Siber güvenlikte asla sıkıcı bir gün yoktur… Aşağıda, bu hafta manşetlere çıkan bazı önemli haberleri bir araya getiriyoruz!
Albay Sanders İçin Zor Bir Gün
Birleşik Krallık’ta birçoğumuz son iş e-postamızda gönder düğmesine basıp hak ettiğimiz uzun bir hafta sonu tatilinin tadını çıkarmak için dizüstü bilgisayarlarımızı bir kenara koyarken, Yum! KFC, Pizza Hut ve Taco Bell’in dünyaca ünlü fast food üçlüsünün sahibi olan markalar, açıklanmayan sayıda kişiye bir dizi veri ihlali bildirimi mektupları göndermenin ortasındaydı.
Şirket, 13 Ocak’ta kamuya duyurduğu fidye yazılımı saldırısı sırasında bazı kişilerin isimleri, ehliyet numaraları ve diğer kimlik kartı numaraları dahil olmak üzere kişisel bilgilerinin çalındığını ortaya çıkardı.
Hikaye hakkında yorum yapmak, İsrail Barak, CISO, Cybereason’da söz konusu:
“Yakın zamanda açıklanan fidye yazılımı Yum! İngiltere’de 300 KFC, Pizza Hut ve Taco Bell restoranının gün boyu kapanmasına neden olan markalar önemli olup gelir kayıplarına neden olmuş ve önemli sayıda müşteriyi mağdur etmiştir. Çalınan müşteri verilerinin karanlık ağa girip girmediğini yalnızca zaman gösterecek. Fidye yazılımı çeteleri dünya çapında kazançlı, milyarlarca dolarlık bir ekonomi yarattılar ve bir anlamda kendi girişim sermayeleri ve iş modelleriyle yeni kurulan şirketler, ancak suçlular gibi muamele görmeye devam etmeliler ve iflas ettikleri için yüceltilmemeliler. yasa ve dünya çapında aksamalara neden oluyor.
“Şirketler fidye yazılımlarından kurtulamıyor ve kuruluşların fidye ödemeyi düşünmesi gereken tek zaman ölüm kalım durumları. Daha fazla şirket ödemeyi reddederse, suçlular daha yumuşak hedeflere yönelecektir. Zamanla, akıllı saldırganlar saldırılarını en az maliyet ve riskle en fazla getiriyi sağlayan hedeflere taşıyacak şekilde ayarlayacaktır. Bu, geleneksel iş dünyası için olduğu kadar karanlık taraf için de geçerli. Kuruluşlara barış zamanında saldırılara hazırlanmalarını ve ağ bağlantısında yedeklilik sağlamalarını ve hafifletme stratejilerini hazırlamalarını tavsiye ediyorum. İyi bir güvenlik hijyeni uygulayın ve işletim sistemlerini ve diğer yazılımları düzenli olarak güncelleyin ve yama yapın. Ayrıca, güvenlik ekibinin ötesindeki kişiler de dahil olmak üzere Executive Suite’e kadar periyodik masa üstü tatbikatlar ve tatbikatlar gerçekleştirin. Kuruluşlar ayrıca ağa girişi ve fidye yazılımlarının yayılmasını durdurmak için net izolasyon uygulamalarının yürürlükte olduğundan emin olmalıdır.”
Thomas Richardsana güvenlik danışmanı, Synopsys Software Integrity Group, katma:
“Fidye yazılımı saldırıları, herhangi bir kuruluş için bir tehdit olmaya devam ediyor. Bu saldırıda öne çıkan şey, çalışanların kişisel bilgilerinin ele geçirilmesidir, oysa son zamanlarda yapılan diğer saldırılar, kredi kartı bilgileri gibi saklanan müşteri verilerine odaklanmıştır. Kişisel kimlik belgelerinin ihlali, etkilenenler için daha rahatsız edicidir çünkü belge numaralarını değiştirmek zordur; bankanın müşteriye yeni bir numara vereceği bir kredi kartından çok farklı. Ele geçirilen belgeler, birisinin etkilenenleri uzun süre taklit etmesine izin verir; “bir yıllık kredi izleme” standardı, bu ihlalden etkilenenleri korumaya yetecek kadar ileri gitmeyecektir. Bilgilerin nasıl ele geçirildiğinin ayrıntılarını bilmesek de, bu hassas bilgilerin güvenli bir şekilde saklanmamış olabileceği endişe vericidir. Kuruluşlar, verilerin hem beklemede hem de aktarımda şifrelendiğinden emin olmak için bu gibi bilgileri en yüksek düzeyde hassasiyetle ele almalıdır. Ek olarak, hassas verilerle arabirim oluşturulurken yalnızca minimum düzeyde erişim verilmesi gerektiğini belirten en az ayrıcalık ilkesi, verilerin tehlikeye girme riskini azaltmak için izlenmelidir.”
Javvad Malik, KnowBe4 güvenlik farkındalığı savunucusu ayrıca paylaştı:
“Yum! grup, Albay 11’in gizli bitki ve baharatlarının bu şirketlerin sahip olduğu en paha biçilmez bilgi olduğunu hemen varsayabilir. Bununla birlikte, suçluların peşinde olduğu sadece parmak yalama tarifleri değil, kuruluşların topladığı, çalışanlara veya müşterilere ait herhangi bir kişisel veri, suçlular tarafından kolaylıkla paraya dönüştürülebilir ve geri çevrilebilir.
Verileri ihlal edilen kişiler, bu markalardan herhangi birinden geldiğini iddia eden e-postalara, özellikle de ağız sulandıran, karşı konulamaz fırsatlar sunan e-postalara karşı ekstra dikkatli olmalıdır, çünkü bunların dolandırıcılık olma olasılığı yüksektir.”
Hyundai’nin İhlaline Doğru Sürüş
Nefis! Grup, bir ihlalin kurbanı olan tek grup da değildi; sadece birkaç gün sonra, çok uluslu otomobil üreticisi Hyundai, Fransız ve İtalyan müşterilerini etkileyen bir güvenlik açığını açıkladı. Mali verilerin ve kimlik numaralarının güvende olduğuna inanılsa da, e-posta adresleri, fiziksel adresler, telefon numaraları ve araç şasi numaraları açığa çıktı.
Cevap olarak, Chris Hauk, Pixel Privacy’de Tüketici Gizliliği Şampiyonu müşterileri “Hyundai veya ortaklarından geliyormuş gibi görünen herhangi bir metin, e-posta veya diğer iletişimlere karşı dikkatli olmaları” konusunda uyardı.
Detaylandırdı: “Kötü aktörler, ihlalde alınan bilgileri Hyundai müşterilerinden ek bilgi toplamaya çalışmak için kullanabilir. Bu noktada, ihlalin ne zaman gerçekleştiği duyurulmadı, bu nedenle bilgisayar korsanlarının bilgilere ne kadar süredir erişebildiğini bilmiyoruz.”
Paul Bischoff, Compareitech’te Tüketici Gizliliği Avukatı aynı fikirde: “İhlal talihsiz olsa da, doğrudan hırsızlığa yol açabilecek özellikle hassas herhangi bir bilgiyi sızdırmadı. Telefon numaraları, adresler ve e-posta adresleri, siber suçlular tarafından hedeflenen kimlik avı mesajları oluşturmak için kullanılabilir. Fransa ve İtalya’daki Hyundai sahipleri, kendilerini Hyundai veya ilgili bir şirket olarak tanıtan dolandırıcılardan gelen kısa mesajlara ve e-postalara dikkat etmelidir. Örneğin, daha fazla araba garantisi dolandırıcılığı araması alabilirsiniz. İstenmeyen mesajlar veya e-postalardaki bağlantılara asla tıklamayın.”
Küçük Gözümle Casusluk Yapıyorum
Ayrıca, bu hafta Citizen Lab’deki güvenlik araştırmacılarından, gazetecilere, siyasi figürlere ve bir STK çalışanına karşı kullanılan, NSO Group’un Pegasus’una benzer, daha önce keşfedilmemiş bir casus yazılımın ortaya çıktığı konusunda bir uyarı aldık. Korkutucu bir şekilde, bilgisayar korsanları kötü amaçlı yazılımı “sıfır tıklama” saldırısında dağıtmak için önceden kaydedilen takvim davetlerinden yararlandı.
Verimatrix CEO’su Asaf Ashkenazi, açıkladı:
“Mobil cihazlara yapılan sıfır tıklama saldırıları, uzaktaki bir saldırganın kurbanın telefonunun kontrolünü sessizce ele geçirmesine olanak tanıyan oldukça verimli bir bilgisayar korsanlığı yöntemidir. Kurbanın virüslü bir dosyayı açması veya kötü amaçlı bir web bağlantısına tıklaması için kandırıldığı yaygın kimlik avı saldırılarının aksine, sıfır tıklama saldırıları “sessizdir” ve herhangi bir kullanıcı etkileşimi gerektirmez.
Sıfır tıklama saldırıları, çoğu saldırının kullandığı aynı mekanizmadan yararlanır: Saldırıya uğrayan yazılımdaki bir güvenlik açığı veya başka bir deyişle, yazılım geliştiricinin saldırıya uğrayan uygulamada bıraktığı bir “hata” veya hata. Bu “hatalar” düşündüğümüzden daha yaygın. Geleneksel güvenlik yöntemi, yazılım piyasaya sürülmeden önce tüm bu hataların bulunmasını gerektirir, ancak bu yöntemin pratik olmadığı kanıtlanmıştır. Bu nedenle yeni güvenlik teknolojileri, herhangi bir yazılımın güvenlik açıkları olacağını varsayarak farklı bir yaklaşım benimsemektedir. Bu yenilikçi teknolojiler, bilgisayar korsanlarının güvenlik açıklarını bulmasını son derece zorlaştırıyor ve bulunsalar bile bilgisayar korsanlarının tespit edilmeden bir güvenlik açığından yararlanmalarını zorlaştırıyor.”
Compareitech Güvenlik Uzmanı Brian Higgins, gözlenen:
“Bu tür Casus Yazılımlar çok hedeflidir. Citizen Lab raporu, yalnızca “beşten fazla kurban” bulduklarını ve görünüşe göre 2021’den beri başarılı bir şekilde konuşlandırılmadığını belirtti.
Bununla birlikte, bu tür ürünler için müşteri türlerinin derin cepleri ve çok özel hedefleri vardır, bu nedenle benzer ifşaatları birkaç ayda bir görmemiz muhtemeldir.
Savunmasız olabileceğini düşünen küçük topluluk, yeni açıklardan yararlanma ve yamalar için düzenli uyarılara sahip olmalı ve ayrıca risk yetki alanları ile uğraşırken tetikte olmalıdır, ancak bunu zaten biliyorlar.
Şu anda, iOS kullanıcılarının büyük çoğunluğu için bu sadece korkutucu bir hikaye.”
Yazılımı Tasarım Yoluyla Koruma
Yine de hepsi kötü haber değil. ABD’nin Biden yönetimi, “ilkeler ve yaklaşımlar” belgesini yayınlayarak yazılımı tasarım gereği daha güvenli hale getirmeye yönelik ilk büyük adımını atarken, iyi adamlar için de bir galibiyet elde ettik.
Bunu yorumlayan, Synopsys Software Integrity Group üyesi Ray Kelly, paylaşılan:
“CISA kuruluşların siber saldırılara karşı korunmasına yardımcı olacak rehberlik sağlama konusunda büyük ilerleme kaydediyor. Güvenliği tasarım sürecine dahil etmek yalnızca iyi bir uygulama olmakla kalmaz, aynı zamanda yazılımdaki kusurları tüketiciye ulaşmadan önce hafifletmede de çok etkilidir. Bununla birlikte, bu süreç zaman aldığından ve kâr hanesini etkileyebilecek kaynaklar gerektirdiğinden, kuruluşların işi etkilemeden bu uygulamaları benimsemesi zordur. “Tasarım aşaması”, yazılım geliştirme yaşam döngüsünün (SDLC) kritik bir bileşenidir ve kuruluşlar, güvenliği bu sürecin bir parçası olarak benimseme mücadelesini sürdürmektedir. Umutla, CISA‘nin en son tavsiyeleri, en başından itibaren SDLC’ye güvenlik oluşturmanın önemi konusunda daha fazla görünürlük getirmeye yardımcı olacak.”