banner

    Siber saldırıya uğradığımızı nasıl anlarız?

    Siber saldırılar ile mücadele eden güvenlik ekipleri için en değerli sorulardan biri “Nasıl anlarız?” ve bu soru ile el ele tutuşan bir başka soru daha var: “Ne zaman anlayabiliriz?”

    Siber Ölüm Zinciri

    İki soruyu da cevaplayabilmek adına önce genel yapıdan bahsedelim. Siber güvenlik dünyasında süreci iyi bir şekilde açıklayan ve “security kill chain” olarak adlandırılan bir şema var:

    Bu şema, dışardaki bir saldırganın bir kuruma veya bir sisteme girerken geçtiği yolu gösteriyor. Reconnaisance, yani gözcülük aşamasında daha şirketin ağına veya sistemine bağlı bilgisayarla etkileşime geçmeden, hem özel yazılımlar kullanarak hem de Google gibi internetteki diğer kaynaklar üzerinden öncelikle o şirket hakkında bilgi toplanıyor. Hazırlıklarını tamamladıktan sonra ikinci aşama olan Exploitation yani izinsiz girişte o şirketin sistemleriyle etkileşimi yavaşça başlatıp güvenlik açıkları tespit ediliyor.

    Bir şirketin güvenlik açığını tespit etmek için o şirketin internete erişimi olan yapılarına, sistemlerine, çözümlerine, yazılımlarına, uygulamalarına, web sitelerine ufak denemeler yapmak gerekir. Bu denemelerin başlangıçtaki kısmı, sıradan bir kullanıcı ile ayırt edilmez ama daha sonra o denemeler ciddileşmeye ve belirli noktalara yönelik yapılmaya başladıkça kurulan güvenlik tarayıcı yazılımlar tarafından fark edilebiliyor. 

    Bir şirket için siber saldırıyı fark etmenin en iyi aşaması gözcülüktür.

    Bunun için şirketin, sistemlerine gelen istekleri çok iyi takip eden çözümlere sahip olması lazımdır. Şirketler bu sistemler sayesinde alarmların detaylarını inceleyebilir ya da sisteme “honeypot” denilen yemler yerleştirebilir. Bu yemler, sistemin ücra köşelerine yerleştirilir ve normal kullanıcı normal tuşlara bastığında hiçbir zaman oraya giriş yapmaz. Ancak saldırgan, sistemi incelerken orada bir güvenlik açığı var gibi görür ve hareketlenir. O yem sayesinde şirketler saldırganları izleyerek ne yapmaya çalıştığını, nasıl saldırdığını öğrenebilir. Bu şekilde, hem nasılın cevabını bulur hem de sızma gayretini çok erken aşamada tespit ettiği için henüz daha araştırma ve deneme aşamasında olan saldırının önüne ciddi bir etki yaratmadan önce geçebilir.

    Saldırganların ilk ulaştığı bilgisayar çoğu zaman erişmek istediği verileri içermiyor olsa da içerideki bir kullanıcı haline gelebilmesi bile çok önemli bir başlangıçtır. İçeriye bir kez sızmayı başardıktan sonra “lateral movement” dediğimiz hareketle şirketin içindeki sıradan bir bilgisayardan diğer bilgisayarlara ve sunuculara erişerek sistem içerisinde yayılıyorlar. Saldırının her bir aşamasında aslında kill chain şemasında görülen döngü yaşanıyor. Bu akış zincirinin her bir aşamasında farkına varmanın değişik yolları var. Güvenlik ekipleri olarak hedefimiz olabilecek en erken aşamada farkına varmak olmalıdır çünkü ne kadar erken yakalanırsa kayıp o kadar az oluyor. IBM’in Ponemon Institute ile yapmış olduğu bir araştırmaya göre saldırganlar fark edildiğinde sistemde ortalama 6 ay geçirmiş olabiliyor.

    Uygulamalarınızın güvenlik seviyesinini bağımsız güvenlik araştırmacıları test ettiğinde alacağınız raporlar sizi doğrudan sonuca götürür.

    Siber güvenlik ekipleri, sistemlerini ve uygulamalarını ne ölçüde güvence altına aldıklarını gerçekten anlamak için bir sızma yaşamadan önce sistemlerini bağımsız güvenlik araştırmacılarına test ettirmek amacıyla ödül avcılığı programı açabilir, gerçek bir siber saldırganın hedef alabileceği açıkları onlar fark etmeden önce keşfedip kapatarak verilerini ve itibarını başarılı bir şekilde koruyabilir. Unutmayın ki, kötü niyetli saldırganlar hem sayılarını hem de becerilerini sürekli artırıp geliştiriyorlar. Böyle bir kitle ile yapılan yarışta önde kalmanın yolu, benzer zeka ve beceri ve sayıda olan bağımsız araştırmacıları oyuna sokmak.