Yaza ve daha güneşli hava vaadine doğru ilerlerken, siber güvenlik sektörünün son zamanlarda güneşten çok yağmur gördüğünü belirtmekte fayda var. Microsoft’un e-posta ihlalinin ardından ifşa olan e-postalardan, MOVEit saldırısının bir parçası olarak çalınan kişisel verilere kadar, bir dizi yüksek profilli ihlalin iş dünyası ve insanların günlük yaşamları üzerinde sert bir etkisi oldu. Düzenleyiciler, SEC’nin artık güvenlik olaylarının suçunu CISO’ların üzerine atmasıyla, gereklilikleri ve yaptırımları konusunda hayal kırıklığına uğradı ve daha katı hale geldi. Bu, zaten yüksek riskli bir oyunun risklerini artırıyor ve siber güvenlik sektörü bu yolda devam ederse, fırtına devam edecek.
En etkili son saldırıların analizi, ihlallerin – büyük ölçüde – üç ayrı kategoriye girdiğini gösteriyor. İyi kaynaklara sahip rakipler tarafından yürütülen gerçekten karmaşık saldırılar var – oldukça yerleşik gruplar veya devlet destekli saldırganlar. Sonra, teknik beceri gerektiren ancak aynı karmaşıklık seviyesinde çalışmayan ve daha az hedefli olma eğiliminde olan endüstriyel saldırılar var. Son olarak, genellikle otomatik olan ve giriş için düşük bir çıtaya sahip olan fırsatçı saldırılar var.
Üçünün de kendine özgü karmaşıklıkları var ve bunlara karşı savunma yöntemleri değişse de ortak bir tema var: doğru kontrollerin yerinde olduğundan ve etkili bir şekilde konuşlandırıldığından emin olmak. Bu iki bölümlük serinin ilkinde, bir sonraki bölümde endüstriyel ve fırsatçı saldırılara geçmeden önce, karmaşık saldırılara odaklanacağım.
Gelişmiş saldırı siklonu
Karmaşık saldırılar, düzeltilmesi en zor olanlardır ve genellikle daha geniş ve daha uzun süreli bir etkiye sahiptir. Temmuz 2023’teki Microsoft e-posta saldırısı bunun başlıca örneğidir. Son birkaç ayın en inatçı saldırılarından biriydi ve nihayetinde saldırganın Microsoft 365’te barındırılan hemen hemen her e-postaya erişmesine izin verdi. Buna küresel olarak birçok hükümet ve savunma bakanlığı ile hem büyük hem de küçük özel işletmeler dahildi.
Bu durumda, devlet destekli tehdit aktörleri, geleneksel Taktikler, Teknikler ve Prosedürler (TTP’ler) ile karıştırılmış istisnai tekniklerin bir karışımını kullanarak sorumluydu. Microsoft’un itibarına göre, saldırı hakkında başlangıçta açıktı, hatta nasıl gerçekleştiğini ayrıntılı olarak açıkladı, 2021’e kadar uzanan birden fazla başarısızlık noktasına ışık tuttu. O zamandan beri bu blogu güncelledimorijinal hipotezinden geri adım atıyor, ancak yine de sebep olarak operasyonel sorunları gösteriyor.
Orijinal blog, saldırganlara ön kapıyı sonuna kadar açık bırakan hem teknoloji hem de operasyonlarda birden fazla başarısızlık noktasına işaret etti. Bu, saldırının küresel önemi nedeniyle yürütülen ABD İç Güvenlik Bakanlığı Siber Güvenlik İnceleme Kurulu’nun (CSRB) olayla ilgili incelemesiyle doğrulandı. Açık olan şey, bu yıkıcı saldırının etkisini sınırlamak veya hatta durdurmak için kesintiye uğratılabileceği birden fazla aşama olduğudur.
Ancak saldırı, hiç kimsenin siber suçlara karşı bağışık olmadığını ve kararlı, iyi kaynaklara sahip bir saldırganın, güvenlikleriyle övünen en büyük kuruluşları bile tehlikeye atabileceğini gösteriyor.
Fırtınadan korunmak
Ancak, karmaşık saldırılarla bile, kuruluşlar sıfır güven stratejisini sağlayarak kendilerini güvence altına almak için adımlar atabilirler. Ancak sıfır güvene ulaşmak zordur ve kuruluşun sahip olduğu her bir bireye ve her bir cihaza, uygulamaya ve veri parçasına uygulandığında bunaltıcı olabilir. Bu nedenle kuruluşlar, sıfır güven girişimlerinden en çok faydalanacak sistemlere öncelik vermelidir.
Hangi kaynakların ve hangi kullanıcıların iş için kritik olduğunu anlamak, güvenlik ekiplerinin sıfır güven girişimlerini devreye sokmaya çalışırken gerçekçi hedefler ve sonuçlar belirlemesini sağlayacaktır. Örneğin, sıfır güven, personel kantininde menü seçeneklerini görüntüleyen makine için bir öncelik olmayabilir. Ancak, iş açısından kritik verilere erişimi olan ayrıcalıklı kullanıcıların işlerini yapmaya devam edebilmelerini sağlamak için bir öncelik olacaktır.
Kuruluşların ilk hedefi, manzaralarını, kullanıcıların bununla nasıl etkileşime girdiğini ve en büyük risklerin nerede olduğunu tam olarak anlamak için verilere sahip olduklarından emin olmak olmalıdır. Bununla donanmış olarak, sıfır güven stratejisini uygulamaya koymak için ölçülebilir hedefler oluşturabilir, en çok ihtiyaç duyulan yerden başlayarak başarıyı gösterebilir ve ardından girişimi genişletebilirler.
Kötü hava koşulları geliyor
Bu karmaşık saldırılar, bunları başlatmak için gereken beceriler nedeniyle en nadir olanlar olsa da, genellikle en yıkıcı ve savunması en zor olanlardır. Ancak kuruluşlar – özellikle işletmeler – her üç saldırı türüne karşı hazırlıklı olmalıdır, çünkü hepsiyle karşılaşma olasılıkları yüksektir. Bir sonraki yazıda, daha düzenli olarak gerçekleşen ancak aynı derecede etkili olan insan tarafından gerçekleştirilen ve fırsatçı saldırıları ve bunlara karşı nasıl savunma yapılacağını ele alacağım.
yazar hakkında
Güvenlik Ürün Uzmanı Nick Lines, Panaseer’in benzersiz değerini savunuyor ve siber güvenlikteki en büyük zorlukları çözmeye yardımcı olduklarından emin oluyor. Geliştirici, teknik satış ve teklif yönetimi gibi rollerde çok uluslu sistem entegratörleri ve danışmanlık şirketlerinde çalıştı ve daha önce Microsoft’ta on yıl geçirdi. Nick’e LinkedIn’den ve şirket web sitemiz https://panaseer.com/ adresinden çevrimiçi olarak ulaşılabilir.