COVID-19 ve bilgi güvenliği: Bu eve gidişin bir dönüşü olacak mı?

Salgın nedeniyle bir anda evden çalışma zorunluluğunun gündeme gelmesi, şirketlerin çoğunu plansız ve hazırlıksız yakalayarak güvenlik kontrolünü esnetmelerine neden oldu. Sophos Bilgi Güvenliği Lideri Ross McKerchar, bu durumun CIO ve CISO’ların önüne yeni zorluklar çıkaracağına işaret ediyor. Ayrıca önemli bir soruyu da gündeme getiriyor: Evden etkin bir şekilde işlerini halledebildiğini gören çalışanlarınızı yeniden ofise dönmeye ikna edebilecek misiniz?

Becerikli ve fırsatçı siber saldırganlar, uygun bir pozisyonda saldırıya geçmek için hiçbir fırsatı kaçırmıyor. COVID-19 sonucu yaşananlar da siber saldırganların eline önemli bir koz verdi. Özellikle çalışanların evden işlerine devam edebilmesini sağlamak için şirketlerin uyguladıkları acil ve öngörülemeyen bilgi teknolojileri altyapı dönüşümü, siber saldırganların elini çok güçlendirdi.

Bu durumun ortaya çıkardığı saldırı biçimleri özellikle iki alana odaklanıyor: Uzaktan erişim ve kimlik avı. Uzaktan erişim sadece VPN ve terminal ağ geçitleri gibi “geleneksel” uzaktan erişim hizmetlerini değil,  kuruluşların aceleyle benimsediği bulut-yerel konferans sistemlerini ve diğer işbirliği araçlarını da kapsıyor.

Burada en temel risk, uzaktan erişim servislerinin kimlik doğrulama sistemlerinin zayıf olmasında yatıyor. Kuruluşlar uzun yıllardır özellikle internete dönük hizmetlerinin çok faktörlü kimlik doğrulama (MFA) ile korunmasını sağlamak ve sadece merkezi olarak yönetilen kurumsal hesaplarla (Active Directory, Azure veya Okta) erişilebilmesini mümkün kılmak için mücadele ediyor. Kendini güvende tutmak isteyen kurumların bunu iyi yapması özellikle de günümüzde önemli bir konuya dönüştü. Tabii bunu yaparken iş sürekliliği ve kullanışlılığı da göz ardı etmemek gerekiyor.

Güvenlik sorunları genellikle birkaç temel nedenden ötürü ortaya çıkar. Bunların ilki ön cephede hızla yapılan ve öngörülemeyen risklere yol açan değişikliklerdir. İkincisi ise planlamada ve bu durumu yönetmek için kurgulanan altyapıda ortaya çıkar. COVID-19 salgını söz konusu olduğunda herkes en geç bir ay içinde işlerin normale döneceğini umuyordu. Oysa şu an bunun aylarca devam edecek bir sürece dönüşeceği belli oluyor. Dahası, bu süreç uzadıkça uzaktan da işlerini yönetebildiğini gören çalışanların zihin olarak yenide ofise adapte olmasını sağlamak da bir süreç gerektirecektir.

Kurumların bu noktada sorun yaratacağını düşündüğü hizmetleri ortadan kaldırmak yerine bunları nasıl koruma altına alacağına odaklanması daha ideal bir yaklaşım olarak görünüyor.

BT güvenlik liderleri ne yapmalı?

Burada alınabilecek önlemleri kısa ve uzun vadeli olarak iki ayrı zaman diliminde ele almak mümkün. Uzun vadeli önlemler sıfır güven yaklaşımına dayanır. İçinde bulunduğumuz kriz durumunun sıfır güven mimarisine geçiş refleksini hızlandırmak gibi bir yan etkisi olduğu yadsınamaz. Ancak bu durum büyük bir BT altyapısı yatırımını ve organizasyonel zihniyet değişikliğini gerektirir. Bu nedenle bu konuda acele etmek doğru değildir.

Kuruluşlar ilk olarak riski mümkün olduğunca hızlı bir biçimde taktiksel olarak azaltmaya odaklanmalıdır. Bu öncelikle kilit hizmetlerin mümkün olan her şekilde MFA ile koruma altına alınmasını gerektirir. Ayrıca kuruluşların en değerli ve en fazla risk altında olan hizmetlerin hangileri olduğunu belirlemeleri gerekir. Çoğu şirket için bunlar VPN’ler ve diğer uzaktan erişim ağ geçitleri olacaktır.

Bulut altyapısı olan kuruluşlar için odak noktası kimlik sağlayıcıları olmalıdır. Kimlik doğrulamanın merkezi noktası olarak MFA’nın etkinleştirilmesi, özellikle Azure ve Okta’nın Duo gibi popüler 3. taraf sağlayıcılarla entegre MFA yeteneklerine ve entegrasyonlarına sahip olması nedeniyle en büyük ve hızlı kazancı sağlayacaktır. Bulut kimliklerini merkezileştirmeyi başaramamış kuruluşların ise kullandıkları uygulamalara bakarak kendi MFA yeteneklerini sunup sunmadıklarını görmeleri gerekir. Bunun için e-posta, işbirliği uygulamaları, CRM ve ERP sistemlerinden başlayabilirsiniz. Ayrıca güvenlik yönetimi araçlarınız gibi nispeten daha az erişilen, ancak son derece kritik hizmetleri de göz önünde bulundurun.

Kritik altyapının açıklarının yama ile giderilmesi bir diğer konu. Son birkaç ay içinde, yaygın uzaktan erişim ekipmanlarında bazı çok ciddi güvenlik açıkları ortaya çıktı ve bunlar siber suçlular tarafından istismar ediliyor. Her ne kadar kritik sistemlere yama uygulamak şu dönemde riskli görünse de, imkanınız varsa bunu yapmanız büyük önem taşıyor. Eğer cihaza bir şekilde yama uygulayamıyorsanız, bu durumda ne yapacağınızı da planlamanız gerekiyor. Ayrıca uç nokta güvenlik yazılımlarınızı da güncel tutmanız şart. Halihazırda Sophos Central gibi bir çözüm kullanıyorsanız bunu merkezi olarak gerçekleştirebilirsiniz. Eğer böyle bir çözüme sahip değilseniz çalışanlarınızın güncelleme hizmetlerine erişebildiğinden emin olmalısınız.

Güvende Kalmak İsteyen CISO’lara Tavsiyeler

• İnternete dönük tüm hizmetlerinizi iki aşamalı doğrulama (MFA) ile güvene alın.
• Uzaktan erişim hizmetlerinin yamalarını uygulayın. Özellikle VPN ve terminal ağ geçitlerini ihmal etmeyin.
• Oltalama girişimlerini takip ederek önlem alın.
• Uzak uç noktaların uç nokta güvenlik güncellemelerini aldığından emin olun.
• İşletim sistemi, tarayıcı, e-posta uygulaması ve dosya eki açmak için sıkça kullandığınız uygulamaların otomatik güncellemelerini aktif hale getirin.
• Java, Flash ve Acrobat gibi tarayıcı eklentilerini devre dışı bırakın.
• Kullanıcı tanıma hizmetlerini birleştirerek tüm bulut hesaplarına şirket hesap yetkileriyle ulaşmayı sağlayın.
• Tetikte olun. Koronavirüs odaklı saldırılar önümüzdeki dönemde artarak devam edecek.