Derya Aksoy
Fortinet Bölge Satış Direktörü
Siber suçlular kurumsal ağlarınıza nasıl sızıyor?
Güvenlik artık ikinci plana atılabilecek bir konu değil. Aksine iş dünyasında sürdürülebilir başarının en temel unsurlarından biri. Bu nedenle Bilgi Teknolojileri Güvenliği’nden Sorumlu Müdürler (CISO) artık yönetim kurulu toplantılarında aktif olarak yer almalı ve işletmelerin BT güvenliği stratejileriyle iş hedeflerini uyumlandırma konusunda önemli yetkiler üstlenmelidir.
Bugün her an, her yerden internete girebiliyoruz. Evet, bu muhteşem bir özgürlük. Fakat diğer taraftan bu “bağlantılı olma hali”, bizi çok daha büyük bir ekosistemin içine çekiyor. Bir şirkette gerçekleşen herhangi bir vakanın, iş ortaklarını ve uzak coğrafyalardaki diğer şirketleri de kolaylıkla etkileyebileceğini kabul etmemiz gerekiyor.
Örneğin; bir şirkette veri sızıntısı olduğunda, genellikle ilk çalınanlar, kişiyi tanımlamak için kullanılan bilgiler (PII) oluyor. Bu bilgiler, kimlik hırsızlarına satılabileceği gibi, çok daha inandırıcı e-dolandırıcılık saldırılarında kullanılabiliyor. Siber suçluların elindeki bilgiler ne kadar fazlaysa, size gönderdikleri e-postayı gerçekmiş gibi göstermeleri ve e-posta içindeki bağlantıyı tıklama konusunda size ikna etmeleri o kadar kolay oluyor.
Sosyal medyada sosyal mühendislik ön planda
Günümüzde kullanılan saldırı tekniklerinin çoğu, bundan birkaç yıl önce kullanılan tekniklerden pek de farklı değil. Zayıf şifrelerin kolaylıkla ele geçirilmesi, kimlik avı saldırıları ve virüslü tarayıcılardan indirilen kötü amaçlı yazılımlar gibi… Fakat bugünkü saldırıların etkisi çok daha büyük olabildiği gibi, saldırı süreçleri de kolaylıkla gizlenebiliyor.
Bu saldırıların bazıları sosyal medya ve online hizmetler aracılığıyla geliyor. Bugün pek çok kişinin ya Facebook hesabı ya da LinkedIn profili var. Bazıları da online arkadaşlık sitelerini kullanıyor. İşte siber saldırganlar da bu siteler aracılığıyla kullanıcıların cihazlarına yöneliyor ve insanların duygularını kullanarak alışılagelmiş sosyal mühendislik yöntemleriyle bu cihazlara girmenin bir yolunu buluyorlar. Sosyal mühendislik eskiden neyse bugün de o. Değişen şey ise, her şeyden önce saldırı vektörünün veya yüzeyinin kendisi… İkinci olarak da, saldırganların kullandığı gizlenme taktikleri… Her geçen gün siber saldırganların gizlenme yöntemleri gelişiyor ve geleneksel anti-virüs programları bu hızlı gelişmenin gerisinde kalıyor.
Saldırı türleri
Yeni siber saldırılardan biri olan e-dolandırıcılık, bir işletmenin ağına izinsiz erişim sağlamak için kullanılan en yaygın yöntemlerden biri. E-dolandırıcılık için özel olarak hazırlanmış e-postaların içinde genellikle kötü amaçlı bir dosya veya bağlantı, ek olarak yüklenmiştir. Bu e-postalar, şüphe çekmemek amacıyla akla uygun şekilde hazırlanır ve kullanıcıların bağlantıyı tıklaması için olabildiğince cazip içeriklerle desteklenir.
Siber suçlular tarafından kullanılan bir diğer yöntem de “drive-by” adı verilen “indirme saldırılarıdır”. Saldırganlar bu yöntemde herhangi bir web sitesini ele geçirerek bu siteye kötü amaçlı bir java script yüklerler. Bu java script de, siteye giren kullanıcıyı daha önceden kötü amaçlı yazılım yüklenmiş başka bir siteye yönlendirir. Yazılım ise, hiç farkettirmeden arka planda kullanıcının bilgisayarına kendisini yükler. Hedefli bir saldırıda siber suçlular, şirketlerin veya belirli sektörlerin en çok kullandıkları sayfaları tespit edebilmek için aylar süren bir araştırma yaptıktan sonra bu siteleri zararlı yazılımlarla donatırlar.
Siber saldırganlar ayrıca “malvertising” adı verilen yöntemi de tercih edebilirler. Bu yöntem direve-by saldırılarına benzese de, bu kez saldırganlar reklam sitelerine zararlı yazılım bulaştırırlar. Virüslü bir reklam sitesi, binlerce benzer siteye aynı virüsü bir anda bulaştırabilir. Bu da çok daha büyük maddi zarar anlamına gelir.
Mobil saldırılar da, siber suçluların en çok kullandığı yöntemlerden biridir. Mobil cihazlara yönelik saldırılar da yukarıdakilerden farklı değildir. Sadece kötü amaçlı yazılımlar ek olarak SMS yoluyla bulaştırılabilir veya oyunlar, hatta pornografik içerikler ardına gizlenerek kullanıcıyı kolaylıkla yanıltabilir.
Saldırganlar bir ağa sızdıklarında ve kullanıcının mobil cihazında ya da dizüstü/masaüstü bilgisayarında kontrolü ele geçirdiklerinde, bir sonraki aşamada görevlerini tamamlamak için kötü amaçlı yazılımları ve araçları bu cihazlara indirmeye çalışırlar. Ulaşmaya çalıştıkları veriler genellikle iş istasyonlarında değildir. Bu nedenle çoğu zaman asıl hedef sunucular ve veritabanlarıdır.
Veriler artık saldırganların elinde!
Fortinet FortiGuard Laboratuvarları Kıdemli Güvenlik Stratejisti Anthony Giandomenico’nun belirttiği gibi; bir saldırganın ağa sızdıktan sonra izleyeceği üst düzey aşamalar şöyle:
- Ağ üzerinde tam hakimiyet sağlamak için gerekli kötü amaçlı yazılım ve araçların indirilmesi.
- Aradıkları bilgiye ve diğer sunuculara ulaşabilmek için ağın haritasının çıkarılması ve tüm kullanıcı adlarının ve şifrelerin bulunduğu Aktif Dizin’in tespit edilmesi. Bu noktalara erişim sağlandığında artık işletmenin kalbine de erişim sağlanmış oluyor.
- Gerekli verilere ulaştıktan sonra tüm verileri kopyalayabilecekleri, kuruma ait testlerin yapıldığı ve zaafiyet içeren sunucunun bulunması. Bu adım için en ideal olanlardan biri her an aktif olan ve internet olmadan da ulaşılabilen sunuculardır.
- Ele geçirilen verilerin, saldırganların kendi sunucusuna yavaş yavaş aktarılması.
Siber suçlular bir ağda uzun süre vakit geçirdiğinde, her türlü bilgiyi kolaylıkla ele geçirebilecek hale gelirler. Şirket bilgilerinin çoğu elektronik ortamda tutulduğu için saldırganlar ağ içerisinde ne kadar uzun süre kalırsa, şirketinizin iş süreçleri ve veri akışları hakkında o kadar çok bilgiye erişirler. “Carbanak” olarak bildiğimiz saldırı türünü buna bir örnek olarak verebiliriz. Bu saldırıda siber suçlular yönetici (admin) bilgisayarları takip ederek gözetleme kameralarına ulaşmaya çalışırlar ve banka memurlarının nasıl çalıştığını inceleyerek bu süreçleri kayıt altına alırlar. Bundan sonraki aşamada ise, bu süreçleri taklit ederek kendi sistemleri üzerinden para transferini tamamlarlar.
Hassas verileri izole edin
Yukarıda da bahsettiğim gibi, en yaygın yöntemlerden biri, kullanıcının kötü amaçlı bir bağlantıyı tıklamasını sağlamaktır. Kullanıcı cihazı ele geçirildiğinde saldırganlar gerekli verileri bulmak için ağ içinde gezinmeye başlarlar. İşte bu noktada ağ segmentasyonunun önemi ortaya çıkıyor: Ağ segmentasyonu, saldırının etkilerini azaltmaya yardımcı olur. Çünkü şirket, bu sayede saldırıyı tek bir nokta ile sınırlayabilir ve tüm ağı etkilemesini engelleyebilir. Aynı zamanda hassas verilerin çok daha yüksek güvenlikli bir lokasyonda tutulmasını sağlar. Bu da saldırganların bu hassas verilere ulaşmalarını zorlaştırır.
Unutmayın; ağlarınızda bulunan her veriyi koruma altına alamazsınız, ağ içindeki tüm süreçleri takip edemezsiniz. Ağlarınız son derece kapsamlı ve karmaşık olduğu için yapmanız gereken en önemli şey, hassas verileri bulmak, bu verileri güvenli bir yerde izole etmek ve granüler odaklanma yöntemiyle bu verilere erişimi sağlayan patikaları sürekli olarak gözlemek.