Bilgi güvenliği konusunda proaktif bir
yaklaşım oluşturabilmek için düşmanı doğru tanımak çok önemlidir. Zafiyet
yönetimi programı oluşturmanın ötesinde sızma testi yaptırmamızın da
nedenlerinden birisi de düşmanı anlamaya çalışmaktır.
Resim 1: Şapka renklerine göre hackerlar
Verdiğim eğitimlerde hacker ve şapka meselesi
ister istemez gündeme geliyor. Aşağıdaki slayttan anlayabileceğiniz üzere şapka
rengine göre yapılan ayrıma inanmıyorum.
Resim 2: Şapkalardan başlayan sınıflandırma genişletilebilir
Beyaz şapkalı hacker: Bilgi güvenliği alanında
çalışan Hacker. Bildiklerini kurumsal ağları daha güvenli hale getirmek için
kullanıyor.
Siyah şapkalı hacker: Suçlu. Kötü niyetli
hacker.
Gri şapkalı hacker: Duruma göre iyi veya kötü
olan hacker.
İlk bakışta yeterli bir ayrım gibi görülebilir
ancak benim gibi bilgi güvenliğini yönetmesi gereken tarafta iseniz bu ayrım
sizin için de bir anlam ifade etmez. Kendinizi kimden korumanız gerektiğini
bilmeden etkili bir savunma yapısı kurmanız mümkün değildir.
Proaktif güvenlik yaklaşımı
çerçevesinde düşmanı profillemek ona hollywoodvari isimler takmaktan daha
mantıklı olacaktır. Şapka rengine göre yapılan ayrım kız arkadaşını etkilemek
için kurum sayfasını değiştiren çocukla, iyi korunan bir ağa sızıp, 6 – 7 ay farkedilmeden
veri sızdırabilen kalabalık bir suç örgütü aynı sınıfa koyacaktır. İlki basit
önlemlerle bertaraf edilebilecek bir olayken diğerini engellemek ve farketmek
çok daha farklı bir yaklaşım gerektirir.
Bu nedenle saldırganları uzmanlık, motivasyon
ve kullanılan saldırı vektörüne göre sınıflandırmak daha anlamlıdır.
Uzmanlık seviyesi
Saldırganlarda 4 temel uzmanlık seviyesi
gözlemliyoruz.
Sıfır seviyesi: Sıradan kullanıcılar.
Saldırganlar için ihtiyaç halinde mail ekini açacak, kurum ağına ilk giriş
noktası olabilir. Bunlar işten ayrılmadan önce hassas müşteri veya üretim
bilgilerini bir USB belleğe kopyalayan çalışanlar da olabilir.
Başlangıç seviyesi: Çok bilinen zafiyetleri
istismar ederek saldıran ve bazı “Bilgi Güvenliği Uzmanlarının” Lamer diyerek
aşaladığını düşündüğü saldırgan profilidir. Etkili DoS/DDoS (hizmet dışı
bırakma/dağıtık hizmet dışı bırakma) saldırılarından web sayfanıza
istemediğiniz bir mesaj konulmasına kadar gürültülü ama etkili olabilecek
saldırılar düzenleyebilirler, aşağılanacak bir yanları yok.
Orta seviye: Belli bir bilgi ve beceri
seviyesine sahip saldırganlardır. Belirli zafiyetler için istismar kodu
geliştirebilirler. Hizmetlerini yer altı forumlarında kiralayabilirler veya
siyasi ve dini inançları doğrultusunda eylemler gerçekleştirebilirler.
Uzman seviyesi: Üst düzeyde bilgi ve beceriye
sahip saldırganlardır. Tersine mühendislik, sıfır gün açığı tespiti ve yeni
istismar kodları geliştirebilirler. Daha önce kısaca değindiğim APT 28 grubu
buna iyi bir örnektir, APT 28 grubu ile ilgili yazıma http://www.alperbasaran.com/2014/10/apt-ve-olum-zinciri.html
adresinden ulaşabilirsiniz.
Nasıl bir saldırganla karşı karşıya olduğumuzu
veya olabileceğimizi anlamak amacıyla saldırının ne kadar karmaşık olduğuna
bakabiliriz. Uzman seviyesinde bir saldırgan tarafından gerçekleştirilen
saldırının izlerinin giriş seviyesi bir saldırganınkinden çok farklı olacağı
açıktır.
Bu uzmanlık seviyelerinin yanında saldırganın
amacı ve bulabileceği saldırı vektörü bize neye karşı önlem almamız gerektiği
konusunda önemli bilgiler verir. Yukarıda gördüklerimiz doğrultusunda basit bir
örnek ele alırsak:
Saldırgan seviyesi: Sıfır
Amaç: Çalıştığı/ayrılmak üzere olduğu şirkete
zarar vermek veya kendi işini kurmak/rakibe geçmek için ihtiyacı olan müşteri
portföyü ve ürün/maliyet bilgilerini almak.
Saldırı vektörü: USB bellek ve eposta
Saldırının etkisi: Önemli şirket bilgilerinin
çalınması
Alınabilecek önlemler: “Bilgilerimiz neler?
Kimdeler? ve Neredeler?” sorularının cevaplanacağı bir kurumsal sürecin
oluşturulması ve bu çalışma sonucunda gerek olursa bir DLP (Data Loss
Prevention) çözümü alınması (DLP’nin tam olarak neleri adreslediğini anlatan
iyi hazırlanmış bir videoya http://www.symantec.com/products-solutions/products/videos-lightbox.jsp?cid=dlp_product_overview
adresinden ulaşabilirsiniz).
Saldırgan seviyesi: Başlangıç
Amaç: Siyasi mesaj vermek
Saldırı vektörü: Web sunucusu
Saldırının etkisi: Kurumun itibar kaybetmesi
Alınabilecek önlemler: Web sunucusu zafiyet
taraması, biz sıkılaştırma ve zafiyet yönetimi planını hayata geçirmek.
Saldırgan seviyesi: Sıfır
Amaç: Web sayfasının devre dışı bırakılıp
gelir ve itibar kaybı yaşanması
Saldırı vektörü: Forumlardan DDoS hizmeti
kiralanması
Saldırının etkisi: Kurumun itibar ve, varsa,
gelir kaybetmesi
Alınabilecek önlemler: Mevcut sistemlerin
kaldırabileceği trafik seviyesinin belirlenmesi için gerekli testlerin
yapılması, gerek olursa (sistemin devre dışı kalması için gerekli DDoS
saldırısının yapılması saldırgan açısından ekonomik veya yeterli olacaksa) bir
DDoS çözümü alınması.
Saldırganların kim olabileceğini anlamak bilgi
güvenliği yatırımlarımızı en doğru ve en etkili olacak yerlere yapabilmemiz
için çok önemlidir.
Basit bir örnek vermek gerekirse, aşağıdaki
ekran görüntüsü kendini “the Mato” olarak tanımlayan ve bir kamu kurumu sitesini
“sevdiği” uğruna hacklediğini iddia eden bir saldırganın eseridir.
Resim 3: Sevdiceği uğruna kamu kurumu hackleyen "The Mato"
Öte yandan 2008 yılında yayınlanan bir rapor
Rusya’nın diğer ülkelere karşı kullandığı “siber ordusu” hakkında aşağıdaki
rakamları vermişti;
Yıllık bütçe: 127 milyon A.B.D. doları
Tam zamanlı personel sayısı: 7.300’den fazla
Yedek ve milis: Yok
Kontrol edilen geniş bant internet bağlantısı:
24 milyona yakın (dünyanın en büyük Botnet’lerinden birisi)
Saldırının kaynağından çok saldırgan profiline
odaklanmamızın nedeni saldırı kaynaklarının yanıltıcı olabilmesidir. Aşağıdaki
ekran görüntüsünü, 1 dakikadan az bir sürede ve evimdeki çalışma ofisimden
hazırladım. http://www.iplocation.net/
Kaynak IP’nin geldiği ülkeyi gösteren ücretsiz bir web sayfasıdır
Görebileceğiniz gibi dünyanın herhangi bir noktasından saldırı başlatmam
mümkündür, daha doğrusu saldırıyı istediğim ülkeden geliyormuş gibi göstermem
mümkündür.
Resim 4: Oturduğum yerden sanal ortamda dünya turu
Anlaşıldığı gibi, saldırgan profilimiz “the
Mato” seviyesindeyse KGB’nin 16. Birimi olan Rusya’nın gelişmiş siber ordusuna
yönelik bir savunma hattı oluşturmamıza gerek olmayacaktır. Öte yandan
stratejik öneme sahip bir kurum olarak bizi sadece başlangıç seviyesi
saldırganların hedef aldığını ve siber ordusuna yılda 76 milyon A.B.D. doları harcayan
ve bu konuda çalışan 2.500’e yakın personeli olan İran’nın bizimle
“ilgilenmediğini” düşünmek saflık olur.
Görüldüğü gibi proaktif güvenlik yapısının
kurulması “siyah şapkalara karşı beyaz şapkalılar” kadar basit bir denkleme
bağlı değildir. Bu nedenle, korumaya çalıştığımız veriyi ve buna bağlı iş
süreçlerinin anlaşılması ile başlayan bir çalışmanın doğru bir saldırgan
profilleme çalışması ile devam etmesi önemlidir.
Bilgi güvenliği konusunda barındırdığımız
riskleri anlamak için basit bir çalışma aşağıdaki soruların yanıtlarının
bulunması ile başlayabilir.
Her zaman olduğu gibi, bir kamu veya askeri
kurumda çalışıyorsanız bu çalışmayı birlikte yapabiliriz, bana ulaşmanız
yeterlidir.
Tehditler ve düşmanlar kimdir?
Saldırganlar tarafından kullanılan ve
kullanılabilecek araçlar nelerdir?
Saldırganların amaçları ne olabilir?
Yapılabilecek saldırıların etkileri nelerdir?
En açık saldırı vektörleri hangileridir?
Saldırganı doğru profillemek bize sadece
kendimizi savunma konusunda önemli bilgiler vermekle kalmıyor, aynı zamanda
olası bir saldırıyı daha hızlı tespit etmemizi sağlıyor. Kurumsal ağımıza
birinin sızıp sızmadığını anlamaya çalışırken ve sızma durumunda gerekli
uyarıları üretecek bir yapı kurarken neleri dikkate alacağımızı bilmemiz önemlidir.
Aşağıdaki çizimde görüldüğü gibi saldırganın
bilgi seviyesi, amacı ve ulaşabileceği saldırı vektörleri saldırı türünü
belirler ve sonuç olarak saldırının bırakacağı izlerin neler olduğuna büyük
etkisi olur.
Resim 5: Saldırgan seviyesinin saldırı izlerine etkisi
Bu etkileyici bir makale. Bugün, internetteki insanlar gizliliklerinden endişe duyuyorlar. Bloglar, forumlar, birinin web sitesine saldırdığı veya birinin şantaj yaptığı sorularla doldurulur. Makaleniz okunmaya değer. İşte bir araç, IP görünümü ile ilgili önermek istiyorum
ReplyDeletehttps://iplocation.io/
bu aracın yalnızca IP'yi bulmak için değil, aynı zamanda sonuçlarını Google haritalarında göstermek için dört coğrafi konum veritabanı vardır.