İnsider-as-a-service nedir ve buna karşı nasıl korunulur?

Şirket içinden kaynaklanan siber tehdit senaryoları, artık güvenlik gündeminin az çok bilinen başlıkları arasında yer alıyor. Kimi çalışan dalgınlıkla bir phising bağlantısına tıklıyor, kimi de yönetime duyduğu öfke nedeniyle müşteri veritabanını bilerek rakip şirkete satıyor. Ancak bugün, artık aşina olduğumuz bu iç tehdit modeline bir yenisi daha ekleniyor: insider-as-a-service. Bunun “klasik” insider tehdidi anlayışından farkı ne olduğunu ne ve bu modele karşı ne tür önlemlerin alınabileceğini birlikte inceleyelim.

Klasik İnsider vs İnsider-as-a-Service: Aradaki fark nedir?

Genellikle “insider” denildiğinde, şirkete farkında olmadan (bilgisizlik ya da dikkatsizlik nedeniyle olabilir) veya bilinçli şekilde (intikam, maddi çıkar ya da başka motivasyonlarla) zarar veren çalışan anlaşılır.

Insider-as-a-service modelinde dışarıdaki tehdit aktörü, şirket içindeki bir kişiyi, yani insider’i, içeriye açılan bir kapı olarak kullanır. Bu alanda “uzmanlaşan” suç grupları, hedef aldıkları kuruşuşların içinden çalışanları devşirir, satın alır, adeta “kiralar” ya da belirli görevler için kendi adamlarını doğrudan şirket bünyesine yerleştirir.

Saldırıda insider’in rolü

Klasik senaryoda insider veri hırsızlığını, sabotajı ya da dolandırıcılığı doğrudan kendisi gerçekleştirir.

Insider-as-a-service modelinde ise insider’in rolü genelde belirli eylemlerle sınırlıdır. Örneğin çalışan, bir kullanıcı hesabına erişim sağlar, bazı koruma mekanizmalarını devre dışı bırakır, gerekli belirli verileri dışarı aktarır ya da belirli iç prosedürlerin aşılmasına yardımcı olur. Sonrasında dış aktörler devreye girer; saldırıyı büyütür, elde ettiği erişimi kazanca dönüştürür ve operasyonu tamamlar.

Tehdidin ulaştığı ölçek

Örneğin yönetime duyduğu öfkeyle hareket eden bir insider, yalnızca tek bir şirket için risk oluşturur. Buna karşılık insider-as-a-service modeli, endüstriyel ölçekte işleyen bir suç mekanizmasına dönüşmüş durumda. Aynı suç grubu, farklı şirketlerde, farklı sektörlerde ve hatta farklı ülkelerde eş zamanlı olarak insider devşirebilir.

Dark web’de düzenli olarak siber saldırılar için giriş noktası olmaya hazır banka, telekom, bulut hizmet sağlayıcısı ve kripto borsası çalışanlarının arandığı görülüyor. Hatta bazen çalışanlar kendileri bu tür “müşterilere” hizmet teklifinde bulunuyor.

İnsider saldırılarının ekonomik modeli

Klasik insider’in mutlaka maddi bir motivasyonu olmak zorunda değildir. Daha önce de belirtildiği gibi, öfke, kırgınlık ya da intikam duygusuyla hareket edebilir.

Insider-as-a-service modelinde ise maddi kazanç temel unsurdur. Araştırmacıların bulgularına göre, dark web’de tek seferlik erişim sağlama ya da veri aktarma karşılığında birkaç bin dolardan başlayan teklifler dolaşıyor. Altı haneli tutarlara ulaşan uzun vadeli “anlaşmalar” da görülüyor.

Şu da ilginç: Devşirme süreci yalnızca para üzerinden işlemez, psikolojik manipülasyon da devreye girer. Kolay kazanç vaatleri, çalışanın 7/24 çalışma temposundan bunalmış olmasına ve yeterince takdir edilmediği duygusuna seslenen söylemler bu süreçte özellikle aktif kullanılır.

Nasıl korunulur?

Dürüst olalım: İçeriden tehdit riskini %100 ortadan kaldırmak mümkün değildir. Ancak bu riski, soyut bir “çalışana güven” anlayışına değil, erişim kontrolüne, veri aktarım kanallarının izlenmesine ve kullanıcı davranışı analizine dayalı bir yaklaşımla ciddi ölçüde azaltmak mümkündür.

Her tür insider tehdidine karşı alınacak önlemler neredeyse aynıdır. Ancak insider-as-a-service modelinde, saldırgan faaliyetlerinin daha sıra dışı ve daha ısrarlı olabileceğini hesaba katmak gerekir. Çünkü “kiralık” insider’in hem net bir maddi motivasyonu hem de onu bilgilendiren ve yöneten “büyükleri” vardır.

İnsider kaynaklı tehditlere karşı savunmanın teknolojik altyapısı genel olarak aşağıdaki araçlardan oluşur.

DCAP (Data-Centric Audit and Protection)

Her şeyden önce, şirketlerin ne tür verilere sahip olduğunu, bu verilerden hangilerinin hassas olduğunu, nerede tutulduğunu ve kimlerin bunlara erişebildiğini çok net bir şekilde görebilmesi gerekir.

İşte bu görünürlüğü DCAP sistemleri sağlar. Bu sistemler, veri depolarını denetler ve mevcut tüm dosyaları içeriklerine göre sınıflandırır. Ayrıca DCAP çözümleri, sınıflandırma sonuçlarına göre erişim haklarının belirlenmesine de imkan tanır. Böylece gereğinden fazla yetki verilmesi sorunu minimuma indirilir.

DLP (Data Loss Prevention)

Verilerin farklı kanallar üzerinden hareketini kontrol altına almak için DLP sınıfı çözümler kullanılır.

Örneğin SearchInform’un sunduğu yeni nesil DLP sistemleri, UEBA (User and Entity Behavior Analytics) yetenekleriyle donatılmıştır; bu da insider’leri, özellikle suç gruplaru tarafından “kiralanmış” olanları tespit etmek açısından kritik önem taşır. Bu tür çözümler, kullanıcı davranışındaki anomalileri zamanında fark eder ve güvenlik sorumlusunu uyarır. Örneğin mesai dışı saatlerde gerçekleşen faaliyetler, riskli ya da şirket politikalarına aykırı eylemlere işaret eden ifadelerin kullanılması veya bir anda 20 GB verinin buluta aktarılmaya çalışılması bu kapsama girer.

Bunun da ötesinde, yeni nesil çözümler, kullanıcının kurumsal cihazlar üzerindeki tüm faaliyetlerini kayda alır ve bunlara ilişkin verileri arşivler. Bu sayede gerektiğinde çalışanın ekranında neler yaşandığı incelenebilir, iletişimler analiz edilebilir ve benzeri incelemeler yapılabilir.

Bu tür bir işlevsellik, bir yandan olaylara en erken aşamada müdahale etmeyi mümkün kılar; diğer yandan yaşananların ayrıntılı biçimde analiz edilmesine, gerçek nedenlerin ve insider’in motivasyonlarının ortaya çıkarılmasına yardımcı olur. Böylece benzer vakaların gelecekte kolayca önüne geçmek mümkün hale gelir.

SIEM (Security Information and Event Management)

SIEM sistemleri, Windows ve Linux günlüklerinden, ağ ekipmanlarından, güvenlik çözümlerinden, uygulamalardan ve diğer kaynaklardan gelen olay kayıtlarını gerçek zamanlı olarak toplar ve analiz eder. Kural ve senaryolara dayanarak, ilk bakışta birbirinden bağımsız görünen olayları otomatik olarak ilişkilendirir.

Örneğin tek başına, gece geç saatte sisteme giriş yapılması şüpheli görünmeyebilir. Ancak buna nadiren kullanılan bir kaynağa erişim, çok sayıda dosyanın okunması ve koruma mekanizmalarını aşmaya yönelik girişimler de eklenirse tablo değişir. Bu yönüyle SIEM, özellikle “kiralık” insider’lerin başvurduğu karmaşık ve çok vektörlü saldırı şemalarını erken aşamada ortaya çıkarmaya yardımcı olur.

Son Söz

Özetle, insider-as-a-service tamamen yeni bir tehdit kategorisi değildir, içeriden gerçekleştirilen saldırıların daha organize bir modelidir. Bu tür saldırıların hazırlıksız yakalamaması için şirketlerin; kimin, neye, ne zaman ve neden eriştiğini, hangi işlemleri yaptığını ve bu faaliyetlerin hangi noktada normal davranış sınırlarının dışına çıkmaya başladığını net biçimde görebilmesi gerekir. Bu nedenle kuruluşların, güncel yeteneklere sahip modern güvenlik ürünlerini envanterinde bulundurması kritik önem taşır. Karmaşık insider saldırısı girişimlerini tespit etmek için, artık yalnızca formalite icabı var olan, örneğin UEBA’sız, veri arşivi bulunmayan ve sadece 3-4 temel veri aktarım kanalını izleyen klasik bir DLP sistemi yeterli değildir. Bu tür olayların erken aşamada tespit edilmesi ve etkilerinin en aza indirilmesi, ancak kapsamlı ve gelişmiş yeteneklere sahip çözümlerle mümkündür.