Bir siber saldırı yapılıyor. Ağınızın içinde bir davetsiz misafir var: serbestçe hareket ediyor, veri topluyor ve gelecekteki iletişim için bir komuta ve kontrol (C&C) düğümü kuruyor. Ancak bu sefer onları izliyorsunuz; ne yaptıklarını görebiliyorsunuz. İkilem devam ediyor: ne yapıyorsunuz? Siz çalışırken ağda dolaşmaya devam etmelerine izin mi vereceksiniz, adli tıp uzmanlarının gelmesini mi bekleyeceksiniz yoksa onları durdurmanın bir yolunu mu bulacaksınız?
Bu yılın başlarında bir BBC Co-op olayıyla ilgili haberde, Birleşik Krallık’taki perakendecinin BT ekibinin “bilgisayar hizmetlerini çevrimdışına alma kararı alarak suçluların hacklemeye devam etmesini engellediği” iddia edildi.
Suçlular mesaj gönderdi BBCşunu belirtiyor: “Co-op’un ağı hiçbir zaman fidye yazılımına maruz kalmadı. Satışları durdurarak, lojistiği yakarak ve hissedar değerini yakarak kendi fişlerini çektiler.”
Co-op, açıklamasında “Bazı sistemlere erişimin kısıtlanması da dahil olmak üzere Kooperatifimizi korumak için erken ve kararlı adımlar attığını” ve bunun sorunun kontrol altına alınmasına, daha fazla veriye erişilmesinin engellenmesine ve daha geniş organizasyonun korunmasına yardımcı olduğunu söyledi.
Temmuz ayında İş ve Ticaret Alt Komitesi’nde sorgulandıklarında Kooperatif temsilcileri doğrudan “fişi çekmek” ifadesini kullanmadılar. Ancak Co-op’un grup dijital bilgi sorumlusu Rob Elsey, VPN ve uzaktan erişimin “suçluları sistemlerimizin dışında tutabilmemizi sağlamanın bir yolu olarak” kısıtlandığını söyledi.
Elsey, ağındaki yazılımın “tehdit aktörünün web sitesiyle etkili bir şekilde iletişim kurmaya çalıştığını” ve kaynağı belirledikten sonra ekibin o bölgedeki tüm iletişimi duraklatmak gibi proaktif bir önlem aldığını açıkladı.
Bunun “fişi çekmek” olmadığını vurguladı. Co-op’un sistemleri “büyük oranda ayrışmış durumda, bu da bunun daha çok belirli bir bölgeye odaklandığı anlamına geliyor”. Komiteye şunları söyledi: “Bu süreçte tüm çevrimiçi işlerimiz normal şekilde çalışmaya devam etti ve perakende mağazalarımız ve ödemelerimiz bölümlere ayrıldı, dolayısıyla bu saldırının bir parçası olmadılar.”
Hangi fişi çekiyorsunuz?
Co-op’un gerçekten fişi çekip çekmediği yoruma açık. Ancak fidye yazılımı ödemelerine ilişkin son kararların ardından, hemen harekete geçme seçeneği daha pragmatik kararlara yol açabilir.
Teleport CEO’su Ev Kontsevoy, fişi çekmenin etkili bir kısa vadeli taktik olabileceğini söyleyerek, “Bu bir strateji değil, balyoz yaklaşımıdır” ve ekliyor: “Sistemleri çevrimdışına almak, yanal hareketi veya veri sızmasını o anda durdurabilir, ancak asıl sorunu çözmez: saldırganlar nasıl içeri girdi, ne kadar süre orada kaldılar ve neye eriştiler. Aynı zamanda, gereksiz iş kesintilerine de neden oluyor, bu da işlerin en somut etkilerinden biri. Günümüzde siber saldırılar. Sistemleri çevrimdışına alarak daha fazla kesintiyi teşvik etmemeliyiz.”
NCC Group’un yöneticisi ve kıdemli danışmanı Tim Rawlins, Computer Weekly’ye bunun “fişi çekmek” kadar basit olmadığını söylüyor. Kritik sorunun, hangisinin dış dünyaya bağlı olduğu, yoksa iç ağdaki fişin hangisi olduğu olduğunu söylüyor.
“İnsanlar fişi çekmekten bahsettiklerinde sistemleri tamamen kapatmalarını istemiyoruz, çünkü o zaman tüm geçici adli delilleri, yani hafızadaki verileri kaybederiz. Eğer fişi klasik ‘kapat, tekrar aç’ anlamında çekerseniz, kaybettiğimiz şey budur” diyor.
Bunun yerine Rawlins, doğru ağ bölümlendirmesini tavsiye ediyor: “Bu bölümden bu bölüme geçmeyi zorlaştırmaya çalışıyorsunuz. Ya fiziksel olarak tamamen ayrılmış ya da ek rol tabanlı erişim kontrolüne sahip güvenlik duvarları var.”
Bir ağı bölümlere ayırmanın ne olursa olsun en iyi uygulama olduğunu ekliyor. Saldırı durumunda yanal hareketi zorlaştırır. Rawlins, “Elektrik fişini değil de ağ fişini çekebilirseniz, o zaman bunun bir ana bilgisayardan birden çok ana bilgisayara yayılma olasılığını azaltabilirsiniz – ve aslında ‘fişi çekmek’ tam da burada devreye giriyor,” diyor Rawlins.
“İhlal edilmediğine inandığınız şeyleri kapatmanın bir unsuru var. Geldikleri rotayı görebilirseniz, bunun önüne geçebilir ve ona erişimi durdurabilirsiniz. Ancak bunun zarif bir şekilde başarısız olduğundan emin olmanız gerekir. Bir sistemi kapatırsanız, kelimenin tam anlamıyla fişi çekerseniz, birçok sistem çöker.
“Bunun yerine onları kapatarak hareketsiz kalmalarını ve saldırıya uğramamalarını sağlayabilirsiniz; pek çok kuruluş bunu yapacaktır. Bunun kısa yolu fişi çekmektir; uzun yolu ise bu konu hakkında biraz daha dikkatli düşünmeniz gerektiğidir.”
Bağlam önemlidir
Mesele sadece fişi çekip çekmemek değil, durumun ne gerektirdiğidir. Bu muhabirin bu konuyla ilgili yaptığı bir LinkedIn anketinde, yanıt verenlerin %55’i saldırıyı durdurmanın en iyi yolunun fişi çekmek olduğunu söyledi. Ancak ankete yapılan yorumlar durumun o kadar da ikili olmadığını açıkça ortaya koydu. Katılımcılardan biri bunun “ciddi, son çare meselesi” olduğunu söyledi. Diğerleri ise harekete geçmeden önce “mimari, segmentasyon, kritik sunucular, olay türü ve daha birçok veri noktasının” dikkate alınması gerektiğini vurguladı.
CyberCX’in Birleşik Krallık’taki baş müşteri sorumlusu Tim Anderson, sunucuları çevrimdışına almanın yaygın ve genellikle etkili bir adım olmasına rağmen bunun basit olmadığını ve yeni riskler getirebileceğini açıklıyor.
“Doğru sistemleri hedeflemek önemlidir” diyor. “Modern bilgisayar sistemlerinin hem dahili olarak hem de internetle ne kadar birbirine bağlı olduğu göz önüne alındığında, her şeyi kapatmak karmaşık, zaman alıcı ve yıkıcı olabilir.
“Mümkün olduğu durumlarda, dijital adli tıp ve olay müdahale ekiplerimiz, belirli sistemlerin veya ağın bölümlerinin ‘cerrahi’ ağ izolasyonunu tercih ediyor. Bu, gücü çekmek yerine etkilenen sistemlerin internet bağlantısını etkili bir şekilde keser. Saldırıyı kontrol altına alabilir ve araştırmacılara ölçeği ve etkiyi anlamaları için çok önemli zaman tanıyabilir.”
Fişi çekmenin bazen etkili olabileceğini ancak tercih edilmediğini kabul ediyor. Oldukça yıkıcı olabilir ve gelişmiş saldırganlar, sistemler tekrar çevrimiçi olduğunda sıklıkla yeniden erişim elde etme yöntemlerini kullanır.
Başarısızlığın kabulü mü?
Bir diğer açı ise algıdır. Fişi çekerseniz başarısızlığı gerçekten kabul ediyor musunuz? ExtraHop’ta podcast sunucusu ve GTM hizmetleri başkanı Rafal Los, evet diyor. “Bu, bir CISO’yu kovacağım birkaç şeyden biri; bir güvenlik sorununuz var ve işletmenizi kapatmak zorunda mı kalıyorsunuz? Kovuldunuz” diyor.
Los, 2003 SQL Slammer solucanını, ağların tamamen çöktüğü ve kapatmanın tek seçenek olarak kaldığı duruma örnek olarak gösteriyor. Ancak yalnızca 18 ay sonra, daha iyi uygulamaların belirli ağ bölümlerini veya bağlantı noktalarını kapatmak gibi daha fazla cerrahi müdahaleye olanak sağladığını söylüyor.
Los, “2025’te bu işe yarayan bir strateji olamaz” diyor. “Cevap ‘her şeyi kapatın’ ise, o zaman parmaklarınızdan birinde kontrol edilemeyen bir kanama olduğunu düşünüyorsunuz ve cevabınız onu kesmek olacaktır.”
Yıllardır mikro segmentasyon ve sıfır güvenin tartışıldığına dikkat çekiyor. Eğer taktik hala güç kablosunun çekilmesiyle bitiyorsa, bu görünürlüğü ve kontrolü kaybettiğinizin işaretidir. “Bu noktada bu, her siber güvenlik uzmanının mutlak en kötü kabusudur” diyor. “Birine onu kapatması yönünde tavsiyede bulunmayı hayal edemiyorum. İtiraf etmeliyim ki bu kulağa sorumsuzca geliyor.”
Emsal
Bu uyarılara rağmen, yüksek profilli kapatma örnekleri var. Buna göre Haber haftası2012 yılında Saudi Aramco’ya yapılan bir siber saldırıda Shamoon virüsü sabit diskleri silmiş ve şirket 30.000’den fazla bilgisayarı yok etmeye zorlanmıştı.
Benzer şekilde, 2021’de Colonial Pipeline’a yapılan saldırı, ihlali kontrol altına almak için birçok sistemin çevrimdışına alınmasına yol açtı. Bu hamle, boru hattı operasyonlarını geçici olarak durdurdu ve birden fazla BT sistemini kesintiye uğrattı.
Los, her şeyi kapatmanın tek seçenek olduğu aşırı durumlar olduğunu kabul ediyor. Ancak eğer masadaki tek çözüm buysa, bunun “organizasyon olarak tamamen hazırlıksız” olunduğunu gösterdiğini söyledi.
Rawlins, saldırganları komuta ve kontrol düğümlerinden mahrum bırakacağından, saldırının ortasında internet erişimini kesmenin bazen mantıklı olabileceğine katılıyor. Ancak daha geniş sonuçların (başka nelerin bu bağlantıya bağlı olduğu) tartılması gerekiyor.
Son düşünceler
Siber güvenliğin kurgusal tasvirleri genellikle fişi çekmenin dramatik bir çözüm olduğunu gösteriyor. Ancak gerçekte bu nadiren son veya en iyi seçenektir. Daha sıklıkla zayıf ağ mimarisini veya yetersiz segmentasyonu yansıtır.
Gerçek çözüm hazırlıklı olmakta yatmaktadır: segmentasyon, taktik kitaplar ve prova edilmiş olay müdahale planları. Siber güvenlikte onu kapatıp tekrar açmak bazı sorunlarda işe yarayabilir; ancak aktif bir saldırı söz konusu olduğunda bu nadiren en iyi seçenektir.