Siber saldırılar giderek daha karmaşık hale geliyor; çünkü kuruluşlar her zamankinden daha fazla birbirine bağlı, tehdit aktörleri daha iyi kaynaklara sahip ve dijital ortamların savunulması daha zor.
Bir saldırıyı önleme ve daha da önemlisi saldırıdan tamamen kurtulma yeteneği artık bir çevreyi korumakla ilgili değil. Bir baş teknoloji sorumlusu için güçlü bir güvenlik programı, dinamik, sürekli ve son derece öngörülemez bir BT risk ortamını yönetmekle ilgilidir.
Karmaşık saldırılar haberler
Bu tür karmaşıklığın 2021’deki Colonial Pipeline saldırısına kadar uzandığını görebiliriz. İhlal, boru hattını yöneten bilgisayarlı ekipmanı etkiledi ve ABD’nin güneydoğusunun büyük bir kısmına petrol ürünlerinin teslimatını aksattı. Bu şüpheli ulus devlet saldırısı, acil bir fidye yazılımı talebinden ziyade keşif ve uzun vadeli erişime odaklandı.
Sömürge Boru Hattı ihlali, saldırganların bir VPN hesabı için ele geçirilmiş bir parola aracılığıyla erişim sağlaması nedeniyle karmaşıktı. Aslında saldırı, endüstriyel kontrol sistemi protokolleri ve SCADA (denetleyici kontrol ve veri toplama) sistemleri hakkında ileri düzeyde bilgi gerektiriyordu.
Hızlı bir şekilde Mayıs 2025’te Alphabet, Rus devleti destekli ColdRiver hack grubunun, Batılı hükümetleri, gazetecileri, düşünce kuruluşlarını ve sivil toplum kuruluşlarını hedef alan casusluk saldırılarında dosyaları ve oturum açma bilgilerini çalmak için yeni LOSTKEYS kötü amaçlı yazılımını kullandığını bildirdiği rapora geçti. LOSTKEYS’in, saldırgana sistem bilgilerini gönderme ve işlemleri çalıştırmanın yanı sıra, sabit kodlanmış bir uzantı ve dizin listesinden dosya çalma yeteneği olduğu kanıtlanmıştır.
Siber tehditlerin karmaşıklığının derinliklerine inen saldırganlar, genellikle kimlik avı, sosyal mühendislik, kötü amaçlı yazılım, yanal hareket, ayrıcalık yükseltme ve veri sızması gibi çeşitli teknikleri farklı sistem ve platformlarda birleştirir. Amaçları, fidye yazılımını başlatmadan önce bile verileri çalıp şifreleyerek tespit edilmekten kaçınmak ve etkiyi en üst düzeye çıkarmaktır.
Tehdit aktörleri ikna edici kimlik avı e-postaları oluşturmak ve güvenlik açıklarını bulmak için yapay zekayı kullandığında, bu onların verimliliğini artırır, saldırıların ölçeklendirilmesine yardımcı olur ve tespit edilmesini zorlaştırır. Günümüzde antivirüs araçlarından kaçmaya uyum sağlayan polimorfik kötü amaçlı yazılımları görmek alışılmadık bir durum değil. Kötü amaçlı yazılımlar genellikle şifreleme, arazide yaşayan ikili dosyalar (LOLBin’ler), dosyasız teknikler kullanır veya yalnızca bellekte çalışır, bu da geleneksel güvenlik araçları tarafından tespit edilme şansını azaltır.
Ulus devlet ve organize suç grupları, özel kötü amaçlı yazılımlar ve derin keşiflerle koordineli, iyi finanse edilen kampanyalar yürütmeye devam ediyor. Taktikleri, mali kazanç elde etmek ve jeopolitik bozulmayı kışkırtmak için casusluk ve sabotaj kullanıyor.
CTO’lar tehdit aktörlerinin taktiklerini geliştirmenin bir adım önünde olmalı
Giderek daha karmaşık hale gelen saldırıları göz önünde bulundurarak, bir CTO’nun mevcut tehdit ortamı, özellikle de köşede olabilecekler hakkında bilgi sahibi olması gerekir. Veri çalmaya ve kritik sistemleri tehlikeye atmaya odaklanan Gelişmiş Kalıcı Tehditler (APT’ler) ve tehdit aktörlerinin hazır saldırı araçlarını satın alabileceği hizmet olarak fidye yazılımı saldırıları giderek daha karmaşık hale geliyor.
Saldırganlar artık birden fazla kuruluşun güvenliğini aynı anda tehlikeye atmak için genellikle üçüncü taraf satıcıları ve yazılım bağımlılıklarını hedef alıyor. Ve artık daha fazlası, kimlik avını ölçeklendirmek, tespitten kaçınmak ve güvenlik açıklarından daha hızlı yararlanmak için yapay zeka ve otomasyonu kullanıyor.
Genişleyen saldırı yüzeyi özellikle aşağıdakileri içeren güvenlik açıklarını artırır:
- Bulut altyapısı. Kuruluşlar buluta geçtikçe yanlış yapılandırmalar, güvenli olmayan API’ler ve hibrit kurulumlar yeni güvenlik açıkları yaratıyor. Bulut altyapısındaki verileri korumak ve kurtarmak da zordur.
- Uzaktan ve hibrit iş gücü. Kişisel cihazların ve kamusal ağların artan kullanımı çevreyi genişletiyor ve geleneksel savunmaları zayıflatıyor. Ev ofisleri ve kişisel cihazlar, tehlikeye atılabilecek olanlar arasında değerlendirilmelidir.
- IoT ve OT cihazları. Bu cihazlar genellikle güçlü güvenlik protokollerine sahip değildir ve bu da onları saldırganlar için ideal giriş noktaları haline getirir.
İnsan faktörü, gelişen sosyal mühendislik taktikleri yoluyla güvenliği karmaşık hale getiriyor. Birçok ihlal hâlâ kimlik avı ve kullanıcı hatasından kaynaklanıyor. Tehdit aktörleri, BT yardım masanızın yanı sıra kullanıcılarınızın da peşine düşer. Bu nedenle sürekli güvenlik farkındalığı eğitimi kritik öneme sahiptir ve bir CTO’nun en önemli sorumluluklarından biridir. Ancak tüm sorumluluğu tek bir çalışana yüklemeyelim.
Elbette yetenekli güvenlik profesyonellerini bulmak ve elde tutmak giderek zorlaşıyor. Bu nedenle, CTO’ların siber güvenlik harcamalarını riske maruz kalma ve iş hedefleriyle uyumlu hale getirmesi, modern araçlara yatırım yapılmasını ve savunmayı güçlendiren iyi niyetli bir sistemi savunması gerekiyor.
Yeniden inceleniyorgeleneksel siber öldürme zinciri
Geleneksel siber öldürme zinciri (MITRE ATT&CK, NIST, CIS), siber saldırılarda yer alan gelişmiş taktiklerin, keşiften sızmaya kadar öngörülebilir aşamaların bir dizisi olarak çerçevelenmesinde etkili olmuştur. Ancak günümüzün tehdit ortamında birkaç önemli açıdan yetersiz kalıyor:
- Doğrusal, Statik Model. Modern saldırılar dinamik, yinelemeli ve doğrusal değildir.
- Çevre Savunmasına Odaklanma. İlk erişimi engellemeye yoğun bir şekilde odaklanmak, tehdit aktörlerinin çevre savunmasını atlamasına olanak tanır. Odak noktası direnç yerine iyileşme olmalıdır. Ancak kuruluşlar iyileşme yerine direnişe öncelik verme hatasına düşüyor.
- Sömürü Sonrası Odaklanma Eksikliği. Modern saldırılar, ağlar arasında dönerken gizli erişimi sürdürerek istismar sonrasında da devam eder ve uyarlanır.
- Tek Vektör Saldırılarını Varsayalım. Saldırganlar çok vektörlü saldırılar (ör. kimlik avı, yatay hareket ve ayrıcalık yükseltme) kullanıyor.
- İçeriden Gelen Tehditleri Göz Ardı Ediyor. Güvenlik ekipleri dış düşmanlara odaklanır. Ancak tehdit aktörleri genellikle içeriden biri gibi görünerek hassas kontrollere ve giriş noktalarına erişim sağlar. BT personelinizden biri tehdit oluşturabiliyorsa, bir tehdit aktörü de oluşturabilir.
- Ortak Bulut ve Hibrit Ortamlara Yönelik Başarısızlık. Öldürme zinciri şirket içi ortam için tasarlandı. Modern saldırılar, farklı tespit ve müdahale stratejileri gerektiren bulut, SaaS ve hibrit altyapıları hedef alır.
- Savunma Kaçınma Tekniklerini Anlamak. Varsayım, tespitin erken aşamalarda gerçekleştiği yönündedir ancak gerçekte saldırganlar, sistemlere ve verilere erişmek için VPN, Citrix, Horizon, TeamViewer, Quick Assist, ScreenConnect vb. gibi “kullanıcı” ve ticari olarak mevcut yöntemleri kullanır.
- Yanal Hareketi Yönetememe. İhlal sonrası ağ içindeki harekete minimum düzeyde odaklanma, saldırganların kimlik bilgisi toplama, karma geçişi ve kerberoasting (Active Directory hesabının parola karmasını elde etme tekniği) olanaklarından yararlanmasına olanak tanır.
- Gecikmeli Tespit ve Yanıt. Zinciri bozma taktiklerini öldürme, önleme ve tespite öncelik verir. Ancak ihlal varsayımı, bozulmanın birincil aracı olarak iyileşmeye odaklanır.
- Hedefli Saldırıları ve APT’leri Iskalıyor. Tahmin edilebilir modellere sahip kitlesel ölçekli saldırıların varsayılması, hedef ortamlara göre özelleştirilmiş saldırıların daha uzun süre tespit edilmemesine olanak tanır.
Kuruluşunuz haklı olarak bir ihlalin meydana gelebileceğini varsayarsa, modern bir savunma mantıksal olarak ters yönde çözümleyerek saldırı yolunu varlıklardan geriye doğru haritalandırır. Bu nedenle, en karmaşık saldırıları simüle etmek için sürekli olarak masa üstü alıştırmalar yaparken, yalnızca uygun olanı değil, en önemli olanı savunun.
Verileri korumak en iyi savunmanızdır
Hiçbir siber savunma programının mükemmel olmadığını unutmamak önemlidir. Değişmez veri yedekleme teknolojisinin uygun şekilde düzenlenmesi olmadan bir kuruluş, önemli düzeyde operasyonel kesinti, mali kayıp, BT sistemlerinde kalıcı hasar ve itibar kaybı riskiyle karşı karşıya kalır. Değiştirilemezlik, bir ihlal meydana gelmesi durumunda bilgilerinizin tamamen kurtarılabileceği anlamına gelir. Bir siber saldırıyı her zaman önleyemeseniz de, taktikleri ne kadar karmaşık olursa olsun, düşmanlarınızın dokunamayacağı birden fazla yedeklemeyi dağıtarak kurtarma işleminizi garanti altına alabilirsiniz.
Etkili bir CTO, siber risk stratejisti, teknoloji sağlayıcı ve değişim temsilcisi olarak hareket eden kişidir. Bir CTO, güvenliğin işin her katmanına dahil edilmesini sağlamalıdır. Bu, yalnızca en yeni araçları satın alıp hepsinin birlikte iyi çalışmasını ummak değil, dayanıklı, uyarlanabilir ve güvenlik bilincine sahip bir kuruluş oluşturmakla ilgilidir.
Yazar Hakkında
Brandon Williams, dünyanın ilk sivil siber güvenlik gücü ve sektör lideri fidye yazılımı restorasyon ve kurtarma şirketi olan Chattanooga, Tennessee merkezli Fenix24’ün Teknolojiden Sorumlu Başkanıdır. Brandon’ın ağ oluşturma, altyapı tasarımı, uygulama ve güvenlik konularında 20 yılı aşkın deneyimi vardır. En ödüllendirici deneyimlerin teknolojiyi güvenlikle harmanlamak, işletmeye dayanıklılık sağlarken mükemmel kullanıcı deneyimini sürdürmek olduğunu düşünüyor.
Brandon’a LinkedIn ve Fenix24’ün şirket web sitesinden ulaşılabilir.