İçeriden Tehdit, kuruluşunuzun içinden kaynaklanan bir güvenlik riskidir. Genellikle, kasıtlı veya kasıtsız olarak zarar vermek için erişimlerini kötüye kullanan bir çalışanı, yükleniciyi veya güvenilir iş ortağını içerir.
İçindekiler
İç Tehdit (Insider Threat) Tanımı
Siber güvenlik savunmalarının büyük bölümü tehditleri dışarıda tutmaya odaklanırken, iç tehditler kurumun içinden ortaya çıkar; sessizce ilerler ve çoğu zaman hemen fark edilecek belirtiler göstermez. Bu tehditler, bir kuruluşun sistemlerine, verilerine veya tesislerine zaten meşru erişimi olan kişileri içerir ve kasıtlı olarak veya kazara zarar verecek şekilde benzersiz bir şekilde konumlanmalarını sağlar.
İçeriden gelebilecek tehditler özellikle tehlikelidir çünkü bir güven katmanı altında faaliyet gösterirler. Güvenlik duvarlarına ve izinsiz giriş tespit sistemlerine girmesi gereken harici bilgisayar korsanlarının aksine, içeriden bilgi alanlar, genellikle günlük rollerinin bir parçası olarak verilen araçları ve izinleri kullanarak iç ağlarda tespit edilmeden gezinebilir.
Çoğu kuruluşta, özellikle hibrit çalışma modelleri veya karmaşık dijital altyapıları işleten kuruluşlarda, dahili kullanıcı etkinliğine ilişkin görünürlük sınırlıdır. Bu görünürlük eksikliği, içeriden tehditlerin gelişebileceği bir kör nokta oluşturarak kritik sistemleri ve hassas bilgileri kötüye kullanıma maruz bırakır.
Zorluk sadece teknik değil, aynı zamanda kültüreldir. Şirketler, her düzeyde hesap verebilirliği, dikkati ve siber güvenlik farkındalığını teşvik eden bir iş yeri ortamını teşvik etmelidir. Bu olmadan, iyi niyetli çalışanlar bile kasıtsız riskler haline gelebilir.
Kimler İçeriden Tehdit (Insider) Kapsamına Girer?
İçeriden tehdit kimleri içerebilir:
Mevcut çalışanlar (BT, İK, Finans, vb.)
Kalıcı erişimi olan eski çalışanlar
Üçüncü taraf yükleniciler
İş ortakları veya tedarikçiler
Stajyerler veya geçici personel
İçeriden Gelebilecek Tehdit Türleri
Motivasyonlarına, sahip oldukları yetkilere ve gerçekleştirdikleri faaliyetlere bağlı olarak farklı biçimler alabilirler. Bu biçimleri bilmek, olası tehditleri ortaya çıktıkları anda tespit edebilmek ve etkili şekilde karşı koyabilmek açısından kritik öneme sahiptir.
Kötü Amaçlı İç Tehditler (Malicious Insiders)
Bunlar, kuruluşa bilerek ve isteyerek zarar vermeye çalışan iç kullanıcılardır. Motivasyonları; intikam, ideoloji, kişisel çıkar veya rakip bir kuruluş adına çalışma olabilir. Bu tür zararlı iç kullanıcılar genellikle fark edilmeden hareket etmeyi bildikleri için oluşturdukları tehdit çok daha büyüktür.
Gizli bilgileri sızdırma, kayıtları tahrif etme, iş süreçlerini sekteye uğratma veya zararlı yazılım yerleştirme kapasitesine sahip olabilirler. Bazı durumlarda ise saldırıdan önce aylarca pasif kalarak, uzun süreli erişimi sürdürmeyi tercih edebilirler.
İhmalkâr İç Tehditler (Negligent Insiders)
İhmalkâr iç kullanıcılar, iyi niyetli çalışanlar veya yükleniciler olup istemeden güvenlik ihlallerine yol açarlar. Bu durum; yanlışlıkla kimlik avı (phishing) mesajlarına tıklamak, zayıf parolalar seçmek, hassas verileri hatalı şekilde kullanmak veya güvenlik kontrollerini göz ardı etmek gibi davranışları içerebilir.
İç kaynaklı saldırıların büyük çoğunluğu kötü niyetten değil; genellikle bilgi eksikliği veya eğitim yetersizliği nedeniyle ortaya çıkan ihmallerden kaynaklanır. Ne yazık ki, bu tür durumların etkisi planlı saldırılar kadar ciddi olabilir.
Ele Geçirilmiş İç Kullanıcılar (Compromised Insiders)
Ele geçirilmiş bir iç kullanıcı, normalde yetkili olan bir kullanıcının kimlik bilgilerinin harici bir tarafça ele geçirilmesi veya bu kimliğe bürünülmesi durumudur. Bu durum en yaygın olarak kimlik avı (phishing), kötü amaçlı yazılımlar (malware) veya sosyal mühendislik yoluyla gerçekleşir. Harici taraf, bu sayede güvenilir bir kullanıcı gibi davranarak kurum içi kaynaklara erişim sağlar.
Bu tehdit türünün tespit edilmesi son derece zordur; çünkü faaliyetler yetkili bir kaynaktan geliyormuş gibi görünür. Bu nedenle, kullanım kalıplarındaki anormallikleri tespit edebilmek için çoğu zaman gelişmiş davranışsal analizlere ihtiyaç duyulur.
İhmalkâr İç Tehditler (Negligent Insiders)
Gizli anlaşma, içeriden bir kişinin dışarıdan bir kişi veya suç örgütüyle işbirliği yaptığı durumdur. Bu tehdit türü genellikle maddi kazanç veya şantaj motivasyonuyla ortaya çıkar ve içeriden sağlanan bilgi ile dış kaynakları bir araya getirir. İş birliğine dayalı tehditler (collusive threats) en sorunlu olanlardır; çünkü iç kullanıcıların geniş erişim yetkileri, dış aktörlerin beceri ve kaynaklarıyla birleşir ve bu durum son derece hedefli ve yıkıcı saldırılara yol açar.
İçeriden Tehditler Neden Bu Kadar Tehlikelidir?
İç kullanıcılar meşru erişim yetkilerine sahiptir. Sistemleri, politikaları ve zayıf noktaları bilirler; bu da tespit edilmelerini zorlaştırır.
2023 Ponemon Institute Raporu’na göre, Birleşik Krallık’ta bir iç tehdit olayının ortalama maliyeti olay başına 9,4 milyon sterlin olup, vakaların %63’ünden fazlası ihmalkârlık kaynaklıdır.
Finansal Maliyetler ve Veri Kaybı
Tür
Etki
Örnek
İhmalkâr İç Kullanıcı (Negligent Insider)
9,4 milyon sterlinlik ortalama kayıp
Bir çalışanın, hassas bir dosyayı herkese açık bir bulut ortamı üzerinden paylaşması
Kötü Niyetli İç Kullanıcı
Fikri mülkiyet hırsızlığı, para cezaları
Bir mühendisin, işten ayrılmadan önce kaynak kodu çalması
Ele Geçirilmiş İç Kullanıcı (Compromised Insider)
Yetki devralma / sistemlere erişim
Kimlik avı saldırısına uğrayan bir kullanıcının, farkında olmadan saldırgana erişim sağlaması
İç Tehditlerin Gerçek Hayattaki Örnekleri
Birleşik Krallık dışındaki birçok yüksek profilli vaka, iç tehditlerin farklı sektörlerde ne tür hasarlara yol açabildiğini açıkça göstermektedir:
British Museum – İç Tehdit Hırsızlığı (2023)
Bir çalışanın, müzeden antik eserleri çaldığı ve bazılarını tahrip ettiği iddia edilmiştir. Çalışanlar, saygın konumlarını ve yetkilerini zaman içinde kullanarak iç erişim ve envanter denetimlerindeki zayıf noktaları tespit edip istismar etmiştir.
Daniel Khalife – Hapishaneden Kaçış (2023)
Eski bir Britanya Ordusu askeri, Wandsworth Hapishanesi içindeki hapishane rejimleri ve süreçlerine dair içeriden edindiği bilgi ve deneyimi kullanarak cezaevi gözetiminden kaçmıştır. Bu olay, kurumsal erişim ve özel eğitim sahibi kişilerin oluşturabileceği tehdidi ortaya koymaktadır.
Enerji Sektöründe Erişim Yetkilerinin Kötüye Kullanımı
National Cyber Security Centre (NCSC), iç tehditleri Birleşik Krallık’ın kritik altyapıları için önemli bir güvenlik riski olarak değerlendirmiştir. Bir senaryoda, bir enerji şirketinin eski yüklenicisi, etkin bir şekilde yetkileri sonlandırılmadığı için işten ayrıldıktan sonra iş süreçlerini sekteye uğratmaya çalışmıştır. Bu durum, bir çalışanın kurumdan ayrılması sonrasında doğru ve eksiksiz erişim yönetiminin ne kadar kritik olduğunu açıkça ortaya koymaktadır.
İç Tehdit (Insider Threat) Tanımı
Siber güvenlik savunmalarının büyük bölümü tehditleri dışarıda tutmaya odaklanırken, iç tehditler kurumun içinden ortaya çıkar; sessizce ilerler ve çoğu zaman hemen fark edilecek belirtiler göstermez. Bu tehditler, bir kuruluşun sistemlerine, verilerine veya tesislerine zaten meşru erişimi olan kişileri içerir ve kasıtlı olarak veya kazara zarar verecek şekilde benzersiz bir şekilde konumlanmalarını sağlar.
İçeriden gelebilecek tehditler özellikle tehlikelidir çünkü bir güven katmanı altında faaliyet gösterirler. Güvenlik duvarlarına ve izinsiz giriş tespit sistemlerine girmesi gereken harici bilgisayar korsanlarının aksine, içeriden bilgi alanlar, genellikle günlük rollerinin bir parçası olarak verilen araçları ve izinleri kullanarak iç ağlarda tespit edilmeden gezinebilir.
Çoğu kuruluşta, özellikle hibrit çalışma modelleri veya karmaşık dijital altyapıları işleten kuruluşlarda, dahili kullanıcı etkinliğine ilişkin görünürlük sınırlıdır. Bu görünürlük eksikliği, içeriden tehditlerin gelişebileceği bir kör nokta oluşturarak kritik sistemleri ve hassas bilgileri kötüye kullanıma maruz bırakır.
Zorluk sadece teknik değil, aynı zamanda kültüreldir. Şirketler, her düzeyde hesap verebilirliği, dikkati ve siber güvenlik farkındalığını teşvik eden bir iş yeri ortamını teşvik etmelidir. Bu olmadan, iyi niyetli çalışanlar bile kasıtsız riskler haline gelebilir.
Kimler İçeriden Tehdit (Insider) Kapsamına Girer?
İçeriden tehdit kimleri içerebilir:
Mevcut çalışanlar (BT, İK, Finans, vb.)
Kalıcı erişimi olan eski çalışanlar
Üçüncü taraf yükleniciler
İş ortakları veya tedarikçiler
Stajyerler veya geçici personel
Ulusal ve Uluslararası Çerçevelerin Benimsenmesi
Kuruluşların aşağıdaki temel standartlarla uyumlu hareket etmesi önerilir:
NIST İç Tehdit Azaltma Çerçevesi (Insider Threat Mitigation Framework): ABD merkezli bu model, küresel ölçekte yaygın şekilde referans alınmakta olup, iç tehdit risk programı oluşturmak için yapılandırılmış bir yaklaşım sunar.
ISO/IEC 27001:İçeriden gelebilecek risk ve denetime hazır olma kontrolleri de dahil olmak üzere bilgi güvenliği yönetim sistemleri (ISMS) için uluslararası altın standart.
NPSA (eski adıyla CPNI) İçeriden Gelebilecek Risk Azaltma Kılavuzu:İngiltere Ulusal Koruyucu Güvenlik Kurumu, özellikle kritik sektörlerde içeriden gelebilecek tehditlerin belirlenmesi ve azaltılmasına ilişkin ayrıntılı kaynaklar sağlar.
Siber Temeller ve Siber Temeller Artı:Erişim kontrolü, izleme ve sistem güçlendirmede en iyi uygulamaları destekleyen devlet destekli şemalar.
Politika ve Kültürel En İyi Uygulamalar
Uyumun ötesinde, güçlü iç uygulamalar çok önemlidir:
Açık içeriden tehdit politikaları oluşturun: Nelerin içeriden tehdit oluşturduğunu, olayların nasıl rapor edildiğini ve politika ihlallerinin sonuçlarını tanımlayın.
Kontrolleri düzenli olarak test edin ve güncelleyin: Savunmalarınızın gerçekçi senaryolarda nasıl performans gösterdiğini değerlendirmek için kırmızı ekip oluşturma, denetimler ve olay simülasyonlarını kullanın.
Departmanlar arası iş birliğini teşvik edin: İçeriden gelebilecek riske yönelik çok yönlü bir yaklaşım oluşturmada İK, hukuk, BT ve uyumu dahil edin.
Psikolojik güvenlik ve raporlama kültürüne öncelik verin: Çalışanlar, misilleme korkusu olmadan şüpheli davranışları dile getirme konusunda kendilerini yetkili hissetmelidir.
İçeriden Gelebilecek Tehditlerin İşaretleri ve Göstergeleri
İçeriden gelen tehditleri tam olarak tespit etmek zor olabilir çünkü bunlar güvenilir kullanıcılardan gelir. Ancak davranış veya sistem kullanımındaki küçük değişiklikler bile daha derin bir soruna işaret edebilir.
Hassas sistemlere özellikle normal saatler dışında beklenmedik erişim genellikle ilk ipuçlarından biridir. Rolleri ile ilgili olmayan verilere erişen veya harici sürücülere veya bulut depolamaya büyük miktarda bilgi aktaran çalışanlar, kasıtlı veya bilmeden veri hırsızlığına hazırlanıyor olabilir.
Diğer belirtiler arasında güvenlik araçlarının devre dışı bırakılması, politikaların tekrar tekrar ihlal edilmesi veya özellikle görev düşürme ya da istifa bildirimi gibi olumsuz işyeri olaylarının ardından sergilenen olağandışı davranışlar yer alır. Bazı durumlarda, içeriden bilgiye sahip olan kişiler geçerli bir neden olmadan yükseltilmiş erişim talep edebilir veya kısıtlı alanlara girmeye çalışabilir.
Bu kalıpları erken tanımak, özellikle davranışsal analizlerle desteklendiğinde, içeriden gelen tehditleri kalıcı zarara neden olmadan önce tespit etmek için önemlidir.
Önleyici ve Hafifletme Önlemleri
İçeriden gelen tehditleri en aza indirmek için, mutlak minimum erişim sağlayarak başlayın. Bu, minimum maruz kalmaya izin veren en az ayrıcalıklı yaklaşımdır ve ayrıca gerçek zamanlı olarak neredeyse hemen kötüye kullanımı etkili bir şekilde yakalayabilen Kullanıcı Davranışı Analizi (UEBA) ve Ayrıcalıklı Erişim Yönetimi (PAM) gibi ürünler de vardır.
Doğru ve eksiksiz bir off-boarding süreci hayati öneme sahiptir; bir çalışanın kurumdan ayrıldığı anda tüm erişim yetkileri derhal devre dışı bırakılmalıdır. Saldırılar, çoğu zaman en basit adımın atlanmasının ardından gerçekleşir.
Çalışanların eğitimi de sürekli olarak gereklidir. İçeriden tehditlerin niteliği ve nelere dikkat etmeleri gerektiği konusunda eğitim almış çalışanlar da savunmanın bir uzantısı olabilir. Açıklığı ve sorumluluğu teşvik eden çalışma ortamları da şüpheli davranışları daha erken bildirmeyi teşvik eder.
Son olarak, SIEM gibi izleme teknolojilerinin davranışsal içgörülerle birlikte kullanılması sayesinde kuruluşlar, tehditlere anında müdahale etmek ve onları engellemek için ihtiyaç duydukları görünürlüğü elde eder.
İçeriden gelen tehditleri yönetme konusunda nereden yardım alabilirim
İçeriden gelen tehditleri anlamak sadece bir başlangıçtır; bunlara karşı korunmak doğru teknolojiyi gerektirir. Trend Vision One™, riskli kullanıcı davranışlarını hasara yol açmadan önce tespit etmek için gereken görünürlüğü ve analizleri sağlar.
Trend Vision One, uç noktalar, bulut, e-posta ve kimlik katmanlarındaki etkinlikleri ilişkilendirerek, geleneksel araçların kaçırdığı içeriden gelebilecek riskleri ortaya çıkarmaya yardımcı olur. Tehdit ister ihmalkar, ister kötü amaçlı veya tehlikeye atılmış olsun, hızlı ve etkili bir şekilde yanıt vermek için gerekli içgörülere sahip olursunuz.
İçeriden gelen tehditler daha karmaşık hale geldikçe, Trend Vision One ekibinizi bir adım önde olmak için zeka ve otomasyonla güçlendirir.
Scott Sargeant, Trend Micro’da Ürün Yönetimi Başkan Yardımcısıdır ve siber güvenlik ile BT alanında kurumsal düzeyde çözümler sunma konusunda 25 yılı aşkın deneyime sahip köklü bir teknoloji lideridir.
Sıkça Sorulan Sorular (SSS)
İçeriden gelen tehdit nedir?
Analitik teknolojinin, davranış gözleminin ve şüpheli davranışın farkına varmak için personel eğitiminin dahil edilmesi yoluyla.
İçeriden gelebilecek tehdit türleri nelerdir?
Kötü niyetli, ihmalkar, riske atılmış ve gizlice anlaşılmış
İçeriden gelen bir tehdit nasıl belirlenir?
Olağandışı erişim, büyük veri aktarımları veya şüpheli davranışlara dikkat edin. Riskleri tespit etmek için izleme araçlarını ve erişim günlüklerini kullanın.
İçeriden gelen bir tehdit nasıl önlenir?
Erişimi sınırlayın, faaliyetleri izleyin, çalışanları eğitin ve güvenlik politikalarını uygulayın.
İçeriden tehditler ne kadar yaygındır?
İçeriden gelen tehditler, genellikle %20-30 civarında olan güvenlik olaylarının önemli bir kısmını oluşturur.