İç Tehdit İstihbaratı: Kurum İçindeki Riskli Davranışların Tespiti

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18
siber_tehdit_istihbarati.png


İç Tehdit İstihbaratı: Kurum İçindeki Riskli Davranışların Tespiti​

Giriş: Kaleyi İçeriden Fethetmek​

Siber güvenlik tarihine baktığımızda, savunma stratejilerinin yüzyıllar boyunca "kale duvarlarını yükseltmek" üzerine kurulduğunu görürüz. Şirketler güvenlik duvarlarına (Firewall), antivirüs yazılımlarına ve dışarıdan gelen saldırıları engelleyen IPS sistemlerine milyonlarca dolar harcar. Ancak Truva Savaşı’ndan bu yana değişmeyen bir gerçek vardır: En sağlam kaleler bile dışarıdan değil, içeriden düşer.

Günümüzde siber saldırıların ve veri sızıntılarının %60’ından fazlası dış kaynaklı hackerlar tarafından değil; çalışanlar, eski personeller, tedarikçiler veya iş ortakları gibi "içerideki" aktörler tarafından gerçekleştirilmektedir. İç Tehdit İstihbaratı (Insider Threat Intelligence), kurumun güvenini kazanmış bu kişilerin yarattığı riskleri henüz krize dönüşmeden tespit etme sanatıdır. Düşman kapıda değil, yan masanızda oturuyor olabilir.

İç Tehdit Nedir ve Kimlerden Oluşur?​

İç tehdit, kurumun sistemlerine, verilerine veya tesislerine erişim yetkisi olan bir kişinin bu yetkiyi kötüye kullanmasıdır. Ancak her iç tehdit "kötü niyetli" değildir. Bir istihbarat analisti için iç tehditler üç ana psikolojik profile ayrılır:

1. Kötü Niyetli İç Tehdit (Malicious Insider)​

Bu profil, bilinçli olarak kuruma zarar vermeyi hedefler. Motivasyonları genellikle şunlardır:
  • Finansal Kazanç: Hassas müşteri verilerini veya ticari sırları rakip firmalara ya da Dark Web’de satmak.
  • İntikam: Terfi alamama, mobbing veya işten çıkarılma korkusuyla sisteme sabotaj düzenlemek (Mantık Bombaları bırakmak gibi).
  • Casusluk: Rakip devletler veya şirketler adına çalışmak.Bu grup en tehlikelisidir çünkü güvenlik protokollerini bilirler ve izlerini nasıl örtecekleri konusunda yeteneklidirler.

2. İhmalkar İç Tehdit (Negligent Insider)​

İstatistiksel olarak en yaygın gruptur. Zarar verme niyeti yoktur ancak dikkatsizlik veya bilgisizlikleri felakete yol açar.
  • Zayıf parola ("123456") kullanmak.
  • Şirket bilgisayarını halka açık Wi-Fi ağlarında VPN’siz kullanmak.
  • "Acil Fatura" başlıklı oltalama (phishing) e-postalarına tıklamak.
  • Şirket verilerini kolay çalışmak için şifresiz USB’lere veya kişisel Google Drive hesaplarına yüklemek.

3. Ele Geçirilmiş İç Tehdit (Compromised Insider)​

Bu kişiler aslında iyi niyetlidir ancak kimlik bilgileri çalınmıştır. Hackerlar, bir çalışanın parolasını ele geçirip sisteme onun hesabıyla giriş yaptıklarında, güvenlik sistemleri bunu "meşru bir kullanıcı" olarak görür. İstihbaratın en zor tespit ettiği türlerden biridir.

İstihbarat Odaklı Tespit: UEBA Teknolojisi​

Geleneksel güvenlik araçları (Antivirüs), bilinen zararlı yazılımları yakalar. Ancak bir çalışanın kendi şifresiyle sisteme girip, yetkisi dahilindeki dosyaları indirmesini "tehdit" olarak algılamaz. İşte burada devreye UEBA (User and Entity Behavior Analytics - Kullanıcı ve Varlık Davranış Analizi) girer.

UEBA, yapay zeka destekli bir istihbarat katmanıdır. Her çalışanın normal davranış profilini (Baseline) çıkarır ve sapmaları izler:
  • Zaman Anomalisi: Ahmet Bey normalde 09:00-18:00 arası çalışır. Pazar gecesi 03:00'te sisteme VPN ile bağlanması bir kırmızı alarmdır.
  • Hacim Anomalisi: Bir yazılımcı günde ortalama 50 MB kod indirir. Aniden 5 GB veriyi sıkıştırılmış (zip) formatta dışarı çıkarmaya çalışması veri sızıntısı işaretidir.
  • Konum Anomalisi: Bir kullanıcının hesabı saat 14:00'te İstanbul'dan, 14:10'da ise Nijerya'dan oturum açıyorsa, bu fiziksel olarak imkansızdır (Impossible Travel) ve hesap çalınmıştır.

Dijital İpuçları ve Erken Uyarı Sinyalleri​

İç tehdit istihbaratı sadece loglara bakmak değildir; insan psikolojisini ve dijital ayak izlerini de izlemektir. Bir çalışan "kötü niyetli" eyleme geçmeden önce genellikle şu sinyalleri verir:
  1. HR (İnsan Kaynakları) Verileri ile Korelasyon: Son performans görüşmesinde düşük puan alan, zam alamayan veya disiplin cezası alan çalışanlar "yüksek riskli" grubuna girer. İstihbarat ekibi bu kişilerin erişimlerini daha sıkı izlemelidir.
  2. Dark Web İzleme: Kurumsal e-posta adreslerinin veya VPN giriş bilgilerinin hacker forumlarında satılıp satılmadığı sürekli taranmalıdır.
  3. Gölge BT (Shadow IT) Kullanımı: Çalışanların şirket tarafından onaylanmamış dosya paylaşım sitelerini (WeTransfer, Mega.nz vb.) veya mesajlaşma uygulamalarını kullanması, veri sızıntısının habercisidir.

İç Tehditlere Karşı Savunma Stratejileri​

İç tehdit riskini sıfıra indirmek imkansızdır ancak yönetilebilir seviyeye çekilebilir:
  • Sıfır Güven (Zero Trust) Mimarisi: "Güven ama doğrula" devri bitti. Artık "Asla güvenme, her zaman doğrula" prensibi geçerlidir. Bir çalışan şirket ağında olsa bile, her kaynağa erişirken kimliği tekrar doğrulanmalıdır.
  • En Az Yetki Prensibi (Least Privilege): Bir çalışan işini yapmak için ne kadar yetkiye ihtiyaç duyuyorsa, sadece o kadarı verilmelidir. Bir muhasebecinin IT sistemlerine, bir yazılımcının finansal kayıtlara erişimi olmamalıdır.
  • Ayrılık Süreçleri (Offboarding): Bir çalışan işten ayrıldığında, erişim yetkileri anında (dakikalar içinde) kesilmelidir. Çoğu sızıntı, işten ayrılan personelin hesaplarının haftalarca açık unutulması nedeniyle gerçekleşir.
  • Farkındalık Eğitimleri: İhmalkar iç tehdidi önlemenin tek yolu eğitimdir. Çalışanlara oltalama saldırılarını nasıl tanıyacakları düzenli olarak test edilmelidir.

Sonuç​

İç Tehdit İstihbaratı, teknolojiden çok "insan" odaklı bir disiplindir. Kurumlar, çalışanlarını birer "potansiyel suçlu" gibi hissettirmeden, kurumsal varlıkları koruyacak bir izleme mekanizması kurmalıdır. Unutmayın, dışarıdaki düşman duvarı aşmaya çalışırken, içerideki tehdit anahtara zaten sahiptir.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst