Yardım noktalarında zafiyete son
EMC’nin Güvenlik Birimi RSA sponsorluğunda SANS Institute tarafından gerçekleştirilen araştırmanın sonuçları açıklandı. Raporda, günümüzde yardım masalarının karşılaştığı tehdit unsurları ve gizlilik konusuna dikkat çekildi. Dünyanın dört bir yanından 900’dan fazla BT uzmanının anket sorularına cevap verdiği SANS 2013 Yardım Masası Güvenliği ve Gizliliği Araştırması, yardım masalarının en yaygın zayıf noktalarını tanımlıyor ve işletmelerin bu kritik sorunlarını gidermede yardımcı olacak öneriler sunuyor. Araştırma sonuçları işletmenin genel güvenliğine yönelik potansiyel olumsuz etkiler teşkil edebilecek yardım masası süreçlerini, prodesürleri ve çalışanların davranışlarını da içeriyor.
Yardım masalarından en sık şifrelerin sıfırlanması, uygulama ve bağlantı sorunlarıyla ilgili olarak kullanıcılara yardımcı olması bekleniyor. Yardım masalarında çalışanların performansı genellikle arayanlara hizmet verme ve sorunu giderme hızı ile ölçülüyor. Ama birçok durumda, güvenlik bu süreçte önemli bir rol oynamıyor ve bunun bir sonucu olarak, yardım masaları işletmenin hassas kaynaklarına erişmek isteyen haklayıcılar ve kötü niyetli çalışanlar için kasıtsız olarak giriş noktası görevi görüyor.
Araştırmaya katılanların yüzde 69’u sosyal mühendisliği yardım masalarının güvenliğine yönelik en büyük tehdit olarak tanımlıyor. Ancak işletmelerin çoğunluğu yardım masalarını arayanların kimliklerini doğrulamak için hala isim/çalıştığı yer, çalışan kimlik numarası gibi temel kişisel bilgileri kullanıyor. Bu bilgiler de aslında dolandırıcılar tarafından kolayca elde edilebilen bilgiler. Ayrıca, yardım masalarında görev yapan çalışanların birçoğu arayan kişiye daha fazla yardımcı olabilmek için güvenlik kontrollerini tamamen atlayabiliyor.
Eğitim geri planda kalıyor
Eğitim, araç ve teknoloji eksikliği de yardım masalarının güvenliğinde önemli rol oynuyor. Ankete yanıt verenlerin yüzde 51’i yardım masası güvenliğine kurumsal güvenlik kontrollerinin bir parçası olarak yaklaştıklarını, ancak günlük işlemler için eğitim ya da ek teknolojiler konusuna odaklanmadıklarını ifade ediyor. Bütçelerin arama başına maliyet ya da potansiyel güvenlik ihlallerinin maliyeti yerine hizmet verilen kullanıcı sayısına göre belirlenmesinden dolayı da yeni süreçler, ek eğitimler ve günlük destek araçları için yatırım getirisinin hesaplanması zorlaşıyor. Araştırmanın öne çıkan diğer sonuçları ise şöyle sıralanıyor:
• Yanıtlayanların yüzde 44’ü arayan kişilerin kimliklerinin doğrulanmasını self-servis hizmetlerden yararlanan kullanıcıların oluşturduğu tehditten (yüzde 11) çok daha önemli bir tehdit olarak sıraladı.
• Yanıtlayanların yalnızca yüzde 10’u yardım masalarının güvenliğine yönelik uyguladıkları güvenlik önlemlerini “güçlü” olarak niteledi.
• Yanıtlayanların yaklaşık yüzde 43’ü yardım masası bütçesi oluştururken olası bir güvenlik vakasının sebep olacağı maliyeti dikkate almadığını belirtti; bütçelerini kullanıcı sayısına göre belirlediklerini söyledi.
Yardım masası, çalışanların temel BT sorunlarını çözmede en çok tercih ettikleri yöntem olmaya devam ediyor. Yardım masalarının en önemli amacı kullanıcılara daha iyi hizmet vermek ve bunun için de yardım masası çalışanlarına aşırı imtiyaz verilebiliyor. Bu da yardım masalarını ağlara giriş yolu arayan sosyal mühendisler ve teknik hacker’lar için çekici bir hedef yapabiliyor. Yardım masalarının zayıf noktalarını azaltmak için işletmelerin kullanıcıların taleplerine karşılık verirken aynı zamanda tehditlere karşı koruma sağlayabilecekleri bir yaklaşımı benimsemeleri gerekiyor. Bu risklere karşı önerilen uygulamalar da şunlar:
• Sık karşılaşılan kullanıcı sorunları için otomasyon ve self-servis seçenekler: Parola sıfırlama gibi sık karşılaşılan konularda güvenlik ihlalleri ve veri hırsızlığına neden olabilen hataları ve zayıf yönleri azaltmaya yönelik olarak.
• Sıkı ve sürekli eğitim: Yardım masası çalışanlarına potansiyel sosyal mühendislik saldırılarını nasıl tespit edip, tepki gösterecekleri konusunda yardımcı olmaya yönelik olarak.
• Gelişmiş araçlar: Dinamik veri kaynaklarını ve yeni kimlik doğrulama yöntemlerini kullanan ve bu şekilde kullanıcıları ve bulundukları yeri daha doğru şekilde tespit eden araçlar.