Bu yardımda net güvenlik röportajında, BlackBerry’deki danışmanlık Ciso başkan yardımcısı Gregory Richardson, iletişim ağları için artan risklerden bahsediyor. Saldırganların neden bu ağlara odaklandığını ve motivasyonlarının kurumsal casusluktan jeopolitik etkiye kadar nasıl değiştiğini açıklıyor. Tartışma ayrıca ağları güvence altına almanın ve güvenilir iletişimi sürdürmenin pratik yollarını da kapsamaktadır.
Hangi tür iletişim ağları saldırganlar için en caziptir ve bu saldırıları yönlendiren birincil motivasyonlar, jeopolitik etki, kurumsal casusluk veya finansal kazanç gibi?
Gelişmiş tehdit aktörleri için en çekici hedefler, uç nokta cihazları veya tek tek sunucular değil, her şeyi birbirine bağlayan temel iletişim ağlarıdır. Buna telekomünikasyon sağlayıcıları, ISS’ler ve internetin omurgasını oluşturan yönlendirme altyapısı dahildir. Bu ağlar “hedef açısından zengin bir ortamdır” çünkü tek bir giriş noktasını tehlikeye atmak, çok sayıda aşağı akış hedefinden çok miktarda veriye erişim sağlayabilir.
Birincil motivasyon ezici bir çoğunlukla jeopolitiktir. Tuz tayfun kampanyasının arkasındaki ve kurumsal casusluğun ötesinde daha stratejik, uzun vadeli bir istihbarat toplama misyonuna geçiş gibi ulus-devlet aktörlerinin bir trendini görüyoruz. Amaçları bireyler ve kuruluşlar için kapsamlı profiller oluşturmaktır. Telekom ağlarından ödün vererek, çeşitli hain amaçlar için kullanılabilecek abone kayıtları, çağrı verileri ve hatta ağ diyagramları dahil olmak üzere çok miktarda veriyi izleme ve toplama olanağı kazanırlar. Bu veriler sadece tek bir amaç için kullanılmaz, önümüzdeki yıllarda kullanılabilecek dinamik bir varlıktır.
Temel motivasyon genellikle stratejik casusluk olmakla birlikte, bu veriler diğer ceza grupları tarafından finansal kazanç için satılabilir veya kullanılabilir. Örneğin, bir askeri yetkilinin hareketlerini izlemek için kullanılan aynı meta veriler, karaborsada hedeflenen bir gasp şeması yapmak isteyen bir suç işletmesine satılabilir. Tehdit modeli, bir kerelik bir ihlalden, verilerin sürekli olarak toplandığı ve silahlandırıldığı sürekli bir gözetim durumuna kaymıştır.
Tehdit aktörlerinin casusluk için yasal kesişme sistemlerini veya dahili ağ izleme araçlarını nasıl kullandıkları konusunda herhangi bir fikir paylaşabilir misiniz?
Bu, bu saldırıların en ilgili ve sofistike yönlerinden biridir ve düşman taktiklerinde temel bir değişimden bahseder. Kendi kötü niyetli araçlarını bir ağa getirmek yerine, tehdit aktörleri giderek daha gizli bir yaklaşım seçiyorlar: topraktan yaşamak. Bir ağın kendi araçları ona karşı silahlandırılabildiğinde tekerleği yeniden keşfetmeleri gerekmez.
Salt Typhoon kampanyasında, saldırganların bir ağın yerel yeteneklerini birlikte seçtiği ve kötüye kullandığına dair kanıtlar gördük. Bu, hassas kimlik doğrulama trafiğini toplamak için ağ cihazlarında yerleşik paket yakalama (PCAP) araçlarını kullanmayı içerir. Bu trafiği pasif olarak izleyerek, bir ağı yönetmek için kullanılan TACACS+ ve RADIUS gibi protokollerden kimlik bilgilerini çalabilirler. Bu yönetici kimlik bilgilerine sahip olduktan sonra, ağ boyunca yanal olarak hareket etmek ve diğer cihazlara erişmek için carte blanche var.
Belki de en endişe verici, yasal kesişme sistemlerinin sömürülmesidir. Bunlar, hükümetlerin iletişimi uygun yetkilendirme ile izlemek için kullandıkları yasal telekleme sistemleridir. Tehdit aktörleri, çağrı ve mesajların içeriği de dahil olmak üzere son derece hassas iletişimlere büyük ölçekte erişmek için bu sistemleri tehlikeye atıyor. Bu basit meta verilerin çok ötesine geçer ve cesur, “Kaynak için git” stratejisi gösterir. Kuruluşlar, oldukça ayrıcalıklı sistemler de dahil olmak üzere ağlarının her bileşenine potansiyel bir hedef olarak davranmalıdır.
Endüstri için uyarı işaretleri olarak öne çıkan yeni olaylar veya eğilimler oldu mu?
Son iki eğilim özellikle anlatıyor ve büyük uyarı işaretleri olarak hizmet ediyor. Birincisi, bu saldırıların ölçeği ve kalıcılığıdır. Örneğin tuz tayfun kampanyası en az altı yıldır devam ediyor ve yakın zamana kadar gizli kalıyor. Bu tek bir güvenlik açığı ile ilgili değil, saldırganların kritik altyapıda önemli bir dayanağı olduğunu gösteren uzun vadeli, oyuk bir çabayla ilgili. Son FBI, kampanyanın en az 200 ABD şirketini ve 80’den fazla ülkeyi etkilediğini tespit ediyor, bunun sadece bölgesel bir konu değil, küresel bir sorun olduğunu vurguluyor.
İkinci eğilim, AI ile çalışan sosyal mühendislik ile teknik istismarların kaynaşmasıdır. Bunu son zamanlarda büyük bir teknoloji şirketinden bir kamu güvenlik uyarısı ile gördük. Saldırganlar, üçüncü taraf bir ihlalden çalıntı meta verileri inanılmaz derecede ikna edici kimlik avı ve av (sesli kimlik avı) saldırıları yapmak için kullandılar. BT destek personelini taklit ettiler ve çalışanları kimlik bilgilerini teslim etmeye yönlendirmek için çalıntı bilgileri kullandılar. Çalınan verilerin AI tarafından üretilen derin yapraklar ve klonlanmış sesler oluşturmak için kullanıldığı bu yeni yaklaşım bir oyun değiştiricidir.
Yapay zeka ile çalışan pazarlamada bu teknolojinin ana akım etkisini zaten görüyoruz. Pazarlama ekipleri benzer AI özelliklerini kullanır, veri analizini yüksek derecede uyarlanmış içerik ve kişiselleştirilmiş kampanyalar oluşturmak için üretken AI ile birleştirir. Reklamcılık için kullanılan aynı teknoloji artık siber saldırılar için kullanılıyor. Bu, tehdidin ağ çevresinin ötesine geçtiği ve şimdi insan psikolojisini hedeflediği ve sadece teknik önlemlerle savunmayı inanılmaz derecede zorlaştırdığı anlamına geliyor.
Uluslararası politika ve düzenlemeler, iletişim ağlarını casusluğa karşı güvence altına alma şeklimizi nasıl etkiler?
Uluslararası politikaların ve düzenlemelerin iletişim güvenliği üzerinde önemli bir etkisi vardır, ancak genellikle teknolojik değişim ve gelişen tehditlerin hızının gerisinde kalırlar. Son Avustralya hükümeti derin dişleri yasaklamak ve hükümet cihazlarında belirli başvuruların kullanımını kısıtlamak için harekete geçiyor. Bu politikalar iyi niyetli olsa da, daha önce kök salmış bir soruna reaktif bir yanıttır.
Önemli bir zorluk, standart bir küresel yaklaşımın olmamasıdır. Veri tutma, gizlilik ve olay raporlaması konusundaki farklı düzenlemeler, tehdit aktörlerinin kolayca yararlanabileceği güvenlik gereksinimlerinin bir patchwork oluşturabilir. Küresel bir casusluk kampanyası için, bir ülkenin düzenleyici çerçevesindeki zayıf bir bağlantı, tüm uluslararası bir iletişim zincirini tehlikeye atabilir.
Uluslararası politikanın amacı, zorunlu olay raporlamasını, bilinen güvenlik açıklarını yamaya yönelik birleşik bir yaklaşım ve kolektif bir savunma oluşturmaya odaklanmak gibi bir güvenlik temelini oluşturmak olmalıdır. Bir ülkenin iletişim altyapısı tehlikeye atıldığında, müttefiklerinin güvenliğini doğrudan etkileyebilir ve uyumlu, proaktif bir düzenleyici çerçeve çağırabilir.
Cisos ve telekom güvenlik liderleri gelecekteki tehditlere karşı esneklik oluşturmak için ne gibi önemli adımlar atmalıdır?
Dayanıklılık oluşturmak, çevre savunmasından uzlaşmaya kadar zihniyette temel bir değişim gerektirir. Güvenlik liderleri, ağlarının bir kısmının zaten tehlikeye atılabileceği varsayımı altında çalışmalıdır. Bu, kontrol ve görünürlük üzerine odaklanan çok katmanlı bir savunma stratejisine yol açar.
1. Uygulama katmanı güvenliğine öncelik verin: Ağ sertleştirme kritik olmakla birlikte, güvenlik liderleri uygulama katmanındaki uçtan uca şifreli iletişimlere yatırım yapmalıdır. Bu son savunma hattı. Bir ağ cihazı tehlikeye atılsa bile, E2EE verilerin kendisinin okunamaz kalmasını sağlar. Bu, kuruluşlara ve çalışanlarına verileri üzerinde daha fazla kontrol sağlamak için çok önemli bir adımdır ve özellikle güvenilmeyen ağlarda bulunan mobil cihazlar için özellikle önemlidir.
2. Kimlik Hijyeni’ne odaklanın: Saldırganlar özellikle kimlik bilgilerini hedefliyor. Güvenlik liderleri basit şifrelerin ötesine geçmeli ve sıfır tröst modeli uygulamalıdır. Bu, MFA’nın dağıtılmasını ve kimlik avı ve diğer sosyal mühendislik saldırılarına dirençli olan passeyler gibi şifresiz kimlik doğrulama teknolojilerinin benimsenmesini içerir.
3. Ağ Çekirdeğini sertleştirin: Bu saldırıların birçoğu, ağ cihazlarında görülmemiş, halka açık olmayan güvenlik açıklarından yararlanarak başarılı olmaktadır. CISOS’un tüm temel yönlendirme ve altyapı ekipmanları için titiz bir yama ve güvenlik açığı yönetimi süreci oluşturması gerekir. Ayrıca, bunlar genellikle faaliyetlerini gizlemek isteyen saldırganlar için bir giriş noktası olarak hizmet ettiği için kullanılmayan tüm limanları ve hizmetleri devre dışı bırakmalıdırlar.
4. İnsan Güvenlik Duvarı Eğitimine Yatırım: Tek başına teknik çözümler yeterli değildir. Güvenlik liderleri, sofistike sosyal mühendislik taktiklerini tanımak ve raporlamak için çalışanlarını eğitmelidir. Çalışanlar genellikle ilk savunma hattıdır ve bunları AI tarafından üretilen derin dişler, kimlik avı e-postaları ve vishing çağrıları tanımlamak için eğitmek, bu saldırıları bir dayanak kazanmadan önce durdurmak için kritik öneme sahiptir.
Bu adımları atarak, güvenlik liderleri iletişim ve verileri çeşitli tehditlerden koruyan daha esnek bir altyapı oluşturabilirler.