Bu serinin ilk bölümünde, karmaşık siber saldırıları ele aldım, bir örneği analiz ettim ve böyle bir saldırıya karşı nasıl önlem alınacağına dair tavsiyelerde bulundum. Ancak siber güvenlik fırtınası burada bitmiyor.
Karmaşık saldırılar savunması en zor olanlar olsa da, aynı zamanda en nadir olanlardır ve genellikle devlet destekli rakipler veya köklü siber suç gruplarıyla sınırlı bir beceri ve bilgi seviyesi gerektirirler. Giriş için daha düşük bir bara sahip oldukları için, gördüğümüz saldırıların çoğu insan tarafından yönetilen endüstriyel ve fırsatçı saldırılar kategorilerine girer – bunlar genellikle otomatiktir. Ancak bu onları daha az tehlikeli yapmaz ve genellikle uzun, yıkıcı arka rüzgarlara sahiptirler. Ancak araştırmalar, saldırıların %98’inin temel siber hijyenle önlenebileceğini gösteriyor ve bu ikinci bölümde bunun hem endüstriyel hem de fırsatçı saldırılar için nasıl geçerli olduğunu göstereceğim.
Endüstriyel saldırı baskınları
Endüstriyel saldırılar insanlar tarafından gerçekleştirilir ve belirli düzeyde teknik beceri gerektirir. Ancak ilk istismar veya kalıcı etki, zayıf siber hijyen nedeniyle daha da kötüleşir. Son birkaç ayda bu tür saldırılara dair birden fazla örnek var, ancak en büyüğü Haziran 2023’teki MOVEit saldırısıydı. Son sayıma göre, saldırı yaklaşık 2.800 kuruluşu ve neredeyse 95 milyon kişiyi etkiledi. Ne yazık ki, eğitim ve sağlık kurumları en çok etkilenenler oldu.
Asıl faili, MOVEit içinde bir SQL enjeksiyon açığını endüstrileştirerek fidye yazılımlarını yaygın bir şekilde dağıtan kötü şöhretli Cl0p siber suç çetesiydi. Saldırı o kadar zararlıydı ki SEC şu anda MOVEit’in üreticisi olan Progress Software’i araştırıyor. Ancak MOVEit’in ilk ihlali saldırganların inatçı bir insan çabası olsa da, kuruluşlar neredeyse bir yıl sonra bile hala kurbanı oluyor. Bu, MOVEit’e yama uygulayarak önlenebilirdi.
Son zamanlardaki bir diğer endüstriyel saldırı ise Ekim 2023’teki Okta destek sistemi ihlalidir. Bu, yüksek beceri gerektiren bir istismardan ziyade çalınan kimlik bilgileri nedeniyle meydana geldi. Destek sistemine yapılan ilk saldırı zararsız görünse de, Okta’nın 90 gün boyunca müşterilerine güncelleme yayınlamasını engelledi. Buradaki ders, her sistemin – ne kadar önemsiz olursa olsun – bir giriş noktası olarak değerlendirilmesi ve sızmayı önlemek için doğru kontrollerin yerinde olması gerektiğidir.
Fırsatçı taşma
Son saldırı türü fırsatçıdır. Bu saldırılar kolay hedefleri hedefler ve yürütülmesi en kolay olanlardır, genellikle yıllardır var olan güvenlik açıklarının otomatik saldırganlar tarafından istismar edilmesine dayanır. Log4J fırsatçı saldırının başlıca örneğidir. 2021’in sonlarında açıklanan güvenlik açığı, açık kaynaklı bir günlük kaydı kütüphanesi olan Log4J’nin her türden kuruluşta yaygın olarak kullanılması nedeniyle çok zararlıydı. Kurumsal bulut ortamlarının %93’ünün etkilendiği tahmin ediliyor.
Bilinen güvenlik açıklarını kontrol etmek, kod tabanınızda nerede olduklarını bilmek ve bunları ele almak Log4J güvenlik açığını tarihin sayfalarına hapseder. Ancak, istismar keşfedildikten iki yıl sonra, Aralık 2023 kadar yakın bir tarihte bile uygulamaların üçte biri hala Log4J’nin yamalanmamış ve dolayısıyla güvenlik açığı olan bir sürümünü kullanıyordu.
Benzer şekilde, Microsoft Exchange, İngiltere Seçim Komisyonu’nun Ağustos 2023’te maliyetini ödeyerek bulduğu üzere, otomatik saldırılar için zengin bir kaynak olmaya devam ediyor. ShadowServer panosundan alınan veriler, muhtemelen kritik güvenlik açıklarına sahip 88.000’den fazla halka açık Exchange sunucusunun olduğunu gösteriyor. Bazıları hafifletilmiş olabilir, ancak yamalarla güncel kalmanın bu güvenlik açıklarını giderebileceğini düşündüğünüzde, korkutucu bir rakam.
Sağanak yağmuru bir damlaya dönüştürmek
Saldırganların en kolay hedefleri seçme eğiliminde olması nedeniyle, güvenlik temellerine, daha iyi siber hijyene ve doğru kontrollerin ve politikaların uygulanmasına odaklanmak, hemen hemen tüm endüstriyel ve fırsatçı saldırıların önlenmesine yardımcı olacaktır.
Yine de, politikalara ve kontrollere sahip olmak savaşın sadece yarısıdır. Değişen, gelişen BT manzarası güvenliği hareketli bir hedef haline getirir. Kuruluşların, kontrollerin nerede ve nasıl uygulandığına dair tam ve sürekli görünürlüğe, bunların olması gerektiği gibi çalışıp çalışmadığını belirlemek ve olası kapsam boşluklarını kapatmak için ihtiyaçları vardır.
Kuruluşlar çoğu zaman eksik, bölümlere ayrılmış ve hatta çelişkili bilgilere güvenmektedir. Güvenlik araçları güvenilmez tanıklar olabilir; yalnızca tek başlarına görebildikleri şeyleri bildirirler, tüm resmi değil. Bu, çelişkili raporlara yol açar ve keşfedilmemiş güvenlik açıklarının ve tehditlerin sisin içinde saklanmasına izin verir. Aşırı çalışmış ve stresli güvenlik ekipleri verilerde boğulmaktadır ancak değişimi yönlendirebilecek içgörülerden yoksundurlar.
Bu sorunların üstesinden gelmek büyük veri zorluğudur. CISO’ların, kapsam boşlukları ve gerçek kontrol durumları üzerinde tam görünürlük sağlayan güvenebilecekleri doğrulanmış bir kayıt sistemine ihtiyaçları vardır. Güvenilir veriler, işletmelerin riskleri iş bağlamında değerlendirmelerine olanak tanır. Bu, güvenlik ekiplerinin raporlama, dünün sorunlarını düzeltme veya kök nedenleri çözmek yerine sadece tehlike göstergeleriyle ilgilenme gibi yanlış şeylere odaklanmak yerine, bunları azaltmak için yüksek riskli sorunları belirlemelerini ve bunlar üzerinde işlem yapmalarını sağlar.
Birçok saldırının temel nedeni olduğu için, örnek olarak yamalamayı ele alalım. Ağınızdaki her bir varlığın güncellendiğinden emin olmak zorlu bir görevdir. Ancak hangi makinelerin en büyük riski temsil ettiğini gösteren doğru bağlamsal verilerle, güvenlik ekipleri öncelikle en yüksek öncelikli varlıklara odaklanabilir. Bu hedefli yaklaşım, risk maruziyetini önemli ölçüde azaltacak ve aşırı çalışan güvenlik uygulayıcılarının verimliliğini artıracaktır.
Önümüzde daha parlak gökyüzü var
Karmaşık, endüstriyel ve fırsatçı saldırıların hepsi birbirinden farklıdır ve düzeltme taktikleri sıfır güveni sağlamaktan yama yapmaya kadar çeşitlilik gösterir. Ancak her birine karşı savunma yaklaşımında dokunmuş bir anahtar konu vardır: veri. Bu olmadan, güvenlik liderleri ve ekipleri karanlıkta kalır, hangi varlıkların kritik olduğunu ve acil ilgi gerektirdiğini ve hangilerinin şimdilik önceliklendirilebileceğini bilemezler.
Parmaklarının ucundaki verilerin gücünden yararlanabilen kuruluşlar, siber saldırı fırtınasını atlatmak için iyi donanımlı olacaklardır. Bu paha biçilmez kaynağı görmezden gelmeye devam edenler ise hiç bitmeyen saldırı sağanağının içinde kalmaya devam edeceklerdir.
Yazar Hakkında
Güvenlik Ürün Uzmanı Nick Lines, Panaseer’in benzersiz değerini savunuyor ve siber güvenlikteki en büyük zorlukları çözmeye yardımcı olduklarından emin oluyor. Geliştirici, teknik satış ve teklif yönetimi gibi rollerde çok uluslu sistem entegratörleri ve danışmanlık şirketlerinde çalıştı ve daha önce Microsoft’ta on yıl geçirdi. Nick’e LinkedIn’den ve şirket web sitemiz https://panaseer.com/ adresinden çevrimiçi olarak ulaşılabilir.