Genişleyen saldırı yüzeyleri, artan güvenlik açıkları ve aşırı stresli personel, nihai tedavisi bir onsluk önlemden daha fazlasını gerektiren bir dizi güvenlik riski arasındadır.
Uzaktan çalışma artık çoğu profesyonel için standart bir seçenek, ancak her yerden çalışmanın artan popülaritesi siber güvenlik olaylarında da buna paralel bir artışa neden oldu.
Uzaktan işgücüne hizmet sağlayan Alliance Virtual Offices’ın Mart 2022 raporuna göre, COVID-19 salgını sırasında uzaktan çalışma, siber saldırılarda %238’lik bir artışa neden oldu. Gartner’ın “2022 için siber güvenlikte en önemli 7 trend” başlıklı raporunda ise uzaktan çalışma ile birlikte saldırı yüzeyinin genişlemesi ve genel bulut kullanımının artması siber güvenlik açısından önemli bir endişe kaynağı olarak nitelendirildi. Bu gibi eğilimler, güvenlik yazılımı sağlayıcısı Lumu Technologies’in anketine katılan CISO’ların %78’i için uzaktan çalışanlar için güvenlik iyileştirmelerini ve risk tabanlı güvenlik açığı yönetimini 2022’de “en acil projeler” haline getirdi.
Uzaktan çalışma siber güvenliği nasıl etkiler?
Birçok güvenlik uzmanına göre, uzaktan çalışma ortamı çeşitli nedenlerle veri ihlali veya başka bir siber saldırı riskini artırabilir. Uzaktan çalışma, özellikle de geniş ölçekte uzaktan çalışma, korunması gereken potansiyel saldırı yüzeyini önemli ölçüde artırır.
Gartner, bilgi çalışanlarının %60’ının uzaktan çalıştığını ve en az %18’inin ofise dönmeyeceğini bildirmiştir. “Gartner, “Çalışma şeklimizdeki bu değişiklikler, genel bulutun daha fazla kullanımı, yüksek bağlantılı tedarik zincirleri ve siber-fiziksel sistemlerin kullanımı ile birlikte yeni ve zorlu saldırı ‘yüzeylerini’ ortaya çıkardı” uyarısında bulundu.
Uzaktan çalışanlar bazen onaylanmamış teknolojiler kullanarak saldırı yüzeyini daha da genişletmekte ve riski artırmaktadır. NTT Data Services güvenlik hizmetleri başkan yardımcısı ve profesyonel BT yönetişim derneği ISACA’da Gelişen Trendler Çalışma Grubu üyesi olan Sushila Nair, “Evden çalışan insanlar BT tarafından onaylanmayan ancak işlerini yapmak için ihtiyaç duydukları [teknolojiyi] satın aldıkça gölge BT’de bir büyüme oldu” dedi. Ayrıca, teknoloji BT tarafından fark edilmeyebildiği için, gölge BT’nin genellikle gerekli güvenlik incelemesinden ve korumasından yoksun olduğunu da sözlerine ekledi.
Uzaktan çalışma sadece potansiyel saldırı yüzeyini genişletmekle kalmadı, aynı zamanda kuruluşların geleneksel olarak fidye yazılımı saldırılarını, veri ihlallerini ve diğer siber suç türlerini engellemek için inşa ettikleri güvenlik duvarları ve saldırı tespit sistemleri gibi geleneksel çevre savunmalarının da dışına taşıdı.
SANS Teknoloji Enstitüsü Başkanı Ed Skoudis, “Bunlar kaleyi koruyordu ama artık insanlar kalenin içinde çalışmıyor” dedi. “Sahadalar, dolayısıyla bu savunmalar onları orada korumuyor. Yıllardır inşa ettiğimiz ağ çevrelerinin kablosuz ve bulut gibi şeyler nedeniyle çözüldüğünü söylüyorduk ama sonra COVID geldi ve hepsini havaya uçurdu.”
Dahası, siber suçlular uzaktan çalışmayı mümkün kılan altyapıdaki açıklardan faydalanarak ve çalışanların kendilerini nasıl hedef alacaklarını değiştirerek uzaktan çalışma ortamlarına geçişi ele geçiriyorlar. Skoudis, “Saldırganlar bunu fark etti,” diye ekledi. “Gerçekten de ev çalışanlarına saldırmaya odaklanmış durumdalar çünkü artık kurumların son 30 yıldır inşa ettikleri bu enklavlarda korunmuyorlar.”
En yaygın uzaktan çalışma siber güvenlik riskleri
Uzaktan çalışma ile ilişkili siber güvenlik riskleri, genişletilmiş saldırı yüzeyleri, güvenlik becerileri eksikliği, savunmasız ağlar, bulut tabanlı altyapılar ve çalışanların çalışma alışkanlıkları dahil olmak üzere çok sayıda ve çeşitlidir.
- Genişletilmiş saldırı yüzeyleri
Uzaktan çalışan çalışan sayısı arttıkça, kurumların güvence altına almaları gereken daha fazla uç nokta, ağ ve yazılım vardır ve bunların tümü, genellikle çok az çalışan güvenlik departmanlarının iş yükünü büyük ölçüde artırır. - Güvenlik konusunda yetenek eksikliği
Bazı kuruluşlardaki personel bulma zorlukları, uzaktaki çalışanların yeterince güvence altına alınmasında gecikmelere neden olabilir. Ağ güvenliği sağlayıcısı Fortinet, “2022 Siber Güvenlik Becerileri Açığı Küresel Araştırma Raporu “nda, ankete katılan 1.223 BT ve siber güvenlik liderinin %60’ının siber güvenlik yeteneklerini işe almakta ve %52’sinin nitelikli çalışanları elde tutmakta zorlandıklarını, %67’sinin ise nitelikli siber güvenlik adaylarının eksikliğinin kurumları için daha büyük riskler oluşturduğunu kabul ettiğini ortaya koymuştur. - Güvenlik personeli tarafından daha az gözetim
Skoudis, “Çalışanların ev ağında neler olup bittiğini izleyen siber güvenlik ekipleri yok” dedi. Doğası gereği uzaktan çalışma, sistem erişiminin, ağ trafiğinin ve verilerin bir kısmını kurumsal teknoloji ortamının ve bu ortamdaki güvenlik izlemesinin geleneksel çevrelerinin dışına taşır. Skoudis, şirketlerin genellikle izlemeyi tüm uç noktalara ve artık uzaktan çalışma ortamlarını destekleyen tüm ağlar boyunca genişletemeyeceğini açıkladı. - Kötü veri uygulamaları ve prosedürleri
ISACA’da kurumsal siber güvenlik kıdemli direktörü olan Scott Reynolds, çalışanların hassas bilgileri çeşitli nedenlerle yerel cihazlarına indiriyor olabileceğini ve bu bilgilerin şifrelenmiş olabileceğini veya olmayabileceğini söyledi. Verimlilik uğruna, hassas şirket verilerini, ilgili risklerin farkında olmadan, şifrelenmemiş e-posta veya dosyalar gibi güvenli olmayan kanallar üzerinden de paylaşabilirler. - Kimlik avı saldırılarına karşı duyarlılık
Reynolds, kimlik avının “ısrarcı ve yaygın bir tehdit olmaya devam ettiğini” söyledi ve ekledi: “Bir şeyin ortaya çıkması için tek bir kişinin tıklamaması gereken bir şeye tıklaması yeterlidir.” Çalışanlar e-postaya daha fazla bağımlı olduklarından ve meşru bir iş talebi olarak gizlenmiş iyi tasarlanmış bir kimlik avı e-posta saldırısından daha az şüphelendiklerinden, risk uzaktan daha da artmaktadır. - Güvensiz ve savunmasız donanım
Danışmanlık hizmetleri sağlayıcısı Guidehouse’da siber güvenlik olaylarına müdahale müdür yardımcısı olan Glenn Nick, pandeminin başlangıcında uzaktan çalışmaya ani geçişin, birçok çalışanın evlerindeki yönlendiricilerin, dizüstü bilgisayarların ve akıllı telefonların uygun şekilde güncellendiğinden ve yeterince güvenli olduğundan emin olma becerilerine sahip olup olmadıklarına bakılmaksızın işlerini yapmak için kişisel cihazlarını kullandıkları anlamına geldiğini söyledi. - Güvensiz ve savunmasız ağlar
Uzaktan çalışma, çalışanların halka açık Wi-Fi gibi güvenli olmayan ağları kullanma olasılığını da artırır. Ev ağları bile genellikle saldırılara karşı savunmasızdır. Nick, “İnsanlar evlerinde, güvenliğini sağlayacak teknik uzmanlığa sahip olmadıkları bir ortamda çalışıyorlar,” diye açıklıyor. “Yönlendiricilerini güncellemeleri ya da VPN kullanmaları söylenebilir ama bunu yapacak teknik uzmanlığa sahip olmayabilirler. Aynı zamanda, ev yönlendiricilerine ve ev ağ cihazlarına saldıran ulus devletler de var.” Bu tehdit o kadar önemli ki ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Haziran 2022’de yayınladığı bir uyarıda bu riskin altını çizdi. - Güvenli olmayan kurumsal ağ
CISA ayrıca bilgisayar korsanlarının uzaktan çalışmayı mümkün kılmak için kullanılan kurumsal ağ ekipmanlarındaki güvenlik açıkları da dahil olmak üzere geniş bir ağ yelpazesini hedef aldıklarını belirtmiştir. - Etkinleştirici teknolojilerdeki güvenlik açıkları
Şirketlerin uzaktan çalışmayı mümkün kılan teknolojilerin farkında olması gerekiyor. Skoudis, “Uzaktan çalışma destek çözümlerinde muazzam miktarda güvenlik açığı bulunuyor” uyarısında bulundu. - Genel bulutta yanlış yapılandırmalar
Bulut, uzaktan çalışma için önemli bir teknolojidir, ancak riskleri de beraberinde getirir. Bu risklerden biri, özellikle erişimle ilgili yanlış yapılandırmalardır. Kuruluşlar kullanıcılara istemeden çok fazla erişim izni verebilir veya erişim kontrollerini uygulamada başarısız olabilir. Ağ güvenliği yazılımı sağlayıcısı Check Point Software Technologies tarafından hazırlanan “2022 Bulut Güvenliği Raporu “na göre, ankete katılan bilgi güvenliği uzmanlarının dörtte birinden fazlası, kuruluşlarının geçtiğimiz yıl içinde genel bulut altyapısında bir güvenlik olayı yaşadığını ve bunun başlıca nedeninin güvenlik yanlış yapılandırmaları olduğunu söyledi. - Web kamerası korsanlığı ve Zoombombing
Şirketlerin video konferans ve diğer çevrimiçi işbirliği platformlarını kullanımı arttıkça bilgisayar korsanları da arttı. Skoudis, siber suçluların çevrimiçi konferansları sabote edebileceklerini veya bozabileceklerini ya da kendi avantajlarına kullanabilecekleri özel veriler veya kurumsal e-postalar gibi bilgileri elde etmek için fark edilmeden etrafta dolaşabileceklerini söyledi. - Sofistike sosyal mühendislik saldırıları
Hackerlar, şirketlerin uzaktan çalışma ortamlarına geçişinden faydalanmak için giderek daha sofistike hale geliyor. “Güvenlik yazılımı sağlayıcısı Proofpoint’in “2022 Sosyal Mühendislik Raporu “na göre, “savunucuların tüm çabalarına rağmen, siber suçlular finansal kazanç elde etmek için insan unsurundan faydalanma konusunda başarılı olmaya devam ediyor.”
Uzaktan çalışma siber güvenliği için en iyi uygulamalar
Proofpoint’in değerlendirmesi, hiçbir şeyin %100 güvenli olmadığına dair uzun süredir devam eden kabulü yansıtmaktadır. Ancak en iyi güvenlik uygulamalarını takip eden şirketler, maliyetli ve bazen yıkıcı bir siber saldırıya maruz kalma şanslarını büyük ölçüde azaltabilirler:
Temel güvenlik kontrollerini uygulayın. Nick, uzaktan çalışanların kurumsal sistemlere erişmek için sanal özel ağlar kullanmasını, kurumsal ağa erişen cihazların antivirüs yazılımına sahip olmasını ve farklı siteler için benzersiz şifreler gerektiren güçlü bir şifre politikası izlemesini tavsiye etti. Uzmanlar ayrıca hassas verileri korumak için şifreleme ve verileri çalışan cihazlarından uzak tutmak için bulut tabanlı dosya paylaşımı kullanılmasını önerdi.
Kurumsal veri koruma programını güçlendirin. Reynolds, “Dijital bilgilerinizin nerede olduğunu bilin,” dedi, “hangi bilgileri topladığınızı, en değerli mücevherlerinizin nerede saklandığını ve verileri korumak için ne yaptığınızı bilin.”
Güçlü bir güvenlik açığı yönetim programı oluşturun. En yüksek riskleri oluşturan güvenlik açıklarını hızla ele almak ve bilgisayar korsanlarının yararlanabileceği yamalanmamış güvenlik açıklarının toplam sayısını azaltmak için risk temelli bir yaklaşım kullanın.
Mevcut tehdit tespit ve olay müdahale programlarını gözden geçirin. “Nick, “Mevcut tehditlere ve mevcut ortama uygun hale getirilmeleri için güncellenmeleri gerekiyor” dedi.
Sıfır güven çerçevesini uygulayın ve geliştirin. Tüm kullanıcıların ve cihazların kurumsal ortama erişim yetkisine sahip olduklarını doğrulamaları gerekmektedir.
Kullanıcı davranışı analizini (UBA) dağıtın. Sıfır güven UBA’nın önemli bir bileşeni, bir kullanıcının kurumsal sistemlere tipik erişim modelini belirlemek ve anlamak ve bir kullanıcının kimlik bilgilerinin tehlikede olduğunu gösterebilecek şüpheli etkinlikleri işaretlemek için makine öğrenimi ve veri bilimini kullanır.
Uygun bulut yapılandırmalarını ve erişimini sağlayın. Yanlış yapılandırmalar, genel bulut altyapılarındaki güvenlik olaylarının önde gelen nedenlerinden biridir. Bulut geçişi ve işletimi sırasında çalışma ortamını riske maruz bırakabilecek aksaklıkları, boşlukları veya hataları ortadan kaldırmak için önlemler alın ve mantıklı kullanıcı erişim kontrolleri oluşturun.
Sürekli bir güvenlik farkındalığı programı oluşturun. Kullanıcıları potansiyel yeni güvenlik tehditleri ve kuruluşu güvende tutmak için gerekli adımlar konusunda eğitin. Skoudis, “Her şey kullanıcı farkındalığına bağlı” diyor ve ekliyor: “Çünkü diğer tüm şeyleri yapar ama kullanıcılara nasıl güvende kalacaklarını söylemezseniz sorun yaşarsınız.”