İsrail’in siber güvenlik operasyonları, ülkenin güneyindeki Negev Çölü’nde bulunan ülkenin en büyük şehri Be’er Şeva’da yürütülüyor.
İsrail Siber Acil Durum Müdahale Ekibi (Il-CERT), siber saldırılardan etkilenen şirketlere ve vatandaşlara birinci basamak müdahale sağlıyor.
CERT, Negev Ben Gurion Üniversitesi, ileri teknoloji inovasyon laboratuvarları ve İsrail Savunma Kuvvetleri’nin siber ve teknoloji kampüsü tarafından desteklenen, girişimci şirketlerin siber güvenlik merkezi projesinin bir parçasıdır.
Yaklaşık yedi Güvenlik Operasyon Merkezi (SOC), CERT’in yanında faaliyet göstererek su ve enerji, kamu hizmetleri, polis ve acil durum hizmetleri de dahil olmak üzere ekonominin farklı sektörlerindeki siber tehditleri izliyor, tespit ediyor ve analiz ediyor. Altı SOC üzerinde daha çalışmalar devam ediyor.
Operasyonun merkezinde, herkesin bir siber saldırıya bağlanabilecek herhangi bir şey hakkında rapor verebileceği acil durum 119 telefon hattı bulunmaktadır. Bu, şüpheli bir e-posta, şüpheli bir URL veya kötü amaçlı yazılım olabilir.
Sosyal medyada şüpheli bir bağlantı gönderilen gençlerden, hesaplarının hacklendiğine inanan şirket yöneticilerine kadar herkes tarafından yoğun bir şekilde kullanılan ihbar hattı,
CERT siber güvenlik uzmanları, olayları haritalandırarak ülke çapındaki eğilimleri görebiliyor ve CERT müdahale ekipleri için en kritik saldırı girişimlerini tespit edebiliyor.
Yönetici müdür
Dana Toren, CERT’in yönetici direktörüdür. Başbakanlık ofisinde eski bir istihbarat analisti ve veri analisti olan Toren, CERT’in operasyonlarını denetlemekten sorumludur.
Computer Weekly’ye konuşan uzman, “Olayların ulusal öneme sahip olup olmadığını anlamamız gerekiyor” dedi.
Örneğin küçük bir şirkete yönelik bir saldırı, onun hizmetlerine güvenen birçok diğer şirketi etkileyebilir.
Geçtiğimiz yıl CERT’e gelen olay bildirimi sayısı 13 bin olurken, bu sayı bir önceki yıla göre %43 arttı.
İsrail’in Gazze’ye savaş ilan etmesinden bu yana geçen 270 günde CERT, İsrail şirketlerine yönelik 1.900 önemli siber saldırı tespit etti ve saldırıların niteliği değişti.
Artık İsrail altyapısına zarar vermek için tasarlanıyorlar ve fidye yazılımı saldırılarının sayısı arttı. İran destekli gruplar, hacklenmiş verileri karanlık ağda yayınlamayı veya medyaya sızdırmayı amaçlıyor.
En büyük tehditler
İsrail Ulusal Siber Direktörlüğü (INCD) genel müdürü Gaby Portnoy, İran, Hizbullah ve İran bağlantılı hack gruplarını İsrail’e yönelik en büyük siber tehdit olarak tanımlıyor ve saldırıları savaştan bu yana daha da şiddetlendi. “7 Ekim’e kadar hastanelere saldırmadılar,” dedi. “7 Ekim’den itibaren tüm İsrail hastaneleri İran tarafından saldırıya uğradı.”
Toren, İran’ın İsrail’e yönelik saldırılarda büyük bir rol oynamasına rağmen, acil müdahale ekibinin siber saldırılara kimin saldırdığını tespit etmekten çok, bunlara tepki vermekle ilgilendiğini söyledi. “Saldırıları belirli oyunculara atfetmek zor,” dedi. “Herkes aynı araçları kullanıyor. [We are] savunmacı bir organizasyon. Saldırganlarla uğraşmıyoruz. Sadece endüstrileri koruyoruz.”
CERT’in kontrol odası bir düzine kişi için iş istasyonları ve 10 büyük duvara monte ekran içeriyor. Ekranlardan biri, ABD-İsrail siber güvenlik şirketi Check Point tarafından sağlanan istihbarat kullanılarak bir araya getirilen gerçek zamanlı siber saldırıları gösteren bir harita.
Başka bir ekran, hackerlar tarafından tahrif edilen şirketlerin web sitelerini görüntüler. Analistler bunları günde iki kez kontrol eder ve etkilenen kuruluşları uyarır.
Savaşın başlamasından bu yana Toren, CERT’te tam zamanlı çalışan sayısını 90’dan 120’ye çıkardı.
İsrail’in kritik ulusal altyapısını oluşturan su, elektrik ve hastaneler gibi kuruluşların siber ihlalleri bildirmeleri yasal olarak zorunludur. Ancak diğerleri için 119 telefon hattı gönüllüdür.
Şirketler ve bireyler telefonla rapor verme karşılığında gizli bir danışmanlık hizmeti alırlar. Örneğin, CERT düzenleyicilere siber saldırıları bildirmeyecek veya hangi kuruluşların saldırıya uğradığını kamuoyuna açıklamayacaktır.
CERT, siber güvenlik sorunlarıyla yardım hattını arayan kişilere tavsiye ve önerilerde bulunur.
Ancak kaynakları sınırlıdır. Sadece 16 kişiden oluşan bir müdahale ekibini oluşturan dört olay müdahale araştırmacısı ekibi vardır.
Toren, CERT’in sınırlı kaynakları göz önüne alındığında, “Bu hizmeti sunmadan önce dikkatlice düşünmemiz gerekiyor” dedi.
Ekipler yalnızca ulusal öneme sahip durumlarda ve bir şirkete yönelik saldırının daha geniş bir sektöre tehdit oluşturabileceği durumlarda görevlendirilir.
Saldırı 80 şirketi etkiledi
Bu vakalardan birinde CERT araştırmacıları, İran bağlantılı bir bilgisayar korsanı grubunun küçük bir tedarik zinciri şirketine sızdığını ve bu şirketi 80 başka kuruluşu enfekte etmek için bir basamak olarak kullandığını keşfetti.
Toren, Computer Weekly’ye yaptığı açıklamada, 2020’de gerçekleşen saldırının İsrail’e petrol ithalat ve ihracatını aksatma potansiyeline sahip olduğunu söyledi.
“119’a saldırıldığını bildiren üç veya dört çağrı aldık,” dedi. “İlk başta bir bağlantı bulamadık.”
Daha sonra özel bir siber güvenlik müdahale şirketi arayarak bir envanter sistemi şirketinin hacklendiğini bildirdi.
“Hemen onlarla iletişime geçtik ve ağınızda bir saldırı olduğuna inandığımızı söyledik,” dedi Toren. “Cuma günüydü ve bir olay müdahale ekibi gönderdik.”
Soruşturmacılar, saldırının imzasını veya tehlikenin göstergelerini zamanında tespit ederek risk altında olan 80 kuruluşu uyarmayı başardılar.
Zararlı yazılımın, İran bağlantılı Fox Kitten adlı bilgisayar korsanlığı grubuyla ilişkilendirilen Pay2Key fidye yazılımı olduğu belirlendi.
Güvenlik açığı taraması
CERT’in bir diğer rolü de kuruluşları bilgisayar sistemlerindeki güvenlik zaafları konusunda uyarmaktır. Portnoy, INCD’nin 7 Ekim’den sonra zafiyet tarama programını artırdığını söyledi.
Hastaneler ve diğer kritik hizmetler, bilgisayar korsanları tarafından istismar edilebilecek zayıflıkları tespit etmek için ağlarında en az altı kez “saldırı yüzeyi” kontrolü yapıldı.
INCD ayrıca şirket ağlarını ifşa edebilecek şifreleri veya diğer kritik bilgileri tespit etmek için karanlık ağı da tarıyor.
Operasyon 5.000 kuruluşu ve yaklaşık 33.000 IP adresini kapsıyor. Toren, “Altyapıyı derinlemesine tarayarak güvenlik açıklarına açık sistemleri buluyorlar ve biz de bunları nasıl düzelteceğimize dair rehberlik sağlamak için onlarla iletişime geçiyoruz” dedi.
Diğer uyarılar ise kuruluşların siber güvenliklerine ilişkin dahili bir görünüm sağlamak amacıyla kuruluşların ağlarına yerleştirilen Son Nokta Algılama ve Müdahale problarından geliyor.
CERT, bir saldırının imzasını, yani “tehlike göstergeleri”ni tespit ettiğinde, bunlar otomatik olarak siber savunmaları güncelleyebilen bir uygulama programlama arayüzü üzerinden diğer kuruluşlarla paylaşılır.
Ancak daha fazlasının yapılması gerektiği kabul ediliyor. İsrail, 2021 yılında siber savunmasını iyileştirmek için bir projeye başladı.
İsrail’in füzesavar sistemi Cyber Dome’a gönderme yapan Cyber Dome olarak adlandırılan sistem, saldırıları gerçekleştiği anda tespit etmek ve azaltmak için yapay zeka ve büyük veriyi kullanmayı amaçlıyor.
İsrail aynı zamanda siber savunma geliştirme konusunda diğer ülkelerle işbirliğini artırıyor.