Siber suçlar çevrimiçi yaşamın kaçınılmaz bir parçası haline geldi. Fidye yazılımından yok etmeye kadar çevrimiçi olmanın getirdiği çok sayıda risk vardır. Şirketlerin bu kötü niyetli faaliyetlere karşı koyarken, en son siber saldırıları atlatmak için güvenliklerini sürekli geliştirmeleri ve iyileştirmeleri gerekiyor.
CrowdStrike’ın EMEA saha CTO’su Zeki Türedi, organize suç gruplarının (OCG’ler) çevrimiçi yükselişine ilk elden tanık oldu. Turedi, dijital adli yazılım üreten bir şirkete katılmadan önce siber güvenlik kariyerine kolluk kuvvetleri için BT alanında çalışarak başladı.
Siber suçun bir faktör olarak ilk kez ortaya çıkmaya başladığı dönemde kolluk kuvvetleri, olaya müdahale etmek için hâlâ geleneksel dijital adli tıp tekniklerini kullanıyordu. Ancak siber saldırıların kısa sürede yaygınlaşmasıyla birlikte eski teknik ve teknolojiler artık uygun olmaktan çıktı. Bu nedenle, olaylara müdahale için yeni dijital adli tıp teknikleri geliştirildi.
“Dijital adli tıp her zaman eski eserleri bulmakla ilgiliydi; Yapmaması gereken bir şeyi yapan saldırganın parmak izleri ve ekmek kırıntıları” diye açıklıyor Turedi. “Kötü niyetli aktörlerin ne yapmaya çalıştığını anlamak için hâlâ kırıntıları bulmak gerekiyor. Bu sefer, ihlalden sonra ne olduğunun araştırılmasıyla ilgili değil ve daha çok, ihlalden önce düşmanı olabildiğince çabuk defetmemizi sağlamaya odaklanıyoruz.”
Siber suçun doğası, 1990’larda internetin metalaşmasından bu yana gelişti. Başlangıçta, internetin ilk vücut bulmasında, genellikle yatak odalarında ne yapabileceklerini arayan yalnız bilgisayar korsanları vardı; artık organize suç gruplarının (OCG’ler) yararlanabileceği bir vektör haline geldi.
“Dünya çapında birçok suç örgütü bunun ekstra gelir elde etmenin iyi bir yolu olduğunu fark etti ve bu alana yatırım yaptı”
Zeki Türedi, CrowdStrike
Turedi, “Siber suç gruplarının özellikle Kovid’den sonra katlanarak büyüdüğünü gördük” diyor. “Ulus devletler hâlâ mevcut ancak her zaman gördüğümüz kadar çok sayıda ulus devlet görüyoruz. Bu, dünya genelindeki birçok suç örgütünün bunun ekstra gelir elde etmenin iyi bir yolu olduğunu fark ettiğini ve bu alana yatırım yaptığını gösteriyor.”
Tehdit istihbaratı
Tıpkı eski Çin askeri generali ve filozof Lau Tzu’nun “düşmanınızı tanımanızı” tavsiye ettiği gibi, siber güvenliğin temel unsurlarından biri de tehdit istihbaratıdır; yani siber güvenlik risklerini azaltmak için analiz edilebilecek mevcut siber saldırılarla ilgili bilgiler.
Bilinen kod ve tekniklerin tanınması, güvenlik uzmanlarının bir siber saldırının arkasındaki şüpheli failleri belirlemesine olanak tanıdığından, dijital adli tıp, tehdit istihbaratının önemli bir parçası haline geldi. Turedi, “Tehdit istihbaratı, müşterileri korumaya yönelik tüm bilgi ve deneyimi alıyor” diye açıklıyor. “Bu, dünya genelindeki müşterileri koruyan ve olaylara yanıt veren küresel bir varlığa sahip olarak gördüklerimizden elde ettiğimiz bilgilere dayanan verilerdir.”
Son yıllarda herkesin bir siber saldırının hedefi olabileceği ortaya çıktı. Daha önce, ciroları nedeniyle daha büyük işletmeler hedef alınıyordu, ancak hizmet olarak fidye yazılımı (RaaS) gibi bilgisayar korsanlığı araçlarının ve kötü amaçlı hizmetlerin yaygın olarak bulunması ve bunların nispeten düşük maliyeti nedeniyle, herhangi bir kuruluş veya kişi bu işlemleri gerçekleştirebilir. şimdi hedef alınıyor ve fidye için alıkonuluyor.
Tıpkı meşru kuruluşların karlarını kendilerine yatırım yapmak ve güvenlik duruşlarını geliştirmek için kullanması gibi, OCG’ler de yeni teknolojiler satın alarak ve en ileri teknikleri öğrenerek karlarını kullanıyor.
OCG’ler artık saldırılarını kısmen otomatikleştirmek için makine öğrenimini kullanıyor. Kaba kuvvet saldırıları, oturum açma portallarını ortak parolalarla bombalayarak bunu zaten daha az ölçüde yapıyor, ancak artık OCG’ler, istismar edilebilecek bilinen güvenlik açıklarına karşı ağları taramak için otomasyonu kullanıyor.
OCG’ler günümüzün hidralarına benziyor; bir kafa çıkarıldığında, onun yerini daha fazlası alıyor gibi görünüyor. OCG’ler, eylemlerini diğer OCG’lerle koordine edebilen ve kazandıkları erişim izinlerini paylaşabilen, sıklıkla dağıtılan varlıklardır.
Siber suçun uluslararası niteliği, OCG’lerin izini sürmeyi zorlaştıran başka bir zorluktur. Her ne kadar yüksek profilli suçluların tutuklanmasında bir miktar başarı elde edilse de, bunların tamamının yakalanması pek mümkün görünmüyor.
Turedi, “Bu suç gruplarının çoğu tek bir grup değil, birlikte çalışan birden fazla gruptur” diye açıklıyor. “Hizmet olarak fidye yazılımı geliştiren bir grubunuz var, başka bir araç seti oluşturan başka bir grubunuz var ve aslında tüm parçaları bir araya getiren ve belirli bir organizasyonu hedefleyen farklı bir grubunuz var. Başlangıçta bir şirketi hedef alıp erişim elde eden, daha sonra bu erişimi başka bir suç grubuna satan, daha sonra fidye yazılımı ve sızmayı gerçekleştirecek gruplar arasında bile ayrım olduğunu görüyoruz.”
Kovid’in ardından siber suçlarda artış yaşandı. Uzaktan çalışma sayesinde daha fazla insanın kurumsal ağlara bağlanmasıyla OCG’ler bu trendden yararlanma fırsatını yakaladı.
Turedi, “Şirketlerin karantina sonrasında kendilerini toparlamakta zorlandığı pek çok fırsat vardı” diye anımsıyor Turedi. “O dönemde pek çok yeni suç grubunun ortaya çıktığını ve bu fırsatı kullandığını gördük. Bu ödülü aldıklarını ve kendilerine yeniden yatırım yaptıklarını gördük.”
Saldırı metodolojilerinde de bir değişiklik oldu. Tıpkı kuruluşların artık şifrelerdeki zayıflıkları gidermek için çok faktörlü kimlik doğrulamayı (MFA) kullanması gibi, OCG’ler de MFA’ları atlamaya çalışıyor. Kötü niyetli aktörler meşru çalışanlar gibi davranıyor ve ikincil erişim izinlerini yönlendirmek ve böylece hassas ağlara erişim sağlamak için yardım masalarıyla iletişime geçiyor.
Hızlı cevap
Turedi ve CloudStrike tarafından, kötü niyetli bir aktörün sistemde dolaşmasının ortalama 37 dakika sürebileceği tahmin ediliyor. Bu, olay müdahalesi için kritik bir zaman haline geldi çünkü kötü niyetli kişi ağın başka bir kısmına atlayabildiğinde tüm ağın güvenliği ihlal edilmiş olur.
Turedi, “Düşman bir kuruluş içinde yanal olarak hareket ettiği anda, hızla ağı geçmeye başlıyor ve bu bir ‘köstebek vurma’ durumuna dönüşüyor” diyor. “Bir kuruluşu dünyanın en iyi tehdit aktörüne karşı tek bir cihazdayken savunmak kolaydır; cihazı kapatıp çekip gidebilirsiniz. En iyi ulus devlete sahip olabilirsiniz [hackers] Dünyada tek müdahaleci olun, ancak oraya yeterince çabuk varabilirseniz onları durdurabilirsiniz. Yanlamasına hareket etmeye başladıkları anda bu, kimlik bilgilerine sahip oldukları ve ağa erişime sahip oldukları anlamına gelir.”
“Düşmanın bir organizasyon içerisinde yatay olarak hareket ettiği anda, hızla ağı geçmeye başlıyorlar ve bu bir ‘köstebek vurma’ durumuna dönüşüyor”
Zeki Türedi, CrowdStrike
Bu nedenle, hızlı bir olay müdahale süresine sahip olmak, kuruluşların bir güvenlik olayının meydana gelmesini önlemesi açısından kritik öneme sahiptir. Kötü niyetli aktör hala ilk sistemin içindeyken yanıt vermek, sistemin kapatılabileceği, kötü niyetli aktörün kurumsal ağ boyunca daha fazla yayılmasının engelleneceği ve güvenliğinin ihlal edilmediğinden emin olunabileceği anlamına gelir.
Ne yazık ki kapsamlı beceri ve araç setine sahip özel bir güvenlik ekibine sahip olmak pahalı olabilir. Güvenliğe yatırım yapmak aynı zamanda kaynakları bir kuruluşun temel hizmetinden uzaklaştırabilir ve potansiyel olarak rekabet avantajlarından bazılarını kaybedebilir.
Bunu aşmanın bir yolu, bir güvenlik kuruluşuyla ortaklık kurmak, böylece kuruluşların ürün veya hizmetlerine yatırım yaparken sağlam bir güvenlik duruşunu sürdürmelerini sağlamaktır. Güvenlik denetimi yoluyla bir güvenlik ortağı, temel iş ihtiyaçlarını, neyin en değerli olduğunu ve operasyonların devamını sağlamak için bunların en iyi şekilde nasıl korunabileceğini belirleyebilir.
Mevcut ekonomik ortam harcamaların en aza indirilmesini gerektirse de, bir güvenlik şirketiyle ortaklık, kalkınmanın sonuna doğru değil, başlangıçta yapılması gereken bir şeydir. Başlangıçtan itibaren dahil olan bir güvenlik ortağıyla, sistem mimarisinin doğası gereği korunmasını ve tasarım gereği güvenli bir metodolojinin izlenmesini sağlayabilirler.
Bir güvenlik ortağı ancak projenin sonuna doğru getirilirse, maliyetli revizyonlara gerek kalmadan ve geliştirme süresini daha da uzatmadan entegre edilebilecek güvenlik miktarı sınırlıdır. Ayrıca temel mimaride, doğası gereği saldırılara karşı savunmasız olduğu anlamına gelen temel sorunlar da olabilir.
“Sorun yaşadığımız yer güvenliğin sonradan akla gelen bir düşünce olduğu durumlardır. İşte bu noktada ‘Sellotape ve yapıştırma’ işlemine son veriyoruz. Rakibin yararlanabileceği boşlukları var” diyor Turedi. “Güvenliği başlangıca aldığımızda ve ‘önce güvenlik’ zihniyetine sahip olduğumuzda, bu boşluklar ortaya çıkmıyor.”
Artan OCG sayısına ve yaygın fidye yazılımı ve kimlik avı dolandırıcılığı tehdidine rağmen Turedi kendinden emin olmaya devam ediyor. OCG’lerin siber saldırılarına yatırım yapması gibi güvenlik kuruluşları da koruma sistemlerini geliştirdi.
Her siber saldırı hayati bilgiler bırakır. Dijital adli tıp, tehdit analizlerine bilgi sağlamak için veri toplayabilir. Tehdit analizinden elde edilen sonraki bilgiler, gelecekteki siber saldırılara karşı daha sağlam bir güvenlik duruşuna olanak sağlayacaktır. Bir güvenlik olayına hızla müdahale edebilmek, olayın kontrol altına alınabilmesini ve bir güvenlik ihlaline dönüşmemesini sağlar.
“Daha gelişmiş tehdit aktörleri söz konusu olduğunda zamana karşıyız. Bu zaman aralığı gerçekten önemli” diyor Turedi. “Rakibin ne kadar hızlı olduğunu biliyorsak, artık ne kadar hızlı olmamız gerektiğini de biliyoruz. Önemli olan sadece teknolojinin ne kadar hızlı olacağı değil, aynı zamanda dahili süreçlerin de ne kadar hızlı olacağı.”
