Siber saldırganlarla mücadele için önce onları anlamalıyız

Siber saldırganlar çok değişik şekillerde tasvir edilirler: Devletlerin desteklediği dahilerden tutun da, asosyal obez tiplemelere kadar…  Günümüzün en popüler siber saldırı türlerinin başında gelen İnternet’e erişimi engellemeye yönelik DDoS saldırılarını düzenleyen saldırganlar ise “siber ninja” gibi görülürken; kısa sürede etkili saldırılar düzenlemektedirler.  Aslında bu saldırganlar daha çok bir şirkette çalışan bilgi işlem uzmanlarına benzerler. Nitekim, günümüzde siber saldırganların birçoğu meşru bilgi işlem görevlerinde çalışmış ya da çalışmaya devam eden kişilerdir.

Şirketlerdeki siber güvenlik çalışanları için “bir saldırgan gibi düşünmeye başlamak” önemlidir. Düşmanların karakterini anlayarak ve onların ticari hünerlerini fark etmeyi öğrenerek, saldırganların alamet-i farikası olan araçlara, tekniklere ve prosedürlere karşı savunmaları ve karşı önlemleri daha kesin bir biçimde uygulamaya koyabilirsiniz.

Melih Artar

Kısa yoldan kazanç beklentisi

Sorgulanmaya değer bir başka yaygın inanış ise “saldırganların giderek daha gelişmiş hale geldiği” düşüncesidir. Saldırı yöntemlerinin artan bir biçimde karmaşıklaştığı doğruyken, diğer yanda aslen saldırganlar kendilerinden çok daha az gelişmiş kişilerce üretilmiş olan, yaygın olarak mevcut araçları yeniden kullanma veya kopyalama eğilimindedirler. Saldırganlar, ortak bir motivasyonu paylaşırlar: En az çaba ile en büyük kazancı elde etmek isterler. İşe yararlığı kanıtlanmış olduğu sürece, ucuz veya ücretsiz ve mevcut olan ne varsa onu kullanırlar. İnternette halihazırda dolaşımda olan bunca işe yararlığı kanıtlanmış kötü amaçlı yazılım kiti, yeniden kullanılabilir altyapı ve çerçeve varken, niçin sıfırdan bir şeyler oluşturulsun veya yeniden icat edilsin ki?

Bu kolay para kazanma zihniyeti, saldırıların değişen yapısına da yansıyor. Kredi kartı numarası ve kimlik hırsızlıkları artık çekiciliğini yitiriyor. Bu düzenbazlık planlarının uygulanması karmaşıktır ve meyvelerinin toplanması uzun zaman alır ve şu anki çalıntı veri arzı, kara borsa talebini çok fazla aşmış durumdadır. Buna karşın, özellikle de Bitcoin’in ve diğer sözde “dijital para birimlerinin” yaygınlaşmasıyla, çoğunlukla anonim olarak ve hızlıca paraya çevrilebildiklerinden, DDoS ve otomatik fidye yazılımı saldırıları yükseliştedir.

Bunların hiçbiri saldırganların, saldırı hedeflemelerinde ve planlamalarında daha az sinsi, daha az kararlı veya daha az sistemli olduklarını göstermez. Ancak, uygulamada daha az özgünler ve siber saldırı tehditleri üzerinde çalışan analistler, saldırı örüntülerinin yanı sıra bu saldırıların ardındaki düşünce örüntülerini de fark edebiliyorlar. Eğer geçmişte bir tekniğin başarılı olduğu kanıtlanmışsa, saldırganlar bunu kullanmaya devam edeceklerdir; bu da, bu tekniği görmeye devam edeceksiniz demektir. Aslında, nasıl ve nerede arayacağınızı ve nasıl karşılık vereceğinizi biliyorsanız, çevrenizde çok fazla saldırı faaliyeti belirtisi bulunur.

Saldırganın bakış açısından bakmak

Saldırganlar genellikle saldırılar düzenlemeden önce, kendi çıkarlarına kullanabilecekleri zafiyetler hakkında bilgi edinmek için, kamuya açık ve açık bir biçimde kullanılabilir bilgileri araştırarak hedefleri hakkında dışarıdan keşifler yürütürler. Savunmadaki taraf olarak siz de aynısını yapabilirsiniz. Nasıl korunmasızsınız? İnternet’e kaç şekilde bağlısınız? Kuruluşunuz hakkında aramalar yaptığınızda size neler söyleniyor? Herhangi bir sürprizle karşılaşıyor musunuz? Çevrimiçi varlığınız üzerinde bir saldırganın da yapabileceği şekilde çalışın veya sizin göremeyebileceğiniz zafiyetlere dikkat çekebilecek tarafsız bir danışman tutun.

Saldırganlar bir zafiyeti kendi çıkarlarına kullanmayı başardıktan sonra, komut ve denetimi elde tutmak için meşru kanallar kullanarak dış iletişim kurmaya çalışırlar.  Bu kanallar nelerdir? Normalde nasıl kullanılırlar? Normal olmayan, şüpheli herhangi bir kullanım görüyor musunuz? Saldırganlar, becerikli BT insanları olarak ayrıca ağınızdaki meşru yönetimsel araçları da kullanırlar. Bu araçların nasıl ve kimler tarafından kullanıldığını izlemek için bir yönteminiz var mı?

Saldırganlar sıklıkla, saldırmadan önce haftalar ve hatta aylar boyunca ağ içerisinde saklanarak beklerler.  Günümüzde koruyucuların cephaneliğinde giderek daha da vazgeçilmez olan bir araç “sömürü sonrası görünürlük” olmaktadır: Yani, gerçek zamanlı olarak devam etmekte olan saldırıların tespit edilmesi ve onaylanması için ağınız üzerindeki trafiği görebilme ve analiz edebilme yetisi. Bu, bir saldırının engellenmesindeki veya en azından vereceği hasarın azaltılmasındaki belki de en kritik değişken olan ortalama tespit etme süresini büyük ölçüde hızlandırabilir.

Bu savaşta iki taraf da, karşı taraf üzerinde üstünlük sağlamak üzere tasarlanmış gelişmiş teknolojilerle donatılmıştır. Savunma tarafında olanlar, dijital saldırıları tetikleyen çok insani içgüdüleri anlayarak ve böylece, bir saldırı etkin hale getirildiğinde kullanacakları fark etme ve yanıt verme güçlerini iyileştirerek bir avantaj elde edebilirler.

Melih Artar
Arbor Networks

Abone olarak yeni içeriklerin size e-posta ile günlük olarak gönderilmesini sağlayabilirsiniz.

Yorum Yapılmamış : “Siber saldırganlarla mücadele için önce onları anlamalıyız”

Bu Konuda Bir Yorum Yaz

E-Posta adresiniz yayınlanmayacaktır. Gerekli alanlar * ile işaretlenmiştir.


*