Siber cepheden dersler


Çok az hafta başka bir siber saldırı veya veri ihlali haberi olmadan geçiyor ve BBC haber web sitesinde hızlı bir tarama, çoğu ay içinde ulusal haber manşetlerine çıkan en az bir haber olduğunu gösteriyor. Sadece birkaç yıl önce, birçok siber saldırı halk tarafından fark edilmeyecek ve sessizce halının altına süpürülecek olsa da, ihlalleri bildirmek için yasal gereklilikler ve sosyal medyanın gücü, dünyanın bunları öğrenmesi anlamına geliyor. Çoğu haber gibi, bugünün manşetleri yarının hızlı haberidir, ancak doğrudan dahil olanlar için uzun bir süre yaşarken, geri kalanımız aynı şeylerin tekrar olmasını engellemeyi öğrenmeli ve öğrenmelidir. Aşağıda, suçluların nasıl ortalığı kasıp kavurmayı başardıkları ve nasıl önlenebilecekleri konusunda hızlı bir yenileme için bazı kötü şöhretli siber saldırılardan bir seçki yer almaktadır.

Güneş Rüzgarları

Teknoloji topluluğu dışından çok az insan, siber suçluların SolarWinds’in ağına erişim kazandığı 2019’un sonlarından önce SolarWinds’i duymuştu. Devlet kurumları ve işletmeler tarafından BT kaynaklarını yönetmek için kullanılan bir ağ yönetim sistemi olan Orion Platformuna kötü amaçlı bir kod enjeksiyonunu test etmeden önce, ağ ortamını araştırmak ve dolaşmak için biraz zaman harcadılar. Şubat 2020’de Sunburst olarak bilinen kod serbest bırakıldı ve ertesi ay SolarWinds bilmeden Sunburst kötü amaçlı yazılımını içeren Orion yazılım güncellemelerini gönderdi.

Bu devasa tedarik zinciri saldırısı, 18.000’den fazla kuruluş tarafından kuruldu ve saldırganların SolarWinds’in müşterilerinin BT sistemlerine erişmesini sağladı. Bu noktadan sonra, hedef kuruluşlarda casusluk yapabilmek ve büyük sorunlara neden olabilmek için daha fazla kötü amaçlı yazılım yükleyebildiler. SolarWinds’e göre, saldırı, kurtarma ve ardından gelen serpinti 2021’in ilk dokuz ayında 40 milyon dolara mal olurken, SolarWinds müşterileri genelinde BT karar vericileri arasında yapılan bir anket, saldırının ortalama finansal etkisinin yıllık gelirin %11’i veya yaklaşık 12 dolar olduğunu buldu. şirket başına milyon

Travelex

Aralık 2019’da Travelex döviz şirketi, REvil fidye yazılımı grubu tarafından hedef alındı. Hacker grubu Travelex’in ağını şifreledi ve 5 GB’lık kişisel verilerin kopyalarını çıkardı. Travelex fidyeyi ödemediği takdirde verileri kamuya açıklamakla tehdit etti. Siber suçlular, fidye yazılımlarını başlatmadan önce Tavelex’in ağında pusuya yatmış, yamasız bir VPN (Sanal Özel Ağ) üzerinden erişim kazanmış olabilirler. Travelex’in fidye olarak yaklaşık 2,3 milyon dolar ödediği ve iş kesintisi ile COVID-19 salgınının birleşiminin dünyanın en büyük döviz bürosunu yönetime zorladığı bildirildi.

ekifaks

2017 yılı boyunca iki ay boyunca Amerikan kredi bürosu Equifax, milyonlarca müşteriyle ilgili bilgilerin çalındığı büyük bir veri hırsızlığına maruz kaldı. Şirket başlangıçta bir tüketici şikayeti web portalı aracılığıyla saldırıya uğradı ve siber suçlular, yamalanması gereken, ancak Equifax’ın iç süreçlerindeki başarısızlıklar nedeniyle, yaygın olarak bilinen bir güvenlik açığından yararlandı.

Saldırganlar daha sonra, büyük ölçüde, düz bir metin dosyasında saklanan kullanıcı adlarını ve şifreleri bulabildikleri için, daha sonra erişimlerine izin veren diğer sunuculara geçebildiler. Veriler, büyük veri hareketlerinin tespit edilememesi için uzun bir süre boyunca ağdan çekildi. Toplamda, bilgisayar korsanları, tespit edilmeden önce 76 gün boyunca 48 Equifax sunucusundan 147,7 milyon Amerikalı’nın kişisel bilgilerini çaldı. Bilgiler ayrıca siber suçlular tarafından da şifrelendi, böylece hırsızlığı fark edilmedi.

Veri ihlali kamuya açık hale gelmeden önce 950.000 dolar değerinde şirket hissesi satan CIO’nun hapis cezasından bahsetmiyorum bile. Şubat 2020’de ABD Adalet Bakanlığı, saldırıyı gerçekleştirmekle bağlantılı olarak dört Çinli askeri destekli bilgisayar korsanına karşı suçlamada bulunduğunu duyurdu.

Edward Snowden – içeriden iş

2013’te, şimdilerde adı kötüye çıkmış Edward Snowden, Amerika’nın NSA’sından belgeler çalarak bunları gazetecilere – ve muhtemelen hükümetlere – ABD hükümetinin casusluk aygıtını ifşa etme çabasıyla verdiğini iddia ediyor. Siber firma Venafi’ye göre, bir yönetici olarak Snowden, NSA tarafından tespit edilmeyen dijital sertifikalar ve kriptografik anahtarlar oluşturabildi. Bu anahtarları kullanarak sistemlere erişebildi ve ardından çalmak istediği dosyaları bulabildi.

Sızma için Snowden, verileri şifreli kanallar üzerinden kendinden imzalı sertifikalar kullanarak kendi harici dosya paylaşımına aktardı. NSA söz konusu olduğunda, bu imzalı aktarımlar güvenli ve yetkiliydi ve sorgusuz sualsiz geçişlerine izin veriliyordu. Verileri ağdan çıkarılabilir sürücülere kolayca kopyalayabildi.

NHS 111

En son, Ağustos 2022’de, NHS 111 için dijital hizmetler sağlayan firma olan NHS tedarikçisi Advanced’e yönelik bir siber saldırı, sevk edilen ambulanslar, acil durum reçeteleri ve mesai dışı randevu rezervasyonları dahil olmak üzere hastaları bakıma yönlendirmek için kullanılan sistemi hedef aldı. .

Saldırının, kimlik avının sonucu olduğu düşünülen fidye yazılımından kaynaklandığı bildirildi. Fidye yazılımı yanlışlıkla çalıştırıldığında, arka planda çalışıyor, saldırganlar ağdaki sistemleri devre dışı bırakmadan önce verileri sızdırıyor ve şirketi saldırıya karşı uyarıyor olabilir.

Dersler öğrenildi?

SolarWinds için, Orion gibi yazılımlar birden çok kaynaktan gelen bileşenler kullanılarak oluşturulduğundan, bir Yazılım Malzeme Listesi (SBOM) kullanılmış olmalıdır. Bu, tüm bileşenlerin listelenip kontrol edilebileceği bir yoldur, böylece sahte bileşenler hızlı bir şekilde tanımlanabilir ve kaldırılabilir. Ek olarak, tüm kaynak kodlarını dosya ve kullanıcı bazında şifrelemek, yetkisiz bilgisayar korsanlarının kod dosyalarına erişmesini engellerdi.

Travelex söz konusu olduğunda, VPN’ye yama uygulamak siber suçlular için önemli bir engel olurdu, ancak fidye yazılımı, kimlik avı gibi diğer teknikler kullanılarak kolayca dağıtılabilirdi. Uygulama denetimine yönelik bir ‘izin verilenler listesi’ yaklaşımı, ne kadar iyi gizlenmiş olursa olsun fidye yazılımını engellerdi. İzin verilenler listesini kullanan uygulama denetimi, bir sistemin yalnızca yetkili izin verilenler listesindeki işlemleri çalıştırmasını sağlar. Diğer tüm işlemler engellenir. Bir iş ortamında, bir makinede tam olarak neyin çalışması gerektiğini biliyoruz, bu nedenle bu yaklaşım hem basit hem de oldukça etkilidir. SolarWinds müşterileri için, izin verilenler listesini kullanan uygulama denetiminin devreye alınması, saldırganların her bir müşterinin ağına erişim sağladıktan sonra yükledikleri kötü amaçlı yazılımı çalıştırmasını önleyebilirdi.

Equifax söz konusu olduğunda, tüketici şikayeti web portalı elbette ki yamalanmış olmalı ve hiçbir yönetici veya başka bir kullanıcı, kullanıcı adlarını ve şifrelerini serbestçe erişilebilen bir dosyada saklamamalıdır. Çoğu organizasyonda tüm hataların gerçekleşmesi pek olası olmasa da, hepimiz hata yaparız. Çakışan sistem bağımlılıkları nedeniyle sistemlere her zaman hemen yama uygulanamaz; ve kullanıcılar – ve yöneticiler – bazen beklenmedik şeyler yapar.

Tüm bu örnekler, kapsamlı ağ dışı yedeklemelere ve daha iyi siber güvenlik eğitimine olan ihtiyacı gösterirken, aynı zamanda bir siber suçlunun her zaman ağ erişimi kazanabileceğini her zaman varsaymamız gerektiğini de göstermektedir. Bu nedenle, verilerin kendisini korumak önemlidir. Bu, nerede saklandığına veya kopyalandığına bakılmaksızın tüm verilerin her zaman olduğu anlamına gelir. Tüm verileri her yerde şifrelemek için dosya düzeyinde şifreleme kullanan Equifax veri ihlali, yıllar yerine sadece birkaç gün süren bir hikayeyle sonuçlanabilirdi. Tüm verileri, sızdırıldığında şifreli kalacak şekilde şifrelenmiş olsaydı, saldırganlar terabaytlarca tamamen işe yaramaz veriyi çalmış olurdu.

Aynı yaklaşım Snowden’ı da engelleyebilirdi. Şifreleme sistemi her kullanıcıya benzersiz bir şifreleme anahtarı sağlıyorsa, Snowden işini yapabilir – hatta dosyaları taşıyabilir – ancak şifresini çözemez ve bilgilere tamamen erişemezdi.

20:20 geriye dönüp bakmak harika bir şey ama eğer bu siber saldırılardan bir şey kazanacaksak, onlardan öğrenmemiz ve verilerimizi korumanın yeni yollarına bakmamız ve insanları engellemek için daha fazla savunma katmanı oluşturmaya devam etmemiz gerekiyor. içeri girmekten.



Source link