Bilgisayar korsanlığı kirli bir kelime olabilir. Karanlıkta siyah bir kapüşonlu giymiş, bir klavyenin üzerine eğilmiş, birden fazla ekranın önünde oturan, çevrimiçi olarak masum bir işletmeye veya bireylere saldıran bir kişinin görüntülerini çağrıştırıyor. Kötü fidye yazılımı saldırıları ve Evil Corp gibi isimlerle siber suç çeteleri hakkında otomatik olarak düşünceler üretir.
Ancak siber suçluların bir düşmanı vardır: etik korsanlar. Şirketleri, ihlal edilmeden önce düzeltebilmeleri için zayıflıklarını göstermek için hackliyoruz.
Şirketler, siber saldırıların her yıl %50 arttığının farkında. Siber güvenliğe yapılan organizasyonel harcamaların tüm zamanların en yüksek seviyesinde olmasıyla birlikte, firmalar güvenlik altyapılarına önemli meblağlar harcıyor. Bana sık sık şu soru soruluyor: Siber güvenliğimizin etkin bir şekilde çalıştığını nasıl bilebiliriz?
Şirketlere tavsiyem basit – kırmızı takım oluşturma testine yatırım yapın.
Red teaming, bir kuruluşun güvenliğinin her yönünün etkinliğini test eden çok katmanlı bir siber saldırıyı simüle etme uygulamasıdır. Bir fidye yazılımı saldırısına maruz kaldıktan sonra mali ve itibar açısından zarar görme riskini göze almak yerine, çok geç olmadan ele alınabilmeleri için güvenlik açıklarını ortaya çıkaran bir saldırı simülasyonu yapacak etik korsanlar kiralayın.
“Güvenliğinizin etkinliğini belirlemenin tek gerçek yolu saldırıya uğramak. Red teaming testleri, tıpkı bir siber suçlunun yapacağı gibi, zayıflığı araştırmak için hem sanal hem de fiziksel yöntemler kullanır.
Rob Shapland, Falanks Siber
Revolut’un Eylül 2022’de ihlal edilerek 50.000 müşterinin hassas verilerinin açığa çıkması gibi siber saldırılar, sosyal mühendisliğin ekibe yönelik tehdidini tam olarak saptayabilecek kırmızı bir ekip oluşturma testiyle önlenmiş olabilir.
Bir şirketin adımlarını atması için, siber suç gruplarının şu anda kullandığı aynı taktik, teknik ve prosedürleri kullanarak hem sanal hem de fiziksel sistemlerine yönelik aktif ve proaktif saldırılarla test edilmesi gerekir. Ekibim tipik olarak kırmızı bir ekip oluşturma görevini beş adımda gerçekleştirir:
Her zaman açık kaynak istihbarat toplama (OSINT) ile başlarız. Herhangi bir operasyonun ilk aşamasında olduğu gibi, bir şirketi ve çalışanlarını soruşturarak, yanlışlıkla ortaya çıkan bilgileri toplayarak bir saldırıya başlarız. Bu, kurumsal ve personelin sosyal medya sayfalarına odaklanan çeşitli kaynaklardan gelir. Bunu hem siber hem de fiziksel saldırılarımızı planlamak için kullanırız.
Daha sonra, bir kuruluşa sızmak için potansiyel erişim noktaları olarak, güvenli olmayan bir şekilde yapılandırılmış olabilecek veya çalınan kimlik bilgilerini kullanarak erişebileceğimiz oturum açma sayfalarına sahip olabilecek internete bakan sistemleri belirleriz.
Bu genellikle, birlikte sosyal mühendislik olarak bilinen iki bilgisayar korsanlığı tekniği olan e-posta kimlik avı ve telefonla kimlik avı saldırıları tarafından desteklenir. Telefonla, hassas oturum açma bilgilerini ifşa etmelerini sağlamak için çalışanları ararız. Daha sonra OSINT sırasında toplanan kişisel bilgileri kullanarak, kullanıcı adı ve parola gibi hassas bilgileri ifşa etmeleri için çalışanları kandırmak veya bilgisayarlarına girmemize izin verecek bir eki açmak için kimlik avı e-postaları göndeririz.
Son olarak, ama kesinlikle en az değil, tesislerine fiziksel olarak izinsiz girilmesidir. Siber saldırıların bizzat gerçekleşebileceğini duymak sizi şaşırtabilir. Bu benim uzmanlık alanım. Bunu simüle etmek için, ağını tehlikeye atmak, keylogger cihazları yerleştirmek veya doğrudan işletmenin burnunun dibinden değerli bilgileri çalmak için kuruluşun ofislerine erişmek için çeşitli hileler ve kılık değiştirmeler kullanıyoruz. Falanx Cyber’in ofisinde, bir şirketin güvenliğinin yetkisiz kişilerin binaya girmesine izin verip vermediğini test etmek için kılık değiştirdiğimiz sıradan bir tesisatçıdan postacı üniformasına kadar kostümlerle dolu bir gardırobumuz var.
Tüm bu adımlar, çevreyi aşmamıza ve kuruluşun dahili ağına erişmemize izin vermek için birleşiyor. Başarılı bir rota bulduğumuzda, bir siber suçlunun hedef alacağı hassas verilere erişim elde etmek için ayrıcalıklarımızı artırmaya çalışacağız. Süreç, belirlenen zayıflıkları detaylandıran ve bir kuruluşun savunmasını daha sağlam hale getirmeye yönelik tavsiyeleri içeren stratejik bir raporla son bulur.
Kırmızı ekip oluşturma alıştırmaları, siber suçluların sistemlerinizi ihlal etmek için kullanabilecekleri hemen hemen tüm taktiğe, güvenlik açığına veya giriş noktalarına kapsamlı bir bakış sağlar. Biri olmadan, şirketler sistemlerinin ne kadar güvenli olduğunu asla bilemezler.
Saldırıların neredeyse %90’ı insan hatasından kaynaklanırken, çalışanlarınızın siber savunma yeteneklerini test etmek önemlidir. Ve simüle edilmiş bir sızma testinin aksine, personel, neredeyse bir gizli müşteri gibi, kendilerine karşı kırmızı bir ekip oluşturma görevinin yürütülmekte olduğundan habersizdir. Personelinizin siber güvenlik taahhüdünü adımlarını atarak yeniden canlandırma bonusu ile genel güvenliği iyileştirmenin gerçekten en iyi yoludur.
Bunu duymak rahatsız edici olabilir, ancak güvenliğinizin etkinliğini belirlemenin tek gerçek yolu saldırıya uğramak. Red teaming testleri, tıpkı bir siber suçlunun yapacağı gibi, zayıflığı araştırmak için hem sanal hem de fiziksel yöntemler kullanır. Bilgi Güçtür. Zayıflıklarınızın neler olduğunu öğrenin, böylece onları hafifletmek için savunma ve saldırı korumalarını devreye sokabilirsiniz.