eski çalışan kovulduktan sonra okul ağına saldırmış, 21 ay hapis yemiş
arkadaşlar, iowa’dan ilginç bir haber geldi. okul bölgesinin eski IT çalışanı kovulduktan sonra intikam almak için eski işvereninin sistemlerine saldırmış. adam tam 21 ay hapis cezası almış.
spoiler: bu olay “içeriden gelen tehdit” (insider threat) konusunda güzel bir örnek olmuş. adam IT çalışanı olduğu için sistemleri iyi biliyor tabii, kovulduktan sonra da o bilgiyi kötüye kullanmış.
olay nasıl gelişmiş
eski çalışan kovulduktan sonra uzun süreli bir siber saldırı kampanyası başlatmış. sınıf operasyonlarını aksatmış, hesapları silmiş ve on binlerce dolar zarara yol açmış. klasik “intikam saldırısı” işte.
mahkeme adam için 21 aylık hapis cezası vermiş. hem caydırıcılık olsun diye hem de gerçekten ciddi bir zarar vermiş sisteme.
buradan çıkaracağımız dersler
agalar, bu olay bize birkaç şey hatırlatıyor:
1. offboarding süreçlerinizi gözden geçirin
bir çalışan ayrıldığında yapmanız gerekenler:
# tüm erişim haklarını hemen iptal edin
# VPN, email, sistem hesapları, her şey
# active directory'den kullanıcıyı devre dışı bırakın
Disable-ADAccount -Identity "eski_calisan"
# ssh keylerini kaldırın
sed -i '/eski_calisan_key/d' ~/.ssh/authorized_keys
# 2FA tokenlarını iptal edin
# API keylerini rotate edin
# şifreleri değiştirin (özellikle paylaşılan hesaplar)
2. ayrıcalıklı hesapları izleyin
IT çalışanları genelde yüksek yetkili hesaplara sahip oluyor. bunları sürekli izlemek lazım:
- privileged access management (PAM) sistemi kurun
- her yüksek yetkili işlemi loglayın
- anormal aktiviteleri tespit edin
- “break glass” hesapları için özel prosedür oluşturun
3. log tutun, arşivleyin
bu tür olaylarda delil çok önemli. sistem loglarınızı:
# merkezi log sunucusuna gönderin
# rsyslog, syslog-ng, veya ELK stack kullanabilirsiniz
# logları değiştirilemez hale getirin
# WORM (write once read many) storage kullanın
# en az 1 yıl saklayın
# kritik sistemlerde daha uzun
4. çok faktörlü kimlik doğrulama (MFA)
her yerde MFA açın arkadaşlar. özellikle:
- VPN erişimi
- admin panelleri
- bulut servisleri
- kritik sistemler
tek bir şifre yetmesin sisteme girmek için.
sistem yöneticileri için kontrol listesi
şunu bi gözden geçirin bakalım:
| Kontrol | Durum |
|---|---|
| Çalışan ayrılışında erişimler iptal ediliyor mu? | ☐ |
| Paylaşılan hesap şifreleri değiştiriliyor mu? | ☐ |
| Ayrıcalıklı hesap aktiviteleri izleniyor mu? | ☐ |
| Loglar merkezi sunucuda tutuluyor mu? | ☐ |
| MFA tüm kritik sistemlerde aktif mi? | ☐ |
| Offboarding prosedürü dokümante edilmiş mi? | ☐ |
| API keyleri düzenli rotate ediliyor mu? | ☐ |
| Eski çalışanların VPN erişimi kapatılıyor mu? | ☐ |
pratik öneriler
hemen yapılacaklar:
offboarding checklist hazırlayın: bir çalışan ayrıldığında hangi adımları atacağınızı belirleyin. HR ile koordineli çalışın.
erişim haklarını gözden geçirin: şu an çalışmayan ama hala sistem erişimi olan hesaplar var mı? kontrol edin.
monitoring kurun: anormal aktiviteleri tespit edecek sistemler kurun. SIEM çözümlerine bakın.
yedeklerinizi test edin: saldırı olsa bile sistemi geri getirebilecek durumda olun.
orta vadede yapılacaklar:
- PAM (Privileged Access Management) sistemi kurun
- zero trust network access modeline geçin
- düzenli güvenlik audit’leri yapın
- çalışanlara güvenlik eğitimi verin
edit: bu tür insider threat olayları son yıllarda artıyor. verizon’ın data breach raporuna göre güvenlik olaylarının %20’si içeriden geliyor.
dikkat: sadece IT çalışanları değil, herhangi bir ayrılan çalışanın erişimlerini iptal edin. finans, HR, her departman için geçerli bu.
sonuç
arkadaşlar, bu olay bize insider threat’in ne kadar ciddi olabileceğini göstermiş. adam IT çalışanı olduğu için sistemleri iyi biliyormuş, kovulduktan sonra da o bilgiyi kötüye kullanmış.
sizin de offboarding süreçlerinizi gözden geçirmenizi tavsiye ederim. bir çalışan ayrıldığında erişimlerini hemen iptal edin, şifreleri değiştirin, logları kontrol edin.
önce prosedürü oluşturun, sonra her ayrılışta uygulayın. yoksa bir gün siz de benzer bir durumla karşılaşabilirsiniz.
kaynaklar
- BleepingComputer - Orijinal Haber
- CISA - Insider Threat Mitigation Guide
- NIST SP 800-53 - Access Control Guidelines
Bu içerik yapay zeka tarafından oluşturulmuştur.