Radore’nin CEO’su ve sektörün duayenlerinden Barbaros Özdemir’le LinkedIn’de
siber saldırganların motivasyonları hakkında kısa bir yazışmamız oldu. Konu birkaç
satıra sığdırılamayacak kadar çetrefilli olduğu için ayrıca bir yazı yazmakta
fayda gördüm.
Saldırgan motivasyonunu anlamak siber güvenlik duruşumuzu
doğrudan etkileyecektir. Daha doğrusu etkilemelidir… Saldırganı düşünmeden
savunmayla ilgili bir karar alıyorsak büyük ihtimalle yanlış karardır. Kendilerini
yapılan her saldırının doğrudan hedefi olarak görenden “bize kim niye saldırsın?”
diyene kadar geniş bir yelpazede kuruluşla çalışma fırsatım oldu. Siber
güvenlik yatırımı planlarken saldırgandan yola çıkarak bir planlama yapmak
karşılaşmanız muhtemel siber saldırıları doğru öngörmenizi sağlayacağı için
yatırım getirisi (frenklerin Return on Investment – ROI dedikleri) en yüksek
kararları vermenize imkân sağlıyor.
Bu noktada önerdiğimiz hizmetler tehdit modellemesi, sızma
testi ve MITRE ATT&CK saldırı simülasyonları oluyor.
Siber saldırganların motivasyonlarına bakacak olursak, Varonis
tarafından yayımlanan bir araştırma sonucuna göre saldırıların %90’ı maddi
kazanç ve casusluk amacıyla yapılıyor. Şirket olarak son 12 ayda olay
müdahalesi desteği verdiğimiz kuruluşların tamamında saldırılar maddi kazanç
elde etmeyi amaçlıyordu. Online alışveriş siteniz olmasa veya kredi kartı
bilgisi tutmasanız bile Business E-mail Compromise veya fidye yazılım
saldırıların hedefi olabilirsiniz. Bu durumda saldırgan yine parasını kazanmış
olur.
Sektörde yaygın olarak kabul edilen saldırgan
motivasyonlarına bakacak olursak karşımıza aşağıdakiler çıkacaktır;
A. Maddi
kazanç: Saldırgan para kazanmayı amaçlar
B. Siyasi/ideolojik:
Saldırgan belli bir ideolojiyi yaymak/duyurmak için veya bu ideolojinin
çıkarlarına hizmet etmek için eylem düzenler.
C. Duygusal/Kişisel:
Saldırgan kişisel sebeplerden veya kişisel tatmin amacıyla hareket eder.
D. Tanıtım/Reklam:
Kişisel reklamını veya bağlantısı/sempatisi olan bir grubun adını duyurmak
amacıyla hareket eder.
Saldırgan profilini çıkartmak zor bir iştir ancak bunu
basitçe (bkz. sonucun doğruluğundan bir miktar ödün vermeyi gerektiriyor)
yapmanın bir yolu olabilir.
Öncelikle maddi kazanç amacıyla düzenlenen saldırılara
hedef olacağımızı kabul etmemiz gerekiyor. Modeli sadeleştirip her saldırgan grubuna
10 puan verebiliriz (gerçekte modeli daha gerçekçi kurguluyoruz elbette). Bir
miktar marka değerimiz varsa, örneğin televizyona reklam veriyorsak veya
finans, savunma sanayi, Telekom gibi kritik bir sektörde faaliyet
gösteriyorsanız b grubundaki saldırganlar için de hedef olabileceğinizi
düşünmeniz gerekir. İlaveten yakın zamanda işten çıkartmalar olduysa veya kuruluşunuz
toplumda hassas bir konuda bir duruş sergilediyse (örn. LGBT hakları) C grubunun
da ilgisini çekmiş olursunuz. Bu durumda toplam 30 puan ile geniş tabanlı ve motivasyonu
yüksek saldırgan gruplarıyla mücadele etmeniz gerektiği ortadadır.
Buna karşılık küçük çaplı, suya sabuna dokunmayan, adını
duyurmayan bir kuruluşsanız sadece maddi kazanç peşinde olan siber saldırganları
düşünerek bazı kararlar almak mümkündür.
Hizmet dışı bırakma saldırılarının (DoS/DDoS – Denial of
Service/Distributed Denial of Service) da maddi kazanç elde etmeye imkan
verdiğini görebiliyoruz. 2019 yılının ekim ayında dalga halinde ve dünyanın birçok
ülkesinde kuruluşlardan DDoS saldırısı tehdidiyle para istendiğine şahit
olmuştuk. DDoS saldırılarının düşük maliyetlerle kiralanabilir olması (DDoS as
a Service) nedeniyle de eski çalışanlardan rakiplere kadar değişik saldırganlar
tarafından intikam veya iş bozma amacıyla kullanıldığını da görüyoruz.
Science Publishing Group tarafından psikoloji ve davranış
bilimi başlığı altında 2016 yılında yayımlanan bir makalede hackerları 5 temel
kişilik özelliğine göre değerlendirilmiş. Çalışmada beyaz şapkalı, siyah
şapkalı ve gri şapkalı hackerlar aşağıdaki 5 kişilik özelliğine göre sınıflandırılmış;
- Dışa dönüklük
- Karşısındaki tarafından olumlu algılanma
- Deneyimlere açıklık
- Görev bilinci
- Duygusal istikrar
Kuruluşun siber güvenlik risk seviyesini etkileyen
faktörler düşünüldüğünde; saldırganın psikolojik durumundan çok motivasyonunun
(başarılı olana kadar hangi miktarda efor harcamaya hazır olduğu) ve teknik
beceri düzeyinin değerlendirilmesinde fayda vardır.
Maddi çıkar amaçlı saldıran grubun heterojen yapısı gereği
hem teknik olarak becerikli hem de daha temel düzeyde saldırganların bu grupta
yer aldığını söyleyebiliriz. Buna karşılık siyasi/ideolojik amaçlarla hareket
eden grupların önemli bir kısmının devlet destekli olması nedeniyle bu grubun
teknik becerisi genel olarak daha yüksektir.
Saldırgan motivasyonu ve teknik beceri düzeyine de ayrıca
bir puan verilmesi gerekiyor.
Son olarak kuruluşunuz bünyesinde bulunan zafiyetler ve
bunların istismar edilme kolaylığı risk seviyesinin belirlenmesini
sağlayacaktır. Bu aşamada biz bütün çalışmayı MITRE ATT&CK çatısına
yerleştirerek kuruluşun siber güvenlik duruşunda iyileştirilmesi gereken
noktaları ortaya çıkartıyoruz.
Kuruluşunuzda benzer bir çalışma yürüterek hangi noktaların
zayıf kaldığı ve daha önemlisi hangi saldırgan profiline karşı daha savunmasız
olduğunuzu belirleyebilirsiniz.
No comments:
Post a Comment