WithSecure Baş Teknoloji ve Tehdit Araştırmacısı Tom Van de Wiele ile yakın zamanda yapılan bir röportajda The Cyber Express, siber güvenlik ve sızma testi dünyasına ilişkin değerli bilgiler edindi.
Sahada 20 yılı aşkın tecrübesiyle Tom, saldırı güvenliği, kırmızı ekip operasyonları ve hedefli saldırı simülasyonlarında uzman oldu.
Kapsamlı bilgisi ve uzmanlığı, güvenlik açıklarını ortaya çıkarmasına ve siber saldırı simülasyonları sırasında sistemleri ihlal etmek için yenilikçi metodolojiler geliştirmesine olanak tanır.
Tom, saldırı stratejilerini taklit edilen tehdit aktörüyle uyumlu hale getirmenin ve test süreci boyunca etik uygulamaları sürdürmenin önemini vurguluyor.
Uzmanlığı, uygulamaları gelişmiş AI bileşenleriyle test etmeye, sıfırıncı gün güvenlik açıklarıyla ilgilenmeye ve gelişmiş kalıcı tehditleri (APT’ler) simüle etmeye kadar uzanır.
Tom, iyi korunan hedeflere karşı kırmızı ekip operasyonları yürüterek, insan davranışını anlamanın ve olası zayıflıklardan yararlanmanın nasıl başarılı saldırılara yol açabileceğini ortaya koyuyor.
Deneyimleri, fidye yazılımı çetelerinin gelişen davranışlarına ve stratejilerine ışık tutuyor ve penetrasyon testi çalışmaları sırasında ekibinin onların tekniklerine nasıl uyum sağladığını paylaşıyor.
Genel olarak, Tom’un uzmanlığı ve pratik içgörüleri, sızma testinin kuruluşların gerçek dünyadaki tehditlere karşı siber güvenlik hazırlıklarını geliştirmedeki kritik rolünü göstermektedir.
Bir siber saldırı simülasyonu sırasında bir sisteme sızmak için nispeten bilinmeyen veya yeterince kullanılmayan bir metodolojiden yararlanmak zorunda kaldığınız bir örneği paylaşabilir misiniz?
İçeri girme konusunda ciddi olan herhangi bir gerçek koordineli siber saldırı gibi, bu nedenle, daha sonra kötüye kullanılabilecek yanlış bir anlatı veya güven ilişkisi oluşturmak veya tespit edilmekten tamamen kaçınmak için saldırılarımızı farklı teknikler kullanarak bölüyoruz.
Bu bileşenlerden bazıları daha az geleneksel yaklaşımlar içerebilir, ancak her zaman müşterinin beklenti seviyeleri ve taklit etmemiz gereken tehdit aktörü seviyesinin amaçlanan gelişmişlik seviyesi dahilindedir.
Örneğin, ağı bir kez ihlal ettiğimizde ayrıcalıklarımızı yükseltmemiz gerekir, ancak teknik saldırı yüzeyi çok küçük olabilir. Bu durumda, örneğin bir şirketin ağında karşılaştığımız yazılım yardımcı programlarının herhangi biri tarafından değiştirilebileceği bir tedarik zinciri saldırısının kendi minyatür versiyonunu oluşturmalıyız. Yazılım yardımcı programları benim özel ve kontrollü arka kapımı aldıktan sonra, bu yazılım yardımcı programlarını destek personeli/yöneticiler/hedef bireyler için kullanmayı içeren sahte ama gerçekçi destek vakası durumları oluşturmaya başladım ve böylece, hedefimize ulaşmak için erişimlerini yeniden kullanabilmemiz için sistemlerini arka kapıya aldık.
Diğer durumlarda, çaldığınız verileri gizlemenin ve gizli kanalların bir karışımını kullanarak tespit edilmekten kaçınmak için daha uzun bir süre boyunca dışarı sızdırmanın daha belirsiz yollarını içerebilir, örneğin harici bir e-posta hesabına hepsi içinde şifrelenmiş hedef verilerin küçük parçalarını içeren birkaç yüz toplantı talebi göndermek. Verileri bir dizi QR koduna dönüştürmek ve bundan bir film yapmak ve ardından giden bir Zoom araması üzerinden paylaşmak olabilir.
Bunun bir “tam yetki” veya herkes için ücretsiz olmadığını unutmayın. Saldırı yöntemlerinin, taklit etmeye çalıştığımız tehdit aktörüyle uyumlu olması ve başarılı bir uzlaşmaya yol açıp açamayacağını ve müşteri ile güvenlik ortaklarının saldırıyı algılayıp yanıtlayıp yanıtlayamayacağını görmek için yürüttüğümüz saldırı senaryolarına uygun olması gerekir.
Gelişmiş yapay zeka bileşenlerini içeren bir uygulamanın siber güvenlik dayanıklılığını test etmeye nasıl yaklaşırsınız?
Yapay zeka destekli olanlar da dahil olmak üzere çoğu algılama yöntemi için (bunlar nadir olsa da), aynı ödünleşimin yapılması gerekir: Neyin normal davranış olduğu, neyin kötü niyetli olduğu kabul edilir?
Tespiti eylemlerin kötü niyetli olmadığına inandırmak için yeterli temel davranış ve veri üretilirse, saldırgan kazanır. Her şey, modeli, kabul edilebilir davranışın iğnesini hareket ettirmeye başlayabileceğiniz noktaya kadar çarpıtmak ve zehirlemekle ilgilidir.
Örnekler, sensörleri sahte verilerle doldurmak veya saldırganların “yeni bir normalin” radarından kaçmasına izin vererek algılama yorgunluğuna neden olacak kadar açık yanlış pozitifler oluşturmak olabilir.
Sıfırıncı gün güvenlik açığından yararlanmak zorunda kaldığınız bir zamandan bahseder misiniz? Penetrasyon testleri yürütürken, kapsamlı testler ile müşterinin operasyonel kapasitesinin gereksiz kesintilerden veya hasarlardan kaçınması arasında bir denge kurduğunuzdan nasıl emin olabilirsiniz?
Sıfırıncı gün güvenlik açıklarından yararlanmak genellikle kırmızı bir ekibin veya sızma görevinin parçası değildir. Tanım olarak, sıfır gün güvenlik açıklarının kullanılması bir dereceye kadar belirsizlik içerir ve dolayısıyla uygulamanın davranışının bilinmediği durumlarda risk oluşturur.
Ağa bağlı bir hizmet söz konusu olduğunda, uygulamanın arızalanmasına, verilerin bozulmasına veya yok olmasına neden olabilir veya uygulamanın kendisini kullanılmaz hale getirebilir. Red teaming, gerçek hayattaki üretim sistemlerini içerdiğinden, risk düşük tutulmalı ve müşteri ile kararlaştırılanlara uygun olmalıdır.
Ek olarak, sıfır günlük bir güvenlik açığı için istikrarlı bir açıktan yararlanma bulma ve geliştirme, dayanıklılıklarını test etme ve eğitim, teknoloji ve süreç akışları şeklinde yatırımlarını doğrulama kadar, test edilen şirkete daha fazla değer sunan test çabalarına harcanabilecek zaman alır.
Bazı özel durumlarda, tespit stratejisinin ve araçlarının onu yakalayıp yakalayamayacağını değerlendirmek için ayrı bir yan proje kapsamında bir test ortamında bir istismar test edilebilir. Diğer durumlarda, siber saldırı öldürme zinciri, sıfır gün açığının kullanıldığı varsayılarak ve test uzmanlarına bir açık tetiklendiğinde elde edilecek erişimi sağlayarak ve mavi ekibin haberi olmadan bunu başlangıç noktası olarak kullanarak “zincirden çıkarılır”.
Bu sayede tespit ve müdahale süreci, insan ve teknoloji ile birlikte gereksiz riske yol açmadan değerlendirilebilir. Bazen, çok özel koşullar altında bir dizi sıfır gün güvenlik açığından yararlanabilmemiz için izin aldık, ancak bu bir kuraldan çok bir istisna olarak görülmelidir.
Süreç nasıldı ve etik bir şekilde rapor edildiğinden ve ele alındığından nasıl emin oldunuz??
Test sırasında her zaman yeni veya bilinmeyen güvenlik açıklarıyla karşılaşırız. Burada, bir satıcı güncellemesi veya yaması almak için bekleme süresi boyunca riski azaltmak için müşteriye hafifletme yolları sağlarken ifşa sürecinin etik bir şekilde yürütülmesini sağlamak için müşteri ve satıcı veya entegratör ile birlikte çalışıyoruz.
İyi savunulan bir hedefe karşı, mavi ekip operasyonları ve son teknoloji izinsiz giriş tespit sistemleri de dahil olmak üzere yerleşik bir güvenlik programı ile kırmızı ekip operasyonunu nasıl yürüteceğinizi açıklayabilir misiniz?
Hedefim olarak olay yönetimi ekibinin başkanı, üst düzey yönetim veya güvenlik operasyonlarından sorumlu gerçek bir teknik üçüncü taraf olan kırmızı ekipleri gerçekleştirdim.
Hepsi doğru şeyi yapmak isteyen insanlara, şirket içi iletişime, şirketten şirkete iletişime, bilgisayarlara ve yazılımlara bağlıdır.
Neyin çalışması gerektiği ve onu neyin başarılı kıldığı konusunda hedefiniz gibi düşünebilirseniz, o zaman onu veya kimi hedef almaya çalışıyorsanız onun altını oyacak ve ona saldırabilecek senaryolar bulabilir ve icat edebilirsiniz.
Teknik bilgisayar korsanlığı ve davranışsal psikoloji arasındaki kesişimin bir uygulamadan çok bir sanata dönüştüğü yer burasıdır. Şirketlerin nasıl işlediğini ve nasıl kurulduğunu ne kadar çok bilirseniz, istismar edilebilecek veya uzlaşmaya yol açabilecek çatlakların nerede olabileceği konusunda o kadar fazla içgörüye sahip olacaksınız.
Sızma testi alıştırmalarınızda gelişmiş kalıcı tehditleri (APT’ler) nasıl simüle edersiniz?
Düşman simülasyonunun her zaman taklit etmeye çalıştığınız tehdit aktörleriyle uyumlu olması gerekir ve bu nedenle, organize suç grupları veya ulus devletler gibi gerçek siber suçlularla en azından aynı düzeyde teknikler bilmeli ve sunmalısınız.
Bu, “siber öldürme zincirinin” her parçası için, gerçek suçluların nasıl işlediğini ve senaryoları gerçekçi tutarken nasıl tespit edilmekten kaçınmaya çalıştıklarını bilip belgeleyebilmeniz gerektiği anlamına gelir.
Bu, sürekli olarak geliştirilmekte olan en son saldırı tekniklerine sahip olabilmeyi, halka açık ancak kontrollü İnternet’e yönelik saldırı altyapısını kurabilmeyi, aktif olarak yeni komuta ve kontrol kanalları geliştirebilmeyi ve karşılaşıyor olabileceğiniz tespit stratejilerini takip edebilmeyi ifade eder.
Bunun bazı güzel örnekleri için, fiziksel ve internet tabanlı saldırıları tıpkı gerçek bir APT gibi birleştirirken, bunun pratikte baştan sona nasıl çalıştığını yazdığım bu 3 bölümlük seriyi öneriyorum: Red Team Diaries: SE01 E01 – Fiziksel | WithSecure™
Bu simülasyonlar, bir kuruluşun gerçek dünyadaki APT’lere karşı hazırlık durumunu iyileştirmeye nasıl yardımcı olur?
Bu simülasyonlar, kuruluşların yeteneklerini kullanmalarına yardımcı olur ve süreçlerinde, araçlarında veya eğitimlerinde zayıflıkları veya yanlış hizalamaları tespit etmelerine olanak tanır.
Bu, güvenlik yatırımlarınızı doğrulayabilmek ve bunları gerçek hayat senaryolarında test edebilmek, ancak gerçek bir APT düzeyinde saldırının gerçek etkisi ve riski olmaksızın mümkün olmak anlamına gelir. Yalnızca gerçek olaylara yanıt verebilmek için dayanıklılığın oluşturulmasına yardımcı olmakla kalmaz, aynı zamanda ekipleri mevcut ve daha yeni uzlaşma göstergelerine yönelik bir burun geliştirme konusunda güçlendirir ve uzmanlaştırır, böylece olaylar gerçekleşmeden önce ele alınabilir.
Bir penetrasyon testinin veya kırmızı ekip oluşturma uygulamasının bir sistemde beklenmedik bir keşfe veya olağandışı bir güvenlik açığına yol açtığı bir zamanı açıklayabilir misiniz? Böyle bir senaryoda nasıl ilerlediniz?
Her kırmızı ekip, sahibi olmayan BT varlıklarını, zayıflamış süreçleri ve birden çok tarafın diğer tarafların devreye gireceğini düşündüğü ortak sorumluluk alanlarını ortaya çıkaracaktır. Ancak sadece bu da değil, bazen yanlışlıkla amaçlanan ortamın, test veya demo ortamlarının dışına sızan, tüm üretim verilerinin mevcut olduğu ancak çok az veya hiç güvenlik kontrolü olmayan veya üçüncü tarafların hileli veya suç teşkil eden davranışların bir parçası olarak gözden gizlenmiş kritik verilere erişimi olan çok hassas verilerle karşılaşırsınız.
Buradaki en önemli faktörler, baktığınız şeyin ne olduğunu tespit edebilmek, bunun nasıl ortaya çıktığını belgeleyebilmek ve müşteri bağlantılarınızı, durumun uygun sağduyu ve aciliyetle ele alınabileceği bir şekilde yakın tutabilmektir.
Büyük fidye yazılımı çetelerinin davranışları ve stratejileri, özellikle kendilerini saygın şirketler olarak sunma açısından son yıllarda nasıl gelişti?
İnternet ve dış dünya ile etkileşim söz konusu olduğunda, hedef çalışanı veya savunucuları, aslında meşru bir varlık veya şirketle iletişim kurduklarına inandırmak, bir hasmın yararınadır.
Özellikle birisinin bir web sitesine gitmesini veya bir belgeyi açmasını sağlamadaki ilk ihlal söz konusu olduğunda, ancak daha sonra kontrol sağlandıktan sonra ve bir komuta ve kontrol iletişim kanalının açık tutulması gerektiğinde.
İkincisi gizlice yapılabilir, ancak saldırganın tespitten kaçmaya çalışması için daha yüksek bir maliyet gerektirecektir. Bu nedenle, maliyeti düşürmek için birçok siber saldırgan, açık iletişim kanallarını ve uç noktaları kullanarak açıkta saklanmaya, tespit ve müdahale ekiplerini kandırmaya çalışıyor. Bu, özellikle 3CX ve SolarWinds ihlallerinde gördüğümüz gibi tedarik zinciri saldırı yöntemlerinden yararlanan fidye yazılımı çeteleri söz konusu olduğunda geçerlidir.
Penetrasyon testlerinizde veya kırmızı takım tatbikatlarınızda böyle bir senaryo ile uğraşmak zorunda kaldığınız bir örneği paylaşabilir misiniz?
Açık ve gizli komuta ve kontrol kanallarından yararlanırız ve “watering hole” sunucuları gibi saldırgan altyapımızı hedef organizasyonun kullanıyor olabileceklerine uyarlamaya çalışırız.
Şirket büyük ölçüde bir dizi bulut hizmetine bağımlıysa, suları bulandırmaya çalışmak ve gizli kalmak için bunları görünüşleri ve iletişim biçimleriyle taklit etmeye çalışırız.
Bu, hedef kuruluş ve onların uyum sağlamak için kullandıkları üçüncü taraflar hakkında çok fazla keşif yapmak anlamına gelir. Bu aynı zamanda, çoğu durumda müşteriye, gölgelerin içinde yürüyebildiğimiz veya savunucuların haberi olmadan göz önünde saklanabildiğimiz için ağlarını ihlal ettiğimizi bildirmemizin de nedenidir.