Bugün, yeni dağıtılmış hizmet reddi (DDoS) saldırılarına ilişkin raporların olmadan bir ay geçmesi nadirdir. Son zamanlarda jeopolitik istikrarsızlık ve hacktivist gruplar (örneğin, Anonymous Sudan ve NoName057(16)) saldırıları tetikledi ve bu tür saldırıların yakın zamanda duracağına dair bir işaret görünmüyor. Kesin olan bir şey var: İşletmelerin, gelişen DDoS saldırıları dizisini azaltmak için genel siber güvenlik duruşlarına koruma önlemleri alması gerekiyor. Acımasız saldırı yağmuru, BT uygulayıcılarının bir noktada bir tavan olup olmayacağını ve DDoS saldırılarının gerçekten dengelenip dengelenmeyeceğini düşünmesine de neden olabilir.
DDoS saldırıları için önceden tanımlanmış bir tavan bulunmamakla birlikte, bu tür saldırıları başlatmanın pratik sınırlamaları ve riskleri, bunların genellikle belirli sınırlar içinde sınırlandırıldığı anlamına gelir. Ancak teknolojinin ve taktiklerin gelişimi, saldırganların sürekli olarak uyum sağlaması ve DDoS saldırılarının etkisini azaltmak için savunmaların da buna göre gelişmesi gerektiği anlamına geliyor. Bazı hacktivist grupların yeni DDoS saldırıları tasarlamak için nasıl çalıştıklarını daha derinlemesine inceleyelim.
Artan DDoS Tehditlerini Anlamak için Hacktivist Grupları Açmak
Yaygın siber operasyonlarıyla ünlü olan NoName057(16), özel kötü amaçlı yazılımlar, özellikle de Bobik DDoS botnet’in halefi olan DDoSia saldırı aracını geliştirmesi ve dağıtmasıyla ün kazandı. Grup stratejik olarak çabalarını Avrupa ülkelerini hedeflemeye yoğunlaştırıyor. NoName057(16)’nın amaçları jeopolitiktir ve Kremlin yanlısı çıkarlarla yakından uyumludur.
NoName057(16), hedef web sunucularına akın eden DDoS botnet’leri için fırlatma rampası olarak ücretsiz veya düşük maliyetli genel bulut ve web hizmetlerine güveniyor. Ayrıca saldırıların neredeyse tamamı, hedeflerin bant genişliğini ve kaynaklarını tüketmeyi amaçlayan HTTP/HTTPS saldırılarından oluşuyor. NoName057(16), saldırılar gerçekleştiren ve teşvikli en iyi performans gösterenler olarak “puan” toplayan kitle kaynaklı katılımcılara DDoSia Projesi aracılığıyla dijital para birimi ödemeleri sunarak DDoS’yi oyunlaştırıyor. Dolayısıyla, NoName057(16) gibi grupların DDoS saldırılarını düzenlemesi kolay olmakla kalmıyor, aynı zamanda kötü aktörleri de istismarlarına katılmaya teşvik ediyorlar.
NoName057(16), ideolojik olarak motive olmuş gönüllüleri, çok platformlu DDoS özellikli botnet’leriyle kasıtlı olarak bulut bilişim ve VPN düğümleri sağlamaya teşvik ederek, saldırı altyapılarının büyümesini ve bakımını esasen dış kaynaklara yaptırırken aynı zamanda saldırı altyapılarını daha zorlu hale getirmeye çalışıyor. savunucuların, bu botnet düğümlerinin iyi bilinen bilgi işlem, içerik ve ağ hizmetleri ağlarında bulunması nedeniyle saldırıları başarılı bir şekilde azaltmasını sağlar.
Benzer şekilde Anonim Sudan, Rusya yanlısı ve Batı karşıtı gündemini desteklemek için DDoS saldırıları gerçekleştiren son derece üretken bir tehdit aktörüdür. Her ne kadar bu düşmana atfedilen saldırılar siyasi ve (görünüşte) dini motivasyona sahip olsa da, bu grup aynı zamanda iletişimlerini kısıtlayan mesajlaşma platformlarına da misilleme yapıyor.
Hacktivistlerin Önünde Kalmak
Dahası, Anonymous Sudan’ın standart kiralık DDoS hizmetlerini ve botnet kiralama hizmetlerini kullandığı, geleneksel hacktivist zihniyet ve yeteneklerden uzaklaştığı ve daha çok önemli mali desteğe sahip bir kuruluş gibi davrandığı görülüyor. DDoS saldırıları ağırlıklı olarak çok vektörlüdür; TCP tabanlı doğrudan yol ve çeşitli UDP yansıma/yükseltme vektörlerinin bir kombinasyonudur.
Anonim Sudan ve NoName057(16), yeni saldırılar düzenleyen hacktivist grupların yalnızca en sonuncusu. Bu tehdit aktörleri sıklıkla iyi bilinen DDoS saldırı vektörlerini ve metodolojilerini kullansa da, tehdit altındaki olayları takip etme eğilimleri ve hedeflenen kuruluşların hazırlıksızlığı, bugüne kadar nispeten yüksek bir saldırı başarı oranı elde etmelerini sağlıyor. BT departmanı kuruluşların bu yeni saldırı saldırısını hafifletmesine nasıl yardımcı olabilir?
Gerçek zamanlı tehdit istihbaratının gerçek bir DDoS savunma stratejisindeki rolü yeterince vurgulanamaz. Saldırılar artık daha uyumlu ve savunmalardan kaçmak için yön değiştirmeye devam ediyor. Günümüzde işletmelerin bilinen DDoS saldırı vektörleri, kaynakları ve davranış kalıplarından oluşan zengin veri göllerinden makine öğrenimini (ML) kullanmasına yönelik tehdit istihbaratı çözümleri mevcuttur. Ayrıca DDoS savunmaları artık değişen saldırı vektörlerini tespit edebilecek kadar gelişmiş durumda. Bu analiz, atipik trafik değişiminin özelliklerine göre sürekli olarak güncellenmektedir. Tüm bunlar, saldırı vektörlerini iyileştirmek için eyleme geçirilebilir tehdit istihbaratına sahip daha iyi görünürlük araçlarına sahip olmanın değerinin, herhangi bir kuruluş için doğru yönde atılmış bir adım olduğu anlamına gelir. Daha iyi görünürlüğe sahip olmak, son derece karmaşık hacktivist gruplardan ve diğer kötü aktörlerden gelen değişen DDoS saldırılarıyla mücadele etme yeteneğinin artması anlamına gelir.
Teorik olarak, çeşitli internet ve altyapı kısıtlamalarına bağlı olarak DDoS saldırıları için maksimum bir verim vardır. Bu tür saldırıları tamamen ortadan kaldırmanın da bir yolu yok ve bu daha çok bunların ne zaman gerçekleşeceği ve kuruluşların kendilerini nasıl korumayı seçtikleri meselesi. Kötü aktörler, en zeki güvenlik ekiplerini bile atlatmak için titiz araştırmalar yürütmeye devam edecek. Bu rahatsız edici gerçekliğe rağmen işletmeler, hacktivist grupların ve diğer tehdit aktörlerinin bir adım önünde kalabiliyor. BT departmanları, makine öğrenimi algoritmalarıyla birlikte onlarca yıllık saldırı azaltma deneyiminden yararlanarak, iş açısından kritik hizmetlerin gelecek yıllarda da devam edecek saldırıların kurbanı olmamasını sağlayabilir.
Yazar Hakkında
NETSCOUT Güvenlik Çözümleri Direktörü Gary Sockrider, yönlendirme ve anahtarlama, veri merkezi, kablosuz, mobilite ve işbirliği dahil olmak üzere 20 yılı aşkın geniş teknoloji deneyimine sahip, ancak her zaman güvenliğe odaklanan bir sektör duayenidir. Önceki görevleri arasında güvenlik KOBİ’si, danışmanlık, ürün yönetimi, teknik pazarlama ve müşteri desteği yer almaktadır. Gary, sürekli gelişen tehdit ortamının yanı sıra bunların sunduğu zorluklara yönelik teknik ve çözümleri de anlamayı ve aktarmayı amaçlamaktadır. 2012 yılında Netscout’a katılmadan önce Cisco Systems’te 12 yıl geçirdi ve Avaya ile Cable & Wireless’ta daha önceki görevlerde bulundu.