Bu Help Net Security röportajında, BlackBerry Tehdit Araştırma ve İstihbarat Başkan Yardımcısı Ismael Valenzuela, jeopolitik gerilimlerin siber saldırıların sıklığı ve karmaşıklığı üzerindeki etkisini tartışıyor. Ulus devletlerin ve siyasi motivasyona sahip grupların stratejik avantajlar için huzursuzluktan nasıl yararlandığını açıklıyor, son çatışmalara ve bunların siber sonuçlarına örnekler veriyor.
Jeopolitik gerilimler siber saldırıların sıklığını ve karmaşıklığını doğrudan nasıl etkiliyor? Ulus devletlerin ya da siyasi motivasyonlu grupların bu huzursuzluktan nasıl yararlandığına dair örnekler verebilir misiniz?
Ulus devletler ve siyasi motivasyona sahip gruplar stratejik avantaj elde etmek için huzursuzluktan yararlanmaya çalıştıklarından, jeopolitik gerilimler siber saldırıların sıklığını doğrudan etkileyebilir. Jeopolitik istikrarsızlık ciddi siber saldırı olasılığını artırır ve geleneksel savaşlardan farklı olarak siber güvenliğin fiziksel sınırları yoktur; bu da dünyanın bir yerindeki istikrarsızlığın tamamen farklı bölgelerde siber tehditlere ve sonuçlara yol açabileceği anlamına gelir.
Bu saldırıların karmaşıklığı her zaman artmasa da saldırganlar sıklıkla hükümetler, diplomatik kuruluşlar, kritik altyapı, savunma sektörleri veya diğer kilit alanlar gibi yüksek değerli veya stratejik açıdan önemli hedeflere odaklanır. Bu hedefler değerli istihbarat sağlayabilir veya kilit operasyonları aksatarak jeopolitik gerilimlere karşı taktiksel bir avantaj sağlayabilir. Ek olarak, bu yüksek değerli hedeflerin tedarik zincirlerinde yer alan kuruluşların da risk altında olması, her kuruluşun tehdit modellemesinin bir parçası olarak jeopolitik risklerin izlenmesinin önemini vurgulamaktadır.
Ulus devletlerin ve siyasi motivasyona sahip grupların, stratejik hedeflerine ulaşmak için siyasi huzursuzluktan nasıl yararlandığına dair çok sayıda örnek gördük. Öne çıkan bir örnek, Rusya’nın Ukrayna’nın toprak işgali sırasında siber silah kullanmasıdır. Devam eden bu çatışma, siber uzayın artık yerleşik ve hızla gelişen bir savaş alanı olduğunu vurgulayarak, jeopolitik gerilimlerin nasıl karmaşık ve hedefe yönelik siber kampanyaları yönlendirebileceğini gösterdi.
Bir başka ilgi çekici örnek ise Güney Çin Denizi’ndeki toprak anlaşmazlıkları ve Çin’in stratejik avantaj elde etmek için siber yeteneklerini kullandığı Myanmar’da devam eden iç çatışmadır. Benzer şekilde, Hindistan ile Pakistan arasında Keşmir bölgesi konusunda uzun süredir devam eden çatışma, her iki tarafın da siber operasyonlarına yol açtı. Bu bağlamlarda siber operasyonlar istihbarat toplamak, gözetleme yapmak, operasyonları aksatmak ve düşmanları zayıflatmak için kullanılıyor; bu da jeopolitik istikrarsızlıkla işaretlenmiş bölgelerde hakimiyet ve etkiyi savunmaya yönelik daha geniş bir stratejiyi yansıtıyor.
Ayrıca, 2024 ABD başkanlık seçimleri öncesinde Rusya ve İran tarafından gerçekleştirilenler gibi, seçimlere müdahaleyi amaçlayan siber etki operasyonlarını da gördük. Bu aktörler, kamuoyunun algısını manipüle etmek ve siyasi adayları zayıflatmak için hedefli hack-ve-sızdırma operasyonları, dezenformasyon kampanyaları ve uydurma medya gibi taktikler kullandılar.
Kritik altyapı sektörü neden tehdit aktörleri için bu kadar kazançlı bir hedef? Hangi güvenlik açıkları onu fidye yazılımı veya casusluk gibi saldırılara karşı daha duyarlı hale getiriyor?
Kritik altyapı, tüm kritik görev varlıkları gibi benzersiz derecede yüksek bir hedef değeri sağlar çünkü sistem çöktüğünde pek çok şey tehlikede olur. Bir boru hattı devre dışı bırakılırsa tüm coğrafi bölgelerin ekonomisi çökebilir. Bu kritik altyapılar doğası gereği saldırılara karşı daha duyarlı değildir; bunun yerine yüksek hedef değeri nedeniyle daha sıkı hedefleme ve istismara maruz kalırlar.
Bir benzetme işletim sistemleri olacaktır. Windows aslında üretimde çalıştırılan en güvenli işletim sistemlerinden biridir. Hatalar ve güvenlik açıkları, MacOS ve diğer POSIX sistemlerinden çok daha hızlı bir şekilde yamalanır. Windows’un pazar payı çok yüksek olduğundan, Windows için kötü amaçlı yazılım geliştirmenin getirisi çok daha yüksektir.
İç tehditler (örneğin çalışan hataları, yanlış yapılandırılmış cihazlar) ihlallerde kritik öneme sahiptir. Tehdit aktörlerinin istismar ettiği en yaygın iç güvenlik açıklarından bazıları nelerdir ve kuruluşlar bu iç güvenlik açıklarını nasıl daha iyi ele alabilir?
İç tehditler, bir kuruluşun içinden kaynaklanan çok çeşitli güvenlik risklerini ifade eder. Bu tehditler, insan hatası, teknoloji yığınındaki güvenlik açıkları, yanlış yapılandırılmış cihazlar, içeriden gelen tehditler ve kuruluşun belirli geçmişine veya sektörüne bağlı olarak değişebilecek diğer faktörler dahil olmak üzere çeşitli kaynaklardan kaynaklanabilir.
İhlallerin bir parçası olarak istismar edilen en yaygın iç güvenlik açıklarından bazıları kategorilere girmektedir.
İnsan hatası
İnsan hatası, tehdit aktörlerinin sıklıkla yararlandığı önemli bir iç güvenlik riskini temsil eder. Bu kategori, kimlik avı saldırılarının kurbanı olmak, iş e-postasının ele geçirilmesi (BEC), cihazları yanlış yapılandırmak ve belgelerin yanlış yerleştirilmesi gibi hassas verilerin dikkatsizce işlenmesi gibi çalışanlar tarafından yapılan kasıtsız hataları içerir. Diğer örnekler arasında güvenlik protokollerinin göz ardı edilmesi, sosyal mühendislik taktiklerine açık olunması ve yazılım güncellemelerinin ihmal edilmesi sayılabilir.
İnsan hatası, kuruluşlar için her zaman en büyük saldırı vektörlerinden biri olmaya devam edecek ve bu da sağlam azaltma stratejilerinin uygulanmasını zorunlu kılacak. Derinlemesine savunma yaklaşımını benimsemek birden fazla güvenlik katmanı sağlarken, sıfır güven modeli kaynaklara erişen her varlık, kullanıcı, uygulama, hizmet veya cihaz için sıkı doğrulamayı zorunlu kılarak olası hataların etkisini sınırlandırır. Güvenlik farkındalığı eğitimi, çalışanların kimlik avı girişimlerini, sosyal mühendislik taktiklerini ve güvenlik protokollerine bağlı kalmanın önemini anlayacak bilgilerle daha iyi donatılmasına yardımcı olacaktır.
Kimlik bilgileri
En çok istismar edilen iç güvenlik açıklarından biri, kullanıcı kimlik bilgilerinin kötü yönetilmesidir. Saldırganlar genellikle sistemlere ilk erişim sağlamak için zayıf veya çalınmış kimlik bilgilerini hedef alır. Yaygın yararlanma yöntemleri arasında zayıf şifrelerin kaba kuvvetle kullanılması, kimlik bilgilerinin doldurulması (önceki ihlallerden elde edilen güvenliği ihlal edilmiş kimlik bilgilerinin kullanılması), kimlik bilgilerinin püskürtülmesi (ortak şifrelerin birçok hesapta test edilmesi) veya eski çalışanların hesaplarının uygun şekilde devre dışı bırakılmaması yer alır.
Bu riski azaltmak için kuruluşların çok faktörlü kimlik doğrulama (MFA) ve düzenli şifre rotasyonları dahil olmak üzere güçlü şifre politikaları uygulamaları gerekir. Kullanıcı erişimini yalnızca rolleri için gerekli olanlarla sınırlayan sıfır güven güvenlik modelinin uygulanması, ele geçirilen kimlik bilgilerinden kaynaklanan potansiyel hasarı daha da azaltabilir. Aktif olmayan hesapların düzenli olarak denetlenmesi ve kaldırılması, eski çalışanların veya kullanılmayan hesapların bir sorumluluk haline gelmemesini sağlar.
Güvenlik açıkları
Kuruluşların, dahili olarak veya üçüncü taraf sağlayıcılar aracılığıyla yönetilebilecek benzersiz altyapı ihtiyaçları vardır. Her iki seçenek de kendi risklerini taşır. Bir kuruluşun BT altyapısındaki dahili güvenlik açıkları, genellikle güncel olmayan veya düzeltme eki uygulanmamış yazılımlardan ve saldırganların yetkisiz erişim veya kod yürütme amacıyla yararlanabileceği zayıf yapılandırmalardan kaynaklanan önemli güvenlik tehditleri oluşturur. Ek olarak, son yıllardaki çok sayıda tedarik zinciri saldırısının da gösterdiği gibi, üçüncü taraf altyapısına veya araçlarına güvenmek, bir kuruluşun saldırı yüzeyini genişletirken kontrolü sınırlayabilir.
Tehdit modelleme, kritik varlıkları ve potansiyel saldırı vektörlerini belirlemek ve kuruluşlara çabalarını önceliklendirme konusunda rehberlik etmek için gereklidir. Bu güvenlik açıklarını azaltmak için kuruluşların, düzenli güvenlik değerlendirmeleri ve otomatik güvenlik açığı taramasını içeren proaktif bir güvenlik açığı yönetimi stratejisi benimsemesi gerekir. Yama yönetimi, potansiyel operasyonel kesinti nedeniyle zorlayıcı olsa da, yüksek öncelikli hedeflerin yamalama için daha yüksek öncelikli olarak değerlendirilmesi çok önemlidir. Ek olarak, güvenli yapılandırmalar ve düzenli denetimler, en iyi güvenlik uygulamalarıyla uyumluluğun korunmasına yardımcı olarak saldırı yüzeyini etkili bir şekilde azaltır.
Deepfake veya karmaşık kimlik avı kampanyaları gibi ortaya çıkan tehditlerden en çok endişe duyanlar nelerdir? Şirketler kendilerini bu saldırılara nasıl hazırlayabilir?
Tehdit aktörleri başarılı bir siber saldırı şanslarını artırmak için her zaman bir sonraki hileyi ve/veya planı ararlar. Tehdit aktörlerinin çoğu, finansal kazanç peşinde koşuyor, genellikle yeni yollar arıyor (deepfake’leri kötüye kullanmak) ve halihazırda yararlanılan araçları geliştiriyor (kimlik avı gibi).
Onlarca yıldır kötüye kullanılmasına rağmen, son yıllarda kimlik avının karmaşıklığında evrimsel bir sıçramaya tanık olduk. Gelişmeler arasında bireysel yüksek değerli hedeflere (HVT’ler) hedef odaklı kimlik avı yoluyla gerçekleştirilen dolandırıcılığın karmaşıklığı ve söz konusu kimlik avı e-postalarının orijinalliğinin taklit edilmesinde büyük gelişmeler yer alıyor.
Kimlik avı ve diğer sosyal mühendislik saldırıları etrafındaki hileler, başarısızlık noktasının bir kuruluşun insani yönü olmasına dayanır. Tehdit aktörleri artık yemlerini hazırlamak, hedef(ler)i hakkında istihbarat toplamak ve işin en dış katmanlarını atlatmak için araçlar geliştirmek için daha fazla çaba harcıyor. Odaktaki bu değişim, daha genelleştirilmiş cazibeli büyük ölçekli e-posta listelerinin toplu olarak spam edilmesine dayanan önceki çabaların neredeyse tersidir.
Ek olarak, siber saldırılar ve dijital dolandırıcılık kapsamında deepfake’lerin kötüye kullanımı son zamanlarda arttı ve artık bir kavram kanıtı veya varsayım olmaktan çıktı. Geçtiğimiz 12 ay boyunca deepfake’lere dayanan bir dizi dolandırıcılık, dünya genelindeki işletmelerden milyonlarca kişinin mali olarak dolandırılmasına neden oldu. Deepfake’leri içeren tehditler genellikle ilk erişim veya iş e-postası ihlali (BEC) yoluyla aldatma ile birleştirilir; kimlik avından farklı olarak, deepfake’ler başarısızlık noktasının insan olmasına dayanır.
Bu alandaki ilerlemeler hızla gelişmektedir ve bu tür saldırılara karşı koruma sınırlıdır. Teknolojinin var olduğu göz önüne alındığında, son derece gelişmiş bir deepfake dolandırıcılığı veya dolandırıcılığı gerçekleştirmek için gereken karmaşıklık ve kaynaklar, şu anda kötü niyetli aktörler için en büyük engelleyicidir. Bununla birlikte, teknoloji ilerledikçe ve kaynaklar azaldıkça, dolandırıcılıklarında deepfake’leri silah haline getiren acemi tehdit aktörlerinin bile bu bataklığa giriş engeli de artıyor.
Hazırlık açısından, her iki tehditle de uğraşırken en iyi güvenlik uygulamaları ve kullanıcı farkındalığı çok önemlidir. Kimlik avı ve doğru internet görgü kuralları gibi konularda siber hijyen ve kullanıcı eğitimi, çoğu zaman çalışanların daha fazla farkındalığa ve daha iyi kararlar almasına yol açacaktır.
Saldırıların çoğu tedarik zincirlerini hedef alarak geniş çapta kesintiye neden oluyor. Kuruluşlar tedarik zincirlerini siber saldırılara karşı korumak için hangi adımları atabilir ve tehdit istihbaratı potansiyel tedarik zinciri açıklarının belirlenmesine nasıl yardımcı olabilir?
Tedarik zincirine yönelik siber saldırılar kesinlikle yeni bir olgu değil; aslında yıldan yıla nispeten düzenli bir şekilde gerçekleşiyorlar ve 2020 SolarWinds saldırısı en dikkat çekici olanlardan biri. Tedarik zinciri içindeki bir kuruluşa karşı bir saldırı sürdürüldüğünde, esasen tedarik zincirine bağımlı olan diğer tüm kuruluşların da bir miktar etkilenmesiyle birlikte bir dalgalanma etkisine neden olur.
Bu bire-çok ilişki, birine yapılan saldırının çoğu zaman diğer birçok kişi üzerinde çok daha büyük ve yaygın bir etkiye yol açtığı anlamına gelir. Bu tür saldırılara karşı savunma yaparken katmanlı bir savunma şarttır. Bu, düzenli bir güvenli kod inceleme süreci, dijital sertifika imzalama ve inceleme ile iyi kaynaklara sahip ve hazır Ürün Güvenliği Olay Müdahale ekibi (PSIRT) gibi bileşenleri içerecektir. Bununla birlikte en önemli unsurlardan biri, diğer savunma mekanizmalarını besleyecek ve güçlendirecek güncel ve ayrıntılı tehdit istihbaratı verilerine erişim olacaktır.
Bu, tedarik zincirlerini hedef alan tehdit aktörleri için erken uyarı sistemi görevi görebilecek siber suç faaliyetlerinin ve taktiklerinin, tekniklerinin ve prosedürlerinin (TTP’ler) tanımlanmasına ilişkin verileri, güvenlik açıklarıyla ilgili istihbarat için derin web forumlarının izlenmesini içerecektir. tedarik zincirini etkileyen, bir tedarik zinciri içindeki varlıklara erişim sunan ilk erişim aracıları (IAB’ler), Jeopolitik risklerin analizi ve genellikle karmaşık tedarik zincirinin bir bileşeni olan 3. taraf açık kaynaklı yazılım içindeki güvenlik açıklarının işaretlenmesi ağlar.
Tehdit istihbaratını kullanarak kurumlar, tedarik zincirlerinde bulunan potansiyel güvenlik açıklarını bulmaya ve azaltmaya büyük ölçüde yardımcı olabilir; bu da genel savunma duruşlarını iyileştirmede ve dolayısıyla siber saldırı riskini azaltmada uzun bir yol kat edebilir.