Yazan: Tim Callan, Deneyimden Sorumlu Başkan, Sectigo
MGM ve Caesars siber saldırılarının ardından birçok BT uzmanı muhtemelen kendilerine şu soruyu soruyor: Sıradaki ben miyim? İşletmeler bu saldırılardan hangi dersleri çıkarabilir ve sıradakinin siz olmadığından emin olmak için ne yapabilirsiniz?
Akılda tutulması gereken bir şey, herkesin potansiyel bir hedef olduğu gerçeğidir. Birçok kişi şöyle diyor: “Ben büyük bir kumarhane, banka veya işletme değilim. Neden biri benim peşime düşsün ki? Cevap şu; neden olmasın?
İşletmenizin çalışması için gerekli dijital sistemleri çalıştırıyorsanız hedefsiniz. İşinizin durması size, müşterilerinize ve itibarınıza zarar verir. Bu nedenle, işinin merkezinde dijital süreçler bulunan herkes potansiyel bir fidye yazılımı hedefidir. Bu nedenle bir numaralı nokta, “Ben hedef değilim” düşüncesini aşmaktır çünkü kesinlikle öylesiniz.
İkincisi, sosyal mühendislik her zaman bir saldırı vektörüdür ve öyle kalacaktır. Doğası gereği dijital sistemlerimiz insanların kendileriyle etkileşime girmesini gerektirir. Ve insanların sistemlerle etkileşime girebileceği yerler olduğu sürece, insanlar kandırılarak sisteme erişim sağlanabilir. Sosyal mühendislik internetin öncesinden beri devam ediyor ve onlarca yıldır devam etmesinin nedeni sürekli olarak çalışmasıdır.
O halde sosyal mühendislikle nasıl başa çıkacağız? Uzun yıllardır bu yaklaşım eğitim amaçlıydı. Eğitim öneriyoruz ama eğitim sorunu çözmeye uzaktan bile yetmiyor. Öyle olsaydı bu saldırılar başarıya ulaşamazdı. Ve insanlar ne kadar eğitim alırlarsa alsınlar mutlaka hata yaparlar. Unuturlar, dikkatleri dağılır, alışık olmadıkları farklı bir saldırı lezzetine kapılırlar ve buna kanarlar.
Yani ne yapman gerekiyor? En iyi savunmanız karar verme yetkisini insanın elinden almaktır. Eğer bir pencereye tıklayıp kullanıcı adı ve şifre girmem gerekiyorsa, o zaman beni kandırmanın yolları var. Birinin kullanıcı adımı ve şifremi yanlış yere koymam için beni kandırmasının yolları var. Birinin beni kullanıcı adımı ve şifremi başka birine vermem için kandırmasının yolları var.
Yakın zamanda yayınlanan bir saldırıda kötü niyetli kişiler, kurbanın dahili BT yardım masası ekibinin kimliğini taklit eden derin ses sahtekarlıkları kullanarak tek seferlik şifreleri alt etti. Tek kullanımlık bir şifre istendiğinde çalışan bu “dahili yardım masasına” hemen bir OTP verdi. Kötü niyetli kişiler daha sonra şirketin sistemlerine erişimi çalmak için bu tek seferlik şifreyi çalıntı bir kimlik bilgisi ile birlikte kullandılar.
İnsanoğlunun karar verme yetkisini kaldırabildiğiniz ölçüde toplum mühendisliği bakış açısını da ortadan kaldırmış olursunuz. Neyse ki böyle bir mekanizma 40 yıldır kullanılıyor ve hiçbir zaman mağlup edilemedi. Bu mekanizma Açık Anahtar Altyapısı veya “PKI”dır. Bilinen cihazları (ofiste bulunan dizüstü bilgisayarlar, mobil cihazlar veya iş istasyonları) kullanan çalışanlar, bu cihazlardaki dijital sertifikaların kullanımı yoluyla kimliklerini otomatik olarak doğrulayabilir. Bilinen hiçbir saldırı, bu sertifikaların gerçek ve doğru olduğunu garanti eden kriptografik açıdan şüphe edilemez mekanizmaları yenemez. Ve erişim sağlamaya yönelik sosyal mühendislik saldırıları yenilgiye uğratılır.
Peki ağ yöneticileri neden PKI tabanlı kimlik doğrulamayı kullanamıyor? Temel sebep bilgisizliktir. Kullanıcı adı-şifrenin güvenli olduğunu düşünüyorlar veya yanlışlıkla çok faktörlü kimlik doğrulamanın (MFA) kurşun geçirmez bir eklenti olduğunu düşünüyorlar. Ancak her önemli çok faktörlü kimlik doğrulama mekanizması, kararlı, eğitimli ve iyi kaynaklara sahip bir saldırgan tarafından alt edilebilir.
Çok faktörlü kimlik doğrulama, kullanıcıları yanlış bir güvenlik duygusuna sürükler. MFA’nız olduğunda saldırının ötesinde olduğunuzu düşünmeye başlarsınız. Gerçekte, yalnızca “sprey ve dua eden saldırganların” saldırısının ötesindesiniz, ancak Gelişmiş Kalıcı Tehdit’in (APT) saldırısının da ötesinde değilsiniz. Bu birçok insanın yaptığı bir hatadır. MFA’yı uygulamaya koydular ve bir daha düşünmelerine gerek olmayan bir kutuyu işaretlediklerini düşünüyorlar. Gerçekte, iyi kaynaklara sahip profesyonel saldırganlar bu sorunu sıklıkla aşabilir ve aşabilirler. Karar verme sürecini elinizden geldiğince insanların elinden almak en çok ihtiyaç duyulan şeydir çünkü insan beyninin nasıl çalıştığına dair tuhaflıklar sizin ve benim yaşamımız boyunca çözeceğimiz bir şey değildir.
Şirketler ayrıca sitenize erişmeye çalışan hiç kimseye güvenilemeyeceği veya güvenilmemesi gerektiği sıfır güven güvenlik zihniyetini benimsemelidir. Bu paradigmanın temel ilkelerinden biri, kullanıcıların daha önce doğrulanıp doğrulanmadığına bakılmaksızın doğrulanmalarını gerektirmesidir. Sıfır güven çerçevesi, sıkı erişim kontrolleri, sürekli doğrulama ve yine başka bir güvenlik katmanı ve kötü aktörlere karşı koruma sağlar.
MGM ve Caesars’takilere benzer bir başka siber saldırının olup olmayacağı değil, ne zaman olacağı meselesi. Kararları kullanıcının elinden almak ve sertifika yönetimi, PKI ve sıfır güven gibi kritik, kanıtlanmış protokolleri uygulamak, bir siber saldırının bir sonraki kurbanı olmayacağınızdan emin olacaktır.
yazar hakkında
Tim Callan otomatik sertifika yaşam döngüsü yönetimi ve dijital sertifikaların lider sağlayıcısı Sectigo’da Baş Deneyim Sorumlusu olarak görev yapıyor ve işin her alanında müşteri yolculuğunu optimize etme çabalarına öncülük ediyor. Tim, başarılı B2B yazılım ve SaaS şirketleri için stratejik pazarlama ve ürün lideri olarak 20 yıldan fazla deneyime ve SSL ve PKI teknolojisi alanlarında 15 yıllık deneyime sahiptir. Sectigo hakkında daha fazla bilgi için lütfen www.sectigo.com adresini ziyaret edin. Tim Callan’a doğrudan ulaşmak için lütfen [email protected] adresine e-posta gönderin.