Amerikalı telekomünikasyon firması Verizon her
sene “Verizon Data Breach Report” adlı bir çalışma yayınlar ve bilgi güvenliği
konusunda bir önceki senenin kapsamlı bir analizini yapar.
“Verizon 2014 Data Breach Investigations
Report” (DBIR) adıyla yayınlanan rapor dünya genelinde 95 ülke, 50 kuruluş,
63.000’den fazla bilgi güvenliği ihlali ve 1.300’den fazla teyit edilmiş veri
sızdırma olayını ele almıştır.
Otelcilik, tarım, inşaat, eğitim, sağlık
kuruluşları, kamu kurumları, lojistik şirketleri hatta madencilik firmalarını
da kapsayan bu araştırma sonuçları bize dünya genelinde bilgi güvenliği
seviyesi hakkında bilgi verdiği için, genel kültür amacıyla da olsa gözden
geçirilmesinde fayda var.
DBIR bu sene, aralarında Türkiye’nin de
bulunduğu 95 farklı ülkeden güvenlik olaylarını ele almış ve bu sayede dünyanın
coğrafi bölgelerinin tümünü kapsar hale gelmiştir.
Toplamda 63.437 olayın ele alındığı raporda
1.367 vakada veri kaybı yaşanmıştır.
Bu senenin raporu aynı zamanda son 10 yıla
ilişkin siber saldırı trendlerini de içermektedir. Bu saldırı trendlerinin raporu oluşturan
kurumla veri paylaşan şirketlerin paylaştığı verilerden derlendiğini
hatırlamakta fayda var. Bu nedenle genel trend verilerinde bazı “anlamsız”
sapmalar görülebildiği için raporun genel “trendler” kısmı ana çok bilimsel
gelmiyor. Örneğin aşağıdaki grafikte 2012 yılında görülen ani düşüş perakende
sektörüne ilişkin verilerin eksikliğinden kaynaklanmaktadır.
Görüldüğü üzere 2006-2008 yıllarına kadar
birbirine yakın olan saldırgan türlerinin dağılımı, özellikle 2009 yılından
sonra “dış saldırgan” sayısında ciddi bir artış göstermektedir. Söylediğim gibi
2012 yılındaki düşüşü anlamlandırmamız yanlış olur.
Benzer şekilde aşağıdaki grafikte casusluk
amacıyla yapılan saldırıların oranının artıyorken maddi beklentiyle
gerçekleştirilen saldırıların sayısında gözlemlenen düşüş, casusluk
saldırılarıyla ilgilenen firmalardan gelen verilerin sayısının artmasından
kaynaklanmaktadır. Casusluk olaylarının daha fazla ele alınması genel saldırı
türleri içerisindeki oranları hakkında bize bilgi vermeyecektir.
Resim 2: Saldırganların amaçlarının yüzdesel
dağılımı
Görüldüğü üzere casusluk amacıyla yaşanan
olayların oranı artarken maddi kazanç amaçlayan saldırganların sayısında bir
azalma görüyoruz. Bu trendin nedeni rapora kaynak olan verilerin alındığı
firmaların uzmanlık alanıdır, dikkatli şekilde ele almamız gereken bir
sonuçtur.
Raporun yoruma açık ve toplanan verileri
sağlayan firmaların satmaya çalıştıkları ürünlerden bağımsız olarak, biraz daha
“bilimsel” olan kısımda ise değerli sonuçlar var.
Saldırganlar neyin peşinde?
Resim 3: Hedef cihaza göre saldırıların
dağılımı
Görüldüğü gibi sunucular (server) saldırılara
en çok hedef olan cihazlardır. Verilerimizi ve uygulamalarımızı bunlarda
tuttuğumuz için saldırganların bu sistemleri hedef almaları şaşırtıcı değildir.
Kullanıcı cihazlarını (“User Devices” - istemciler) hedef alan saldırılar
ikinci sırada gelmektedir.
Güvenlik seviyemiz artıyor mu?
Aşağıdaki resimde saldırganların gün veya daha
kısa sürede sistemi ele geçirdikleri saldırıların oranını (kırmızı çizgi)
görüyoruz. Bu grafikteki artış saldırganların sistemi ele geçirmek için giderek
daha az zamana ihtiyaç duyduklarını göstermektedir. Mavi çizgi ise gün veya
daha kısa zaman biriminde tespit edilen olayları göstermektedir.
Resim 4: Saldırganların artan kabiliyetleri
net bir biçimde görülüyor
Rapora konu olan 63.000’den fazla güvenlik
ihlalinin aslında 9 ana saldırı grubuna giriyor olması bize saldırganların
tercih ettikleri ve bize saldırırken (rapor iyi güzel ama derdimiz kendi ağımız
korumak) kullanmaları muhtemel yöntemleri göstermektedir.
Raporun genelinde olduğu gibi “siber casusluk”
başlığının dikkatli ele alınması gerektiğini tekrar hatırlatmak istiyorum. Veri
kaybına neden olan saldırıların aşağıdaki dağılımlarına bakınca bizden veri
çalmaya çalışacak kişilerin büyük ihtimalle web uygulamalarımızı hedef
alacağını söyleyebiliriz.
Yukarıdaki grafik bize veri kaybının yaşandığı
1.300 civarındaki olayın dağılımını vermektedir. Rapora konu 63.000 civarında
güvenlik ihlalinin genel dağılımına bakacak olursak tablo değişmektedir.
Resim 5: Güvenlik olaylarının türüne göre
dağılımı
Bu tabloya baktığımızda ise güvenlik ihlaline
karşı önlem almamız gereken noktalar değişmektedir. Güvende olmak için
kullanıcılarımızı eğitmemiz, zararlı yazılımlara ve konfigürasyon hatalarına
karşı süreçler oluşturmamız ve hırsızlıklara karşı önlem almamız gerektiğini
görüyoruz.
Rapor yukarıdaki saldırı vektörlerinin biraz
daha detaylı olarak ele alınmasıyla devam ediyor.
SANS Enstitüsü tarafından belirlenen “kritik güvenlik
kontrollerinin” aslında rapora konu olan 9 ana saldırı türünü de adreslediğini
görüyoruz. Her fırsatta hatırlatmaya çalıştığım bilgi güvenliği hijyen
kuralları, burada da bizi büyük dertlerden kurtaracaktır.
Özellikle üzerinde durmamız gereken kritik
güvenlik kontrolleri şunlardır;
Yazılım envanterimizi tutmak: Zararlı
yazılımları ve APT olarak da adlandırabileceğimiz “siber casusluk” olaylarını
engellemek için.
Standart konfigürasyonlarımızın olması: Web
uygulamalarını hedef alacak saldırıların uygulama platformlarında bir açık
bulmalarını önlemek için.
Güvenli geliştirme alışkanlıkları: Uygulamayı
geliştirirken güvenliği göz önünde bulundurmak daha sonra ortaya çıkabilecek
güvenlik açıklıklarını engeller.
Düzenli yedek alma: Fiziksel kayıpları engellemek
için.
Admin haklarının kısıtlanması: Admin
yetkilerinin kısıtlanması bizi içeriden gelebilecek (personel veya dış
saldırganın personel kaynaklarını kullanması) saldırılara karşı korur.
Kademeli güvenlik yaklaşımı: Doğru tasarlanmış
ve kurulmuş bir kademeli güvenlik sistemi bizi bu raporda ele alınan
saldırılara ve daha gelişmiş (ölüm zinciri, vb.) saldırılara karşı da korur.
Veri Sızdırma Engelleme: İyi çalışan bir DLP
(Data Loss Prevention) çözümü saldırganların dışarıya veri sızdırmasını zorlaştıracak
ve büyük ölçüde engelleyecektir.
Bunların dışında ağımız üzerinde olup biteni
yakından takip etmemizi sağlayacak bir izleme sisteminin kurulması ve
işletilmesi güvenlik ihlallerini zamanında tespit etmemizi sağlayacaktır.
VLAN
ayrımlarının, güncellemelerin ve yamaların zamanında yapıldığı süreçlerin
oturmuş olması da “güvenlik hijyeninin” önemli bir parçasıdır.
Son olarak bir SOME (“Siber Olaylara Müdahale
Ekibi”) kurulması bize olaylara zamanında ve doğru müdahale etme becerisini
kazandıracak ve yaşadığımız olaylardan ders çıkartıp savunmamızı güncelleme
imkanı verecektir.
No comments:
Post a Comment