Kimlik avı (phishing) saldırıları genellikle fıçıda balık avlamaya benzer. Yeterli zaman verildiğinde, kötü bir aktörün bir kurbanı yakalama olasılığı yüzde 100’dür.
Kurumlar alışılagelmiş bir şekilde savunmasız olmaya devam ettikçe, hedef alınmaya devam edilecek ve fıçıda balık avlama döngüsü sürecektir. Gelin, kimlik avı saldırılarının neden başarılı olduğunu masaya yatıralım.
1- TEHDİT AKTÖRLERİ HER ZAMAN MOTİVEDİR
BT güvenliğini göz ardı etmek ya da yanlış değerlendirmek bir saldırıya karşı zafiyeti büyük ölçüde artırır. Ancak kusursuz bir protokol izliyor, çalışanlara eğitim veriyor, personele şüpheli iletişimleri doğrulamalarını tekrar tekrar hatırlatıyor ve en son kimlik avı kampanyalarını takip ediyor olsanız da kuruluşunuz savunmasızdır ve her zaman savunmasız olacaktır.
Bir kuruluş olarak tüm potansiyel kurbanları korumakla görevli olmanıza rağmen Strategic Security Solutions Consulting’in CEO’su ve kurucusu Johanna Baum tehdit aktörleri konusunda sizleri şöyle uyarıyor, “Tehdit aktörleri başarılı olmak için yüksek motivasyona sahiptir ve bu sebeple finanse edilirler.”
2- KİMLİK AVI SALDIRILARI DAHA İNANDIRICI VE SOFİSTİKE HALE GELİYOR
Protiviti’den Krissy Safi, siber suçluların insanları kandırıp hassas bilgilerini vermelerini sağlamak için sürekli olarak yeni taktikler geliştirdiğini ve bunun sonucunda kimlik avı saldırılarının daha karmaşık hâle geldiğini söylüyor.
Safi, “Birçok kimlik avı önleme çözümü, kimlik avı saldırılarını tespit etmek için statik kurallar kullanıyor ve bu kurallar daha gelişmiş teknikler kullanan saldırganlar tarafından kolayca aşılabiliyor.” diyor.
Ayrıca Safi, “ChatGPT’nin kullanılmaya başlanmasıyla birlikte mükemmel dilbilgisine sahip ve bozuk İngilizce içermeyen kimlik avı e-postaları çoğalacak ve böylece bir siber suçlu tarafından gönderilen bir kimlik avı e-postasını tespit etmek daha da zorlaşacak.” diyerek uyarıda bulunuyor.
3- HER ŞEYİ TEKNOLOJİDEN BEKLEMEK DOĞRU DEĞİL
Birçok kuruluş kimlik avı sorununu yalnızca teknolojiyle çözmeye çalışıyor. Paris merkezli Thales Group’un Amerika kıtası bilgi güvenliği sorumlusu Eric Liebowitz, şirketlerin şüpheli e-postaları tespit etmek için en yeni araçları satın aldığını ve çalışanlarına bu şüpheli e-postaları bildirmeleri ve engellemeleri için bir yol sunduğunu söylüyor.
Liebowitz, “Bunu yapmak harika olsa da tehdit aktörleri daima daha da sofistike olacaktır.” diyor.
Tehdit aktörlerinin sofistike hâle gelmesinin yanında çalışan eğitimine dikkat çeken Liebowitz, “Yeterince kuruluşun odaklandığını düşünmediğim en önemli şeylerden biri çalışanlarını eğitmek. Tüm harika araçlara sahip olabilirler ama çalışanlarını eğitmiyorlarsa, kötü şey o zaman gerçekleşecektir.” diyor.
Avanade Kuzey Amerika güvenlik yöneticisi Justin Haney, bazı kuruluşların kimlik avı kampanyalarıyla mücadele etmek için doğru araçları kullanmış, iş akışları ve süreçleri oluşturmuş olsalar da bu araçları yeterince ve proaktif bir şekilde yapılandırmadıklarını söylüyor.
4- BÜTÜNCÜL SAVUNMA STRATEJİSİ EKSİKLİĞİ
Haney, kimlik avı ile mücadele stratejileri başarısız olan bazı kuruluşların bütüncül ve derinlemesine bir savunma stratejisi benimsemediğini söylüyor.
Haney, “E-posta kimlik avı önleme, çok faktörlü kimlik doğrulama, veri şifreleme, uç nokta/mobil güvenlik kullanabilirler.” diyor.
Lexmark CISO’su Bryan Willett, “Bütüncül, derinlemesine bir savunma stratejisi uygulamamanın ve yalnızca bir kimlik avı önleme programına güvenmenin sorunu, tüm sistemi çökertmek için yalnızca bir başarılı saldırının yeterli olmasıdır.” diyor.
E-posta tabanlı bir savunma yaklaşımına güvenmek ya da büyük ölçüde kullanıcıların eğitimine bel bağlamak doğası gereği kusurludur. Çünkü insanlar hata yapmaya eğilimlidir ve bir saldırganın başarılı olması için sadece bir kere kanılması yeterlidir.
Willett, oltalama saldırılarına karşı savunmanın en iyi yolunun katmanlı bir savunma yaklaşımı olduğunu söylüyor. Bu, her iş istasyonunda iyi bir uç nokta tespit ve yanıt (EDR) sistemine sahip olmayı, güçlü bir güvenlik açığı yönetim programını, her kullanıcı ve yönetici hesabı için çok faktörlü kimlik doğrulamayı etkinleştirmeyi ve virüslü bir sistemin yayılmasını sınırlamak için LAN/WAN genelinde segmentasyon uygulamayı içeriyor.
Willett, Bu önlemleri alarak ve birden fazla savunma katmanı uygulayarak, bir kuruluş kimlik avı saldırısına karşı en iyi şekilde korunabilir dese de “Saldırganın bir noktada başarılı olacağını varsaymalıyız. Bu nedenle, kapsamlı ve katmanlı bir savunma yaklaşımı kullanarak bu varsayımı göz önünde bulundurarak savunma yapmamız gerekir.” diye de uyarıyor.
5- ÇALIŞANLARI EĞİTMEMEK HÜSRANLA SONUÇLANABİLİR
Manhattanville College’ın bilgi işlem müdürü Jim Russell, çalışanları bilinmeyen gönderenlerden gelen e-postalardaki bağlantılara tıklamamaları veya ekleri açmamaları konusunda eğitmenin kritik önem taşımasının yanı sıra çalışanları sahte e-postaları nasıl tanıyacakları konusunda eğitmeleri gerektiğini söylüyor.
Russell, “Bir e-postada kişisel ve hızlı bir şekilde iletişim kuran kişiler güvenlik açıklarımızdan biridir. Neyse ki kurumumuzda çoğu kişi tam cümlelerle yazıyor ve standart bir selamlamaya sahipler. Örneğin, ‘Merhaba Lauren, nasılsın?’ tipik bir giriş cümlesidir. Dolayısıyla eğer bunlar eksikse, özgünlük eksikliği var demektir.” diyor.
Dell Technologies CISO’su Kevin Cross da başarılı bir kimlik avı ile mücadele stratejisinin, çalışanların kimlik avı e-postalarını nasıl tespit edecekleri ve nasıl rapor edecekleri konusunda bilinçlendirilmesiyle başlaması gerektiği konusunda hemfikir.
Bu yaklaşım, birçok şirket tarafından kullanılan yaygın “tıklamayın” stratejisinden farklı bir yaklaşım. Cross, sıfır tıklama oranına ulaşmanın pratik ve gerçekçi olmayan bir hedef olduğunu belirtiyor. Bunun yerine, çalışanlara şüpheli e-postaları nasıl bildireceklerini öğretmek, güvenlik ekiplerinin potansiyel tehdidi hızlı bir şekilde değerlendirmesine ve benzer bir saldırıyla hedeflenen diğerlerinin etkilerini azaltmasına olanak tanımak daha önemli.
6- YAPTIRIM OLMAYINCA EĞİTİM YETERSİZ OLUYOR
Bir şirketin güçlü bir eğitim programı ve politikası olsa bile politikayı ihlal eden çalışanlar için herhangi bir yaptırım yoksa tek başına eğitimin yetersiz olduğu belirtiliyor.
Russell, Manhattanville College’da kimlik avı e-postalarına kanan çalışanların 10 gün boyunca belirli sayıda çevrim içi eğitim oturumunu tamamlamaları gerektiğini söylüyor. Russell, çalışanlar sadece bir bağlantıya tıkladığında sadece bir eğitim seansı aldıklarını ama kimlik bilgilerini gerçekten verdiklerinde üç seansı tamamlamaları gerektiğini ifade ediyor.
Russell, “Sadece çalışanlar değil, kimlik avı girişimine kanan kişilerin listesini gözden geçirdiğimde başkan yardımcısı gibi gelişmiş ayrıcalıklara sahip kişileri de görüyorum.” diyor.
Başkan yardımcılarına ceza veren Russell, “Çok garip karşılaşmalar oluyor.” diyor.
7- KİMLİK AVI TESTLERİNE FAZLA GÜVENMEMELİ
Capgemini’den Sushila Nair, mevcut kimlik avı karşıtı stratejilerin bir diğer zayıf noktasının da bazı şirketlerin kullanıcıları yüzde 100 hatasız olacak şekilde eğitmeyi hedeflemesi olduğunu söylüyor.
Nair, “Kuruluşlar kendilerine şu soruyu sormalıdır: Kullanıcılarımızın yüzde 100’ünün simüle edilmiş bir kimlik avı testine kanmamasını hedeflememiz gerektiğini söyleyenlere bakıp kendimizi gerçekten ölçüyor muyuz?” diyerek söz konusu testlerin eksik yönlerine vurgu yapıyor.
Nair’e göre eğer testler karmaşıksa çalışanlar daha fazlası başarısız oluyor, testler kolaysa, o zaman herkes testi başarıyla geçiyor. Bu durum iyileştirilmiş bir gösterge sunsa da Nair’e göre çalışanların küçük bir yüzdesinin bağlantılara tıklayacağı ve stresli zamanlarda bu sayının artacağı kabul edilmeli.
Nair’e göre işin daha da kötüsü çalışanların, yoğun ve stresli bir günde bir bağlantıya tıkladıkları için eğitime girmelerinin, çoğu zaman çalışanların eğitim oturumlarından nefret etmesini beraberinde getirmesi.
Nair, “Bu sadece böyle bir etki yaratmakla kalmıyor, aynı zamanda kullanıcının kimlik avı e-postalarına vereceği tepkiyi de etkiliyor.” diyor.
Nair, “Test olduğunu düşündükleri için tuhaf bir e-postaya tıklamayacaklar ama aynı zamanda bunu rapor da etmeyeceklerdir.” diyerek şirketlere özenli bir çözüm yolu ve stratejinin geliştirilmesi yönünde uyarılarını yapıyor.
Sonuç olarak, oltalama karşıtı programlar genellikle başarısız olmaya mahkûm. Bunun sebebiyse insanların hata yapabiliyor olması.
