Siber güvenlik ortamı, “Aşk Böceği” veya “Blaster Virüsü” gibi rahatsız edici kötü amaçlı yazılımların olduğu günlerin çok ötesine geçerek dramatik bir dönüşüm geçirdi. Siber suç, milyarlarca dolar değerinde, karmaşık, kar odaklı bir kuruluşa dönüştü.
yılında yapılan bir araştırmaya göre Siber Risk ve Siber Güvenlik: Sistematik Bir İnceleme (2021)’e göre, küresel siber suçların maliyeti 2020’de yaklaşık 1 trilyon dolardır. Dünya Bankası bu rakamın 2025 için 10,5 trilyon dolara çıkacağını öngörüyor. Bu üstel büyüme, saldırıların mali bedeli ile mevcut savunma yetenekleri arasındaki devasa uçurumun altını çiziyor.
İlk siber tehditler genellikle ideolojiden kaynaklanıyordu. Ancak saldırganlar siber suçların kârlılığını keşfettikten sonra para kazanma yöntemleri gelişti: spam, botnet’ler, kripto madenciliği ve şimdi de hizmet olarak fidye yazılımı. Günümüzde kuruluşlar, güvenlik stratejilerinin tamamen yeniden düşünülmesini gerektiren, giderek daha karmaşık hale gelen tehditlerle karşı karşıyadır.
Yeni bir göreve başlayan herhangi bir Bilgi Güvenliği Baş Sorumlusu (CISO), BT güvenliği başkanı veya Yönetilen Hizmet Sağlayıcısı (MSP) için ilk 100 gün içindeki en önemli öncelikler açıktır: mümkün olduğunca çok sayıda siber saldırıyı durdurmak, siber suçluların hayatını zorlaştırmak ve bunu BT ekibini yabancılaştırmadan yapmak. Bu yalnızca proaktif, önce önleme yaklaşımıyla başarılabilir.
Uygulama ve davranış kontrolü yoluyla proaktif önleme
Siber saldırıların önemli bir kısmı (tahmini olarak) %70 ila %90—Office makrolarını içerir. Bunları devre dışı bırakmak, iş akışlarını nadiren kesintiye uğratan hızlı bir kazançtır. Makrolar genellikle yürütülebilir dosyaları indirmek veya saldırganların kalıcılık kazanmak için kullandığı uzaktan erişim araçlarını (RAT’ler) yüklemek için kullanılır.
Uygulama İzin Verilenler Listesine Ekleme, her kötü amaçlı dosyayı algılamaya çalışmak yerine varsayılan olarak tüm yazılımları engeller ve yalnızca açıkça onaylanan programlara izin verir. Bu, kötü amaçlı yazılımları, fidye yazılımlarını ve hatta saldırganların sıklıkla kötüye kullandığı TeamViewer veya GoToAssist gibi yasal araçları otomatik olarak engeller.
Kuruluşların ayrıca izin verilen uygulamaların neler yapabileceğini de kontrol etmesi gerekir. Ringfencing™, Microsoft Word gibi uygulamaların PowerShell gibi diğer programları başlatmasını engeller. Bu, kullanıcı etkileşimi olmadan kötü amaçlı kod çalıştırabilen Follina gibi açıklardan yararlanmaların etkisiz hale getirilmesine yardımcı olur.
Ağ ve uç nokta kontrolü
Az çaba gerektiren birkaç değişiklik, saldırı yüzeylerini önemli ölçüde azaltabilir:
SMBv1’i devre dışı bırakın. Bu eski protokol, WannaCry fidye yazılımı saldırısında istismar edildi ve bugün nadiren ihtiyaç duyuluyor.
RDP ve SMB bağlantı noktalarını kontrol edin. Buna göre Siber Güvenlik AsyaSophos verilerine referans veren 2024’teki fidye yazılımı saldırılarının yaklaşık %70’inde uzaktan şifreleme yöntemleri kullanıldı. Erişimi yalnızca güvenilir kaynaklarla kısıtlayın.
Gerekmedikçe VPN’leri kaldırın. Yamasız güvenlik duvarları ve zayıf yapılandırmalar nedeniyle fidye yazılımı saldırılarında VPN’lerden yararlanılmaktadır. Gerekirse trafiği kaynağa ve hedefe göre kısıtlayın.
Sunuculardan giden internet erişiminin çoğunu engelleyin. Çoğu durumda sunucuların internete erişmesine gerek yoktur. Giden erişimin engellenmesi, SolarWinds ve Exchange saldırılarında görüldüğü gibi yük indirmelerini engeller.
Kullanıcılar evden çalışma sistemlerine erişmek için bağlantı noktalarını açarsa, görünüşte dahili cihazlar bile açığa çıkabilir. Bu, varsayılan reddetme güvenlik duvarı ve yönlendirme politikalarına olan ihtiyacı vurgulamaktadır.
Kimlik ve erişim yönetimi
Çok faktörlü kimlik doğrulama (MFA), Microsoft 365, Google Workspace, alan kayıt şirketleri ve uzaktan erişim araçları da dahil olmak üzere tüm uzak hesaplar için kritik öneme sahiptir. Parola ele geçirilse bile MFA yetkisiz erişimi engelleyebilir.
Yerel yönetici haklarının kaldırılması saldırganların yapabileceklerini de sınırlar. Saldırganların fidye yazılımını çalıştırmak için yönetici haklarına ihtiyacı olmasa da bu ayrıcalıkların kaldırılması güvenlik araçlarını devre dışı bırakmalarını engelleyebilir. Kullanıcılara genel olarak atanmayan, yükseltme araçları kullanılarak uygulama başına ayrıcalıklı erişim sağlanmalıdır.
Veri koruma ve erişim görünürlüğü
BitLocker veya benzeri tam disk şifrelemesi, onu destekleyen tüm cihazlarda etkinleştirilmelidir. Önyükleme düzeyinde izinsiz müdahalelerin önlenmesine yardımcı olur ve sanal sabit disklerin takılmasını veya kopyalanmasını önler.
Parçalı dosya erişim kontrolleri, kullanıcıların ve programların yalnızca gerçekten ihtiyaç duydukları dosyalara erişmesini sağlayarak riski azaltır. Örneğin PuTTY gibi SSH istemcileri günlük ve metin dosyalarıyla sınırlandırılmalıdır. CFO’nun şirketin mali verilerine erişmesi gerekebilir, ancak pazarlamadaki birinin muhtemelen buna ihtiyacı yoktur. Bu, veri sızıntısını ve toplu şifreleme girişimlerini önlemeye yardımcı olur.
USB sürücüleri varsayılan olarak engellenmelidir. Bu cihazlar, kötü amaçlı yazılım yaymak veya hassas bilgileri çalmak için kullanılabilir. Şifrelenmiş, onaylanmış sürücüler için duruma göre istisnalar tanınabilir.
Uç noktalarda, OneDrive gibi bulut depolama alanında ve çıkarılabilir medyada okuma, yazma, silme ve taşıma işlemlerini takip eden kapsamlı dosya etkinliği denetimi, hem olaylara müdahale hem de proaktif izleme sırasında önemli bilgiler sunar.
Güvenlik açığı yönetimi ve çalışma zamanı görünürlüğü
Yamalama, en etkili ancak tutarsız bir şekilde uygulanan siber hijyen uygulamalarından biri olmaya devam ediyor. Çoğu saldırı, yamaları aylarca veya yıllardır mevcut olan güvenlik açıklarından yararlanarak başarılı olur. Kuruluşlar, taşınabilir yazılımlar da dahil olmak üzere işletim sistemleri ve üçüncü taraf uygulamalar için yama uygulamayı otomatikleştirmelidir.
Eski sistemler, resmi desteğin sona ermesinden yıllar sonra bile yaygın olarak varlığını sürdürüyor. Güvenlik çözümleri, modern altyapının yanı sıra üretim ortamlarında halen mevcut olan Windows XP gibi eski platformları da hesaba katmalıdır.
Güvenlik ekipleri ayrıca yalnızca yüklü olanların değil, çalışan öğelerin de gerçek zamanlı görünürlüğüne ihtiyaç duyar. İzlenmeyen tarayıcı uzantıları, İndirilenler klasörlerindeki imzasız yürütülebilir dosyalar veya şifreleme özelliğine sahip araçların tümü ciddi riskler oluşturabilir.
Web içeriği filtrelemesi, onaylanmamış bulut araçlarını ve dosya paylaşım platformlarını engellemek için kötü amaçlı alanların ötesine geçmelidir. Gölge BT, veri yönetimi sorunlarının önde gelen kaynağı olmaya devam ediyor.
Yönetilen algılama ve yanıt
Uç Nokta Tespit ve Yanıt (EDR) araçları yalnızca birisinin uyarıları izlemesi durumunda etkilidir. Saldırıları gerçek zamanlı olarak kontrol altına almak için 7/24 Güvenlik Operasyon Merkezi (SOC) veya Yönetilen Tespit ve Yanıt (MDR) sağlayıcısı gereklidir. Etkilenen makinelerin veya kullanıcı hesaplarının hızlı bir şekilde izolasyonu, toplu güvenliğin ihlal edilmesini önleyebilir.
Siber güvenlik pazarı, varsayılan olarak önlemeyi, uygulamalar ve kimlikler üzerinde ayrıntılı kontrolü ve gerçek zamanlı yönetilen tespit ve müdahaleyi vurgulayan bir modele doğru ilerliyor. Açık politikalar, sürekli izleme ve otomatik uygulama sayesinde kuruluşlar, saldırganlar daha yer edinmeden tüm risk kategorilerini ortadan kaldırabilir.