Bu Help Net Security röportajında, NETSCOUT’ta Kıdemli Tehdit İstihbaratı Yöneticisi olan Richard Hummel, şirketlerin DDoS saldırılarını belirleme ve azaltma zorluklarının üstesinden nasıl gelebileceklerini tartışıyor. Uyarlanabilir, çok katmanlı savunma stratejilerine olan ihtiyacı ve kapsamlı bir DDoS yanıt planının kaçınılmazlığını vurguluyor.
Hummel ayrıca DDoS tehditlerinin gelişen doğasına ve ortaya çıkan trendler ve teknolojiler konusunda güncel kalmanın kritik rolüne odaklanıyor.
Şirketler DDoS saldırılarını tespit etme ve azaltma konusunda karşılaşılan zorlukların üstesinden nasıl gelebilirler?
Günümüzün DDoS saldırıları birkaç yıl öncesine göre bile değil ve tarihin en büyüğü olarak çerçevelenen DDoS saldırılarını görmeye devam ediyoruz (ancak daha büyükleri kesinlikle henüz gelmedi, ne yazık ki). Ayrıca, artık zayıflıkları hızla tespit edebilen, saldırılar için yeni vektörler oluşturabilen ve algılanan güvenlik açıklarına göre gerçek zamanlı olarak ayarlamalar yapabilen kötü aktörler tarafından daha da dikkatli bir şekilde düzenleniyorlar.
Sonuç olarak, büyük kuruluşların, büyük hacimli ve daha hedefli uygulama katmanı saldırıları da dahil olmak üzere, sunulan farklı saldırı türlerine aynı hızda yanıt verebilen, uyarlanabilir, çok katmanlı savunma yeteneklerine ihtiyacı vardır.
Üstelik, rahatsız edici gerçek şu ki kötü aktörler saldırıları düzenlemek için yeni metodolojiler bulmaya devam ediyor. Güvenlik uzmanlarının ortaya çıkan trendler konusunda güncel kalmaları ve yepyeni, sıfırıncı gün saldırı metodolojilerine karşı bile yanıtları otomatikleştirmeye yardımcı olabilecek istihbarat beslemeleri ve AI gibi teknolojileri benimsemeleri önemlidir.
Bir DDoS yanıt planına sahip olmak ne kadar önemlidir ve genellikle neleri içermelidir?
Her yıl artan DDoS saldırıları sayısı ve kurbanlar üzerinde maksimum baskı uygulamak için DDoS saldırılarının daha karmaşık hack girişimlerinde sıklıkla kullanıldığı gerçeği göz önüne alındığında, her şirketin siber güvenlik araç kitine bir DDoS yanıt planı dahil edilmelidir. Sonuçta risk altında olan yalnızca bir web sitesine veya uygulamaya geçici erişim eksikliği değildir. Bir işletmenin DDoS saldırısına karşı koyamaması ve hızlı bir şekilde toparlanamaması, gelir kaybına, uyumluluk başarısızlıklarına ve marka itibarı ile kamuoyu algısının olumsuz etkilenmesine neden olabilir.
Bir DDoS saldırısının başarılı bir şekilde ele alınması tamamen şirketin hazırlıklı olmasına ve mevcut planların uygulanmasına bağlıdır. Herhangi bir iş sürekliliği stratejisi gibi, bir DDoS yanıt planı da yıllar içinde test edilen ve geliştirilen, yaşayan bir belge olmalıdır. En üst düzeyde hazırlık, tespit, sınıflandırma, reaksiyon ve ölüm sonrası yansımayı içeren beş aşamadan oluşmalıdır. Her aşama bir sonrakini bilgilendirir ve döngü her yinelemede gelişir.
DDoS saldırılarından daha sık etkilenen belirli sektörler veya sektörler var mı?
Son zamanlarda, DDoS saldırıları siber suçluların büyük spor etkinliklerinde tahribat yaratmasının başlıca yollarından biridir. Jeopolitik varlıkların kritik altyapıya erişimi engellemek için DDoS saldırıları kullanmasıyla gerçekleşen siber savaştan, protesto etmek veya toplumsal veya politik nedenlere dikkat çekmek için tasarlanmış hacktivizme kadar, bu tür saldırıların gerekçeleri neredeyse sonsuzdur. Ancak, DDoS saldırılarının geçmişine bakıldığında, siber suçluların her zaman spor etkinliklerini hedef aldığı görülmektedir.
Örneğin, Londra 2012 gibi erken bir tarihte, Olimpiyatların açılış töreni sırasında DDoS saldırıları elektrik sistemlerini hedef alıyordu. Rio 2016, hükümet web sitelerine ve sponsorlarına yönelik 500 Gbps’lik devasa bir saldırıya tanık oldu. Benzer şekilde, Pyeongchang 2018 Oyunları sırasında yönetim komitesi, açılış töreni sırasında saldırganların Wi-Fi, televizyon yayıncılığı ve bilet satışı da dahil olmak üzere çok sayıda hizmeti tehlikeye attığı kritik bir olayın hedefi oldu. Daha yakın zamanda NTT, Tokyo 2021 Oyunları sırasında 450 milyondan fazla siber saldırıyı engellediğini bildirdi.
Ek olarak, DDoS saldırıları çevrimiçi kumar ve oyun endüstrilerini önemli ölçüde tehdit etmektedir; çünkü mali veya rekabetçi çıkarları olanların, sonuçları kendi lehlerine değiştirecek veya geciktirecek kadar uzun süre operasyonları kesintiye uğratması nispeten kolaydır. Örneğin Fortnite gibi popüler oyunlara yönelik çevrimiçi şampiyonalar popüler hedeflerdir. Ne yazık ki kuruluşlar, on binlerce kullanıcıyı barındıran sunucuları DDoS saldırıları dalgaları tarafından hedef alındığında ciddi ikincil hasarlarla karşılaşabiliyor.
Bir kuruluş DDoS saldırısına maruz kaldığında, etkiyi azaltmak için hangi acil adımlar atılmalıdır?
İlk adım, üst düzey yöneticilere, gelişen DDoS saldırılarını anlamalarına yardımcı olacak dilde açıkça iletişim kurmaktır. Bu tartışmada, modern işletmede hedef açısından zengin bir ortamın iş çıkarımlarını göstermek kritik öneme sahiptir. Ardından, söz konusu saldırıyı sınıflandırmak ve geri izlemek için bir ekip atamak da önemlidir. Bu süreçte, güvenlik ekiplerinin çalışanlar için saldırının niteliği ve güvenlik ekibinin bunu düzeltmek için alacağı karşı önlemler hakkında bir bildiri geliştirmesi gerekir. Bir şirketin DDoS güvenlik duruşunu iyileştirmek, farkındalık oluşturmayı ve işlevler arasında iş birliğini teşvik etmeyi gerektirir.
Benzer şekilde, daha önce de belirtildiği gibi, BT ekiplerinin güvenlik açıklarını anlamak ve gelecekteki saldırıları tahmin etmek için önceki saldırılardan kaynaklanan tehditleri analiz etmesi gerekir. Dünya çapında 230’dan fazla ülkeden toplanan verilere dayanan en son Tehdit İstihbaratı Raporumuza göre, 2023’ün ikinci yarısında DDoS saldırılarında %15 oranında keskin bir artış olduğunu ve kaydedilen 7 milyon saldırı olduğunu tespit ettik.
Güvenlik açıklarını daha iyi anlamak için, güvenlik ekiplerinin etkili savunma stratejileri geliştirebilmesi için bugün en sık görülen DDoS saldırılarının türlerini belirlemek kritik öneme sahiptir. Örneğin, hacimsel saldırılar, hedefin kullanılabilir bant genişliğini önemli miktarda veri akışıyla boğmayı ve meşru kullanıcılar için erişilemez hale getirmeyi amaçlar. Durum tükenme saldırıları, güvenlik duvarları veya yük dengeleyiciler gibi ağ cihazlarının sınırlı yeteneklerini hedef alır ve bunları belleklerini ve işlem kapasitelerini tüketme istekleriyle bombalar.
Son fakat bir o kadar da önemlisi, uygulama düzeyindeki saldırılar özellikle sinsi olup çoğu zaman fark edilmeyebilir. Normal trafiği taklit ederler ancak hedeflenen hizmetler kapanana kadar belirli işlevleri bozmayı veya uygulama kaynaklarını tüketmeyi amaçlarlar.
Devlet kurumlarının DDoS tehditlerine karşı kuruluşları desteklemede rolü nedir?
Devlet kurumları, İSS’ler ve işletmeler, DDoS saldırılarına karşı koymak ve küresel olarak kritik altyapıyı korumak için hayati öneme sahiptir. Devlet kurumları İSS’ler ve şirketlerle iş birliği yaptığında, DDoS tehditlerinin etkisini en aza indirmek için proaktif ve çok katmanlı bir yaklaşım benimseyebilirler. Ancak, sonuç olarak, devlet kurumlarına yönelik DDoS saldırılarından kaçış yoktur ve tehdit istihbaratının, küresel İSS ağlarını ve ek BT altyapısını tehlikeye atma söz konusu olduğunda tehdit ne kadar evrensel olabileceği nedeniyle daha ciddiye alınması gerekir.
DDoS saldırı taktikleri ve savunma stratejilerinin geleceğini nasıl öngörüyorsunuz?
Küresel hacktivist gruplar ve diğer kötü aktörlerin artışında gördüğümüz gibi, gelecekte saldırganların yeni, otomatik DDoS saldırıları gerçekleştirmek için taktiklerini geliştirmeye devam edeceklerini ve bu saldırıların hem sıklık hem de karmaşıklık açısından gelişmeye devam edeceğini göreceğiz. Saldırganların kötü amaçlı saldırılarının bir adım önünde kalmak için, kuruluşların bu gelişen DDoS tehditlerinin bütünsel azaltılmasına yönelik daha pragmatik bir yaklaşım benimsemeleri gerekiyor.
Bu, giderek daha bilgili ve kötü niyetli varlıkların yeni saldırılar düzenlemesinden önce sorunları otomatik olarak düzeltmek için eyleme dönüştürülebilir, uyarlanabilir tehdit istihbaratı sunan akıllı DDoS azaltma sistemlerine yatırım yapılmasıyla başlar. Kötü aktörler DDoS saldırıları tasarlamanın yeni yollarını bulmaya devam edecek olsa da, hızlı ve otomatik algılama, bir saldırının iş açısından kritik hizmetleri etkilemeden önce durdurulması açısından kritik öneme sahiptir.