IT Destek Firmalarının Araçları Neden Büyük Güvenlik Açığı? (Ne Yapmalılar)

BT Yönetim Araçlarının Rahatsız Edici Gerçeği

Cuma öğleden sonrası. Haftayı kapatıyorsun. IT destek firman acil mesaj atıyor: Ağını izleyip yöneten yazılımları hacklenmiş. Üstelik fidye yazılımcılar tarafından silah haline getirilmiş, yüzlerce şirkete malware yayıyor.

Bu uydurma değil. Temmuz 2021'de Kaseya VSA'da yaşandı. Siber güvenlikte pek konuşulmayan bir gerçeği ortaya koydu: Kendimizi korumak için kullandığımız araçlar, aleyhimize dönebiliyor.

Kimsenin Kabul Etmek İstemediği Tedarik Zinciri Sorunu

Güvenlik uzmanlarını uykusuz bırakan şu: BT yönetilen hizmet sağlayıcısına (MSP) verdiğin ağı emanet ediyorsun. Onların entegre ettiği her aracı da güveniyorsun. Onların tedarikçilerini. Tedarikçilerinin tedarikçilerini. Güven zinciri bu. Tek zayıf halka her şeyi çökertiyor.

Kaseya örneği tesadüf değil. 2020'de SolarWinds Orion hacklendi. Ondan önce ConnectWise RMM araçları 2019'dan beri defalarca kullanıldı. Bunlar niş yazılımlar değil. Binlerce BT profesyoneli kullanıyor.

Saldırganlar neden hep bunları vuruyor?

Cevap basit ve korkutucu: Uzaktan izleme ve yönetim (RMM) araçları işinin anahtarını açan maymuncuk gibi. Her şeye erişim lazım ki çalışsın. Her şeyi görsün, dokunsun, idare etsin. Hacklenirse saldırganlar tüm yetkileri kapar. Kapı kırmalarına gerek yok, anahtar masada bırakılmış.

Güvenilir Ortak Her Şeyi Sorgulayınca

Kaseya olayında bir büyük IT destek firmasının yaklaşımı etkileyiciydi. Zor soruyu sordular: Geleneksel RMM araçlarını kullanmaya devam mı edelim?

Çoğu şirket "Biz bunu kullanmıyoruz, güvendesiniz" diye mail atar, hafta sonu tatil. Teknik olarak doğru. Ama bu firma deseni gördü: Araçların risk seviyesi değişmişti.

SolarWinds'i görmüşlerdi. ConnectWise üç kez vurulmuştu. Kaseya da eklendi. Rastgele değil, saldırganların bilinçli stratejisi: BT'cilerin en sevdiği araçları hedef al.

Cevapları? Geleneksel RMM yerine alternatif yollar denemeye karar verdiler. İzleme, bakım, destek aynı kalacaktı. Üstelik geçiş masrafını kendileri üstlendi, müşteriye yansıtmadı.

Bu sadece iyi hizmet değil. Güvenliği farklı düşünmek.

İşin İçin Neden Önemli

"IT'm Kaseya kullanmıyor dedi, sorun yok" diye düşünüyorsun belki.

Yanılıyorsun. Detayı kaçırıyorsun.

Sorun şu araç değil. Sağlayıcının kullandığı araçların risklerini düşünüp düşünmediği. Sürekli gözden geçiriyor mu? Tehdit değişirse pahalı değişiklik yapar mı? Siber güvenliği evrilen bir süreç mi görüyor, yoksa kutuplaşmış liste mi?

IT firmana sor şunu:

• Hangi izleme araçlarını kullanıyorsun?
• Güvenliklerini ne sıklıkta denetliyorsun?
• Ana aracın biri hacklenirse ne yaparsın?
• Tehdit değişirse büyük değişiklik yapar mısın?
• Araç ve güvenlik kararlarında ne kadar şeffafsın?

İyi sağlayıcı net cevap verir. Ne kullandığını değil, nedenini ve değişirse ne olacağını anlatır.

Güven Konusundaki Büyük Tartışma

Bu olay outsourced IT desteğinde "güvenlik" kavramını değiştirdi bende.

Güvenli araç yetmez. Uyum denetimi, güçlü şifre yetmez. Gerçek güvenlik, sağlayıcının doğru paranoyası: Varsayımları sorgular, saldırgan gibi düşünür, veri emrederse rahatsız edici değişiklik yapar.

Gelecek yıllarda en güvende olanlar son araç kullananlar değil. Kritik araçlarını sorgulayanlar.

Ağını böyle bir ortak korusun istiyorsun.

Sonuç

Tedarik zinciri güvenliği sadece dev şirketlere değil. Saldırganların değerli bulduğu yaygın araçları kullanan her boy işletmeyi vurur.

IT sağlayıcın önemli. Teknik işten öte, güvenlik zihniyetiyle. Olayları izole görmeyen, deseni fark eden, uyum sağlayanları ara. Aşırı tepki vermiyorlar, dikkatli davranıyorlar.

Gerçek şu: Bir sonraki büyük RMM hack'i yolda. Geldiğinde, bunu öngören biri seni korusun.

Etiketler ['ransomware', 'cybersecurity', 'it support', 'supply chain security', 'kaseya breach', 'rmm tools', 'managed services', 'network security']