetimi programlarını uygulayın
• Tüm kurumsal makinelerin ve cihazların çok katmanlı güvenlik yazılımlarıyla korunduğundan emin olun
• Veri kaybı önleme araçlarını yükleyin
• Tüm cihazlara göz kulak olmak için mobil cihaz yönetimini (MDM) kullanın ve saygın bir satıcıdan anti-malware yüklendiğinden emin olun
• Her yerde güçlü parola ilkeleri ve çok faktörlü kimlik doğrulama (MFA) uygulayın 
• Personeli kimlik avı mesajlarının nasıl tespit edileceği ve güvenlik farkındalığının diğer kritik alanları konusunda eğitin 
• Bir olay müdahale planı oluşturun ve periyodik olarak stres testi yapın
• Verileri aktarım sırasında ve beklemede şifreleyin
• Üçüncü taraf tedarikçileri ve ortakları denetleyin
• İzinsiz girişlere karşı erken uyarı almak için ağ/uç nokta izlemeyi çalıştırın
• Bulut sistemlerinin doğru yapılandırıldığından emin olun 

Yakında Veri Gizliliği/Veri Koruma Günü’nü kutlayacağımız şu günlerde, en hassas verilerimizi özellikle kurumsal veriler kilit altında tutmanın hem bireyler hem de bilgilerine göz kulak olması için güvendikleri işletmeler için dikkat gerektirdiği açıktır. Bunu yapmamanın mevzuat üzerindeki etkisi ciddi olabileceği gibi müşteri güveninin kaybedilmesine de yol açabilir. Ancak bunun tersi de olabilir. İşletmenizin bu verileri korumak için sorumluluk aldığını kanıtlayın ve rekabette fark yaratın.

Phil Muncaster

See Full Bio