Siber Saldırıların Önlenmesi ve Yapılması Gerekenler

Merhaba Arkadaşlar

Makalemizin bu bölümünde Siber Tehtit İstihbaratı (Cyber Threat Intelligence) noktasında önceden tanımlanması ve gerekli aksiyonların devreye alınmasında önemli husus olan Siber Tehtit İstihbaratından bahsetmek istiyorum;

Siber Tehtit İstihbaratı (Cyber Threat Intelligence) Siber güvenlik konularının alt dallarından bir tanesidir.Esasında alt dal olmasına karşın en önemli tepe noktasını temsil eder.Bu istihbarat konularının içeriği Sosyal Medya,İnsan Kaynakları,Dark Web gibi alanlardan toplanan verilerin işlenmesi ve anlamlı hale getirilmesi gereken alanların tanımıdır diyebiliriz. Genel işleyiş bakımıdan Siber tehdit istihbaratı, bir organizasyonu ya da onun varlıklarını korumak için gerekli analiz süreçlerini kullanarak gelebilecek potansiyel saldırıların ya da oluşabilecek zafiyetlerin erkenden tespit edilip önlemlerinin alınması için uygulanan bir faliyetler bütünüdür.

Siber İstihbarat alanındaki alt alanlar şu şekildedir;

*Taktik aşamasında hedef alınan sisteme ne şekilde saldırı teknikleri ve taktikleri kullanıldığı analiz edilmekte.Bu analizler neticesinde saldırgan ile saldırılar arasında bir çeşit kriminal bağlantı kurulması amaçlanır.

*Teknik türü, kullanılan zararlı yazılımlar ve onların çeşitleri üzerine yönelir.Saldırganın hedef üzerinde hangi yazılımlar ve uygulamalar ile saldırdığı hangi araçlar ile zafiyetleri tespit ettiği noktasına yoğunlaşır.

*Operasyonel Bölümde ise  yapılan saldırı üzerine bilgi toplamak ve gelecekte buna ne gibi önlemler alınabileceği üzerine çalışır. Var olan hususlar üzerinde derinlemesine analizler yapılarak ileride gelişicek ataklar ve zafiyetleri önlemeyi amaçlar.

*Stratejik Nokta ise, organizasyonun kritik varlıklarını belirlemek ve savunma çabasının en çok nerelerde güçlendirilmesi gerektiği üzerine çalışmalar yapar.

Bu maddelerden yola çıkarak bir kuruluşun siber güvenlik hassasiyeti yukarıdaki yönergeler ile oldukça sağlıklı ve hassas şekilde etkisini arttırmasının yanı sıra ilgili kurum gelecekte karşılaşabileceği siber tehditleri görebilmekte ve buna göre çalışmalar yapabilme imkan ve kabiliyetine ulaşabilmektedir.Siber güvenlik maliyeti yüksek bir faliyet gibi görünsede yaşanıcak herhangi bir saldırı sonrası kaybedilicek noktalar daha fazla ve tamiri zor sıkıntılar bırakabilir. Bunun önüne geçmek içinse bu tekniklere yönelmek artık bir tercih değil bir zorunluluktur.Siber tehtit istihbaratı gerçek zamanlı olarak alınan değerler analiz edilerek olası saldırılara karşı hazırlıklı olunabilir. Buna proaktif siber güvenlik tanımı yapılmaktadır.

Bir Siber Saldırı Öncesinde Ne Gibi Önlemler Alınabilir ?

Siber Saldırıların saldırı zamanlamasındaki analizine baktığımız zaman genelde saldırılar devlet kurumlarına yönelik ise haftasonları/akşamları normal kurum ve kuruluşlara karşı olduğunda ise yoğun olarak akşam mesai saatleri dışında yapıldığı gözlemlenmiştir.Saldırganların zamanlama noktasında oldukça önemli bir şekilde analiz yaptığı ve buna göre saldırılarına başladığını genelde söyleyebilirim.Bir Siber saldırıda en önemli faktör erken uyarı sistemi ve istihbaratınızın her türlü olasılığa açık şekilde değişebilir kurallar bütününe sahip olabilmesidir.Bir siber savaş sırasında yapılabilecek en iyi savunma, tehditlerin gerçekleşmesine izin vermemektir. Bunu yapmak için bazı önlemlerin alınması hayati nitelik taşımaktadır.

*Kurum içerisinde saldırı öncesi ve sonrası için gerekli olasılıkları seneryolaştırmak ve uygulamak.Bunların planlamasının yapılması ile beraber en önemli teknoloji ayağı olan kullanıcılara gerekli temel eğitimlerin verilmesi.

*Sistem tarafında ilgili saldırıların gerçekleşmeden alınabilicek önlemler kapsamında IT altyapınızın bu tarz siber saldırılara karşı belirli planlama prosedürlerinin olması gereklidir.Özellikle (Disaster Recovery Plan) içerisinde saldırılar olmadan öncede sanki saldırı gerçekleşmiş gibi davranarak sistemdeki aksaklıkların tespiti nelerin zarara uğrayacağının belirlenmesi,nelerin kritik ve sürekli çalışan sistemler olduğunun tespiti ile beraber yapılan seneryolarda bütün Penetrasyon testlerinin canlı ortamda yapılarak aksama görülen yerlerin tespiti ve analizide önemli bir durumdur.

Kritik varlıkların tanınması: Hangi programlar, sunucular, işlemler, veri tabanları devre dışı kalması halinde yapılan işin devam edilmesine engel oluşturuyorsa, bunlar kritik varlıklardır. Bu sistemlerin tanınması ve korumak için gerekli adımların atılmış olması gerekmektedir.

Önemli verilerin ve bazı kritik uygulamaların korunması için uygun güvenlik sistemlerinin kullanılmasıda özellikle önem arz etmektedir.Bunlara örnek vermek gerekir ise mesela bir saldırı olmadan veya saldırı olduktan sonra o saldırı türü hakkında analizlerin yapılarak  bir kurum hafızası içerisinde geçmiş dönemlerde saldırı analizlerini hesaba katarak daha gerçekleşmeden önceki veri ihlallerini bildirecek, olağan dışı olayları rapor edecek teknolojilerin kullanılması çok önemli bir husustur.Bu teknolojilerin en başında SIEM (Security Information and Event Management) yazılımları gelmektedir.Erken uyarı ve oluşabilicek ilk saldırı dalgasını analiz ederek haber vericek bu sistemin yanında DLP (Data Loss Prevention Software) gibi veri kaybını önlemeye yarayan sistemler ve Network güvenliği tarafında IPS(trusion Prevention Systems) ve IDS(Intrusion Detection Systems) tarafınında iyi şekilde planlanmış ve güncel tehtitlere karşı yapılandırılmış olması gerekmektedir.

Söylediğimiz Önlemlere Rağmen Siber Saldırı Gerçekleşti Neler Yapılması Gerekir ?

Bazen ne kadar güvenlik önlemi alırsak alalım ilgili atakları engelleyememiş olabiliriz.Buna rağmen saldırganlar belirli zafiyetleri kullanıp sisteme sızdı ve kritik bilgileri elde edip/kullanamaz duruma getirdiğinde neler yapılabilir ?

*Saldırı gerçekleştikten sonra durum değerlendirilmesinin yapılması oldukça önemlidir.Hasarın boyutlarının belirlenmesi konuya yaklaşım ve uyarı düzeyini belirleyen temel unsurlardan bir tanesidir.

*Kuruluş içerisinde tıpkı bir Exper gibi hasar kontrolünün yapılması oldukça önemlidir.Ele geçirilmiş sistemlerin alternatiflerinin hazır tutulması,yedeklilik kontrolü ve işler durumda olup olmadığının tespit edilmesi,bunun yanında hasar gören sistemlerin imajlarının alınıp ayrı bir lab ortamında incelenerek saldırının nelere yol açtığı ve ne tip bir saldırı ile karşılaştığımızı görmemiz açısından önemli bir durumdur.

Tabi bu noktada bazen yanlış alarmlar da kurumunuza bir siber saldırı yapılmış hissiyati verebilir.False Positif veya False Negatif durumları iyi analiz etmeniz gerekir.Misal bir kullanıcının veya birden fazla kullanıcının şifre denemeleri yapması bir atak vektörü gibi düşünülebilir.Fakat kurumunuzdaki mail Server ile LDAP Auth. Noktasında servisler durmuş ise veya DC ler ile kullanıcıların hesapları arasında herhangi bir sorundan ötürü sekron kaybıda kullanıcıların mobil cihazlarından aralıklarla hesaplarının Auth. Denemesi yapacağından ötürü sanki bir şifre deneme saldırısı oluyor gibi algılanabilir. Durumu kontrol ettiğinizde bunun sadece sistemde gerçekleşen bir aksaklık ise kurtarma senaryosunun devreye sokulması kurum içerisinde daha fazla kaosa neden olabilir.Lakin oluşan durumun siber saldırı olduğu kesinleşirse daha önce yapılan planlardaki işlem adımları devreye sokulur.

*Gerçekleşen siber saldırı sonrası hasarın en minimum düzeye İndirilmesi noktasındada yapılması gereken bazı hususlar vardır. Misal Kurumunuzdaki Siber saldırı yapan kişiler sisteminiz içerisine bir zararlı bulaştırıldı ise (örn:*exe yada *bat dosyası) veya bir connection  açtı.Bu tehtit malesef silindiğinde bütün verilerinizin kaybı anlamına gelmektedir.Burada karar vermeniz gereken husus şudur.Bu zararlı bulaşmış yazılımı temizlemek için zaman’mı ayırmalı yoksa temiz bir yedekten dönülerek sistemi işler halemi getirmeli ? Bu konuda işleyen sistemi yenilemek veya temizlenmesini sağlamak noktasındaki kararı iyi analiz ederek iş kaybı/zaman içerisinde hesaplamanız oldukça önemlidir.

*Sisteminize yapılan saldırı sonrası en önemli hasar tespit çalışması hangi sistemlere zararlı bulaştığının tespitinden sonra temiz yedeklerden dönülmesi hususudur.Bu noktada düzenli ve en az 3 ay öncesine sahip yedeklerinizin olması oldukça önemlidir.Çünkü bir sistemin içerisindeki zararlı yazılımın tetiklenmesi saldırıdan sonra olmayabilir.Gizlenmiş ve açığa çıkmak için sadece saldırganın tetiklemesini beklediği kod bloğunu çalıştıran belirli uygulamalarda vardır.Bu yüzden en erken 3 ay öncesinin verilerinden başlayarak temiz sistem yedeğinin bulunup geri döndürülmesi oldukça önemlidir.Tabi burda sisteme bulaşan zararlının create time noktasınında iyi tespit edilip ondan önceki sürüm tarihine recovery edilmesi sistemin sağlığı açısından daha verimli olucaktır.

*Siber saldırı noktasında ele geçirilen sistemlerin bir imajının alınıp adli işlemler için kullanılmasıda bazen gerekebilir.Özellikle devlet ve kuruluşlara yapılan saldırılarda tespit ve takip edilmesi açısından adli bilişim araçlarının kullanılarak hem kurum içi sızıntı hemde kurum dışındaki saldırganın tespiti noktasında sıkıntı olmaması açısından zarar görmüş sistemlerin ayrı bir alanda incelenmesi önemli bir husustur.

*Siber saldırının başladığı andan itibaren bazı hizmetlerin kesilmesi ve aksaması noktasında ilgili departmanlara ve bu servisleri kullanan kullanıcılara genel bir bildirim yapılmasıda oluşabilicek zararları en minimize düzeye indirebilir.Örneğin şifrelerin denenmesi durumunda kullanıcılara ve yetkili personele şifrelerini değiştirmesi complex 18 haneli şifreye döndürmesi bunun yanında eğer kullanıcı ismi değiştirme yetkisi varsa değiştirmesi gibi faliyetler yapılabilir.Bunun dışında kurum mailine gelen şüpheli postaların ekleri dahil olmak üzere açılmaması direk kuruluşunuzda Siber Olaylara Müdahale birimi var ise oraya gönderilmesi gibi yönlendirici bilgiler verilerek kullanıcıların ve sistem yöneticilerin bu noktada tetikte olması sağlanabilir. Verilecek bu bilgiler aynı saldırının başkalarına verecek hasarı önleyebilir veya azaltabilir. Bundan zarar görücek kişi veya kurumların bilgilendirilmemesi, karşı tarafın maduriyetini yasal noktalara taşımasına sebep olabilir.

Saldırı Sonrası Oluşucak Durumlarda Neler Yapılmalı ?

Saldırıların başlangıç ve sürmesi halinde neler yapılabiliceği kadar sonrasındaki planlamada oldukça önemli bir konudur.Kuruluşunuz siber saldırıdan etkilendikten sonra durum analizi yapılması gerekmektedir.Bunların içerisinde etkilenen veya etkilendiğini düşündüğünüz sistemleri izlemeli,eğer etkilendi ise bütün dış bağlantıların kapatılması ve istemciler ile olan erişimlerinin bloke edilmesi gibi bir çok eylem yapılabilir.Kontrol ve denetimden sonra ortaya çıkıcak duruma göre yeni bir güvenlik planlaması yapılarak sistemi daha stabil ve güvenli hale getirmekte bu durumlar arasında sayılabilir.

Siber saldırı sonrasında yapılan saldırı analizin temek nedeni sistemde bulunan zafiyetin tespiti ve tespit edilen açığın kapatılması sürecidir.Eğer bu zafiyet kapatılmaz veya tespit edilemez ise saldırganlar tekrardan bu zafiyeti kullanarak daha sistemde daha derin noktalara giderek kalıcı yetki yükseltmesi sağlayabilir ve sizin farketmeniz bu noktada ciddi sıkıntı olur. Bu tarz bir Siber saldırının tekrar gerçekleşmemesi için gerekli incelemelerin titizlik ile  yapılmasının yanı sıra yetkili ve kurum personelinin bu noktada bilgilendirilmesi ve gerçekleşen saldırıya sebebiyet veren hususlar araştırılmalı ve düzeltilmelidir.

Siber Tehdit İstihbaratı Temel Özellikleri Nelerdir ?

Kamu kurum ve kuruluşların dikkat etmesi gereken husus güncel tehtit ve istismalarlar hakkında detaylıca bir analiz sürecine sahip olmalı ve bu sorunlar akarşı ne tip çözümler geliştirmeleri gerektiğini bilmeleri gerekmektedir.Bunları sınıflandırmak gerekir ise Nitelikli, güvenilir, üçüncü parti kaynaklı olması, aktif bir tehdide yönelik olması,  riske yönelik öngörü sağlaması, çözüm önerileri içermesidir. Bu özelliklerin hepsini barındırmayan bir hizmetin başarılı olması beklenmemelidir.

Ülkemizdeki Siber Güvenlik Tehtit Analizi durumuna bakıldığı zaman veya kendi analizlerimden biraz bahsetmek gerekir ise karşılaştığım özellikle devlet kurumlarında SOME kuruluşlarında bir çok ham bilgi toplanmasına rağmen bunların çok fazla analiz içeren noktalara temas ettirilmemesi veya gelen veririnin aynı şekilde işlenip arka planının soruşturulmamasıdır. Aslında ne kadar çok ham bilgi o kadar güvenlik noktasında olmak yerine bu ham bilgilerden önemli olanları ayırıp en güncel güvenlik tehlikelerine göre aktif ve tehlikeli olan durumlar hakkında bilgi edinebilmelidir.Malesef ülkemizin kamu kuruluşlarında bu noktadan ziyade gelen ham veriyi filtreleyip önlem aldığını düşünen çok sayıda güvenlik uzmanı bulunmaktadır.

Tabi bu işin kurumsal prestij kısmına değinmek gerekiyor.Bir çok kurum zafiyet yaşadığında hem kurum içerisinde hemde müşterilerinde güvensizlik itibar kayıpları oluşabiliyor.Özellikle devlet kurumlarında çok fazla etkisi olmasada (neticede 657 ve liyakatsizlik sağolsun)  kurum ve kuruluşların ciddi imaj kaybına neden olabilir.Siber Tehtit İstihbaratı tarafından sağlanan bilgiler neticesinde sisteminizdeki riskin büyüklüğü bunun size ve kuruluşunuza yapacağı maddi ve manevi kayıpların dikkatlice analiz edilmesi ve ona göre uygulama ve sistemsel noktalarda gerekli iyileştirmelerin yapılması kaçınılmazdır.Kuruluşunuzun bu raporlama sonucunda kuruluşa ve onun sahip olduğu kaynaklara, teknolojilere, yazılımlara göre özelleştirilmelidir.Bu riske karşı bir öngörü düzenlemesi olarak kuruluşunuza oldukça önemli faydalar sağlayacaktır.

Kuruluşunuzun karşı karşıya kaldığı riskleri belirledikten sonra çözüm önerileri ve yapılıcak faliyetlerde bir o kadar önemlidir.Kritik olan nokta bu risklere karşı ne şekilde bir aksiyon vereceğinizdir.Varolan risklere göre hangi teknolojiler,hangi yazılımlar,hangi güvenlik açığı güncellemeleri ile yola devam ediliceğide çözümün bir parçasıdır. Bu çözümleri iyi bir şekilde ihtiyaca yönelik yapabilmeniz durumda tehtit algısı modeliniz bir nebze olsun şekillenmiş olucaktır.

Siber Tehdit İstihbaratının Faydaları Nelerdir ?

İstihbarat  her daim gerçekleşecek saldırılar için önleyici bir adım olarak görülmelidir.Siber İstihbaratın kurum ve kuruluşlara kazandırdıklarını anlayabilmemiz için faydalarının ne denli kritik olduğunu bilmemizde fayda olduğu düşüncesindeyim.Bu faydalardan biraz bahsetmek gerekir ise;

*Bulunduğunuz alan ile alakalı tehtitler hakkında güncel bilgileri toparlayabilir analiz edebilirsiniz.

*Kuruluşunuzdaki sistemin karşılaşabileceği tehtitler ve bunların risk analizini sağlayabilirsiniz.

*Önleyici savunma kapsamında yeni gelişen tehtitlere karşı daha proaktif savunma teknikleri üzerinde çalışabilirsiniz.

*Siber tehtit ile alakalı olarak bunlarla ilgilenen aktörleri takip etmek,bunların kullandığı araçların hangi özellikleri olduğunu ne şekilde çalıştığını tespit etmek ve bunları kendi kuruluşunuzda test ederek sistemde açık olup olmadığının analizini yapabilirsiniz.

*Olayları izleme ekipmanları sayesinde gerçekleşicek herhangi bir tehlikeyi önceden haber almak ve planlamadaki aksiyonları devreye sokabilme becerisinin edinilmesi.

* Kuruluşun bulunduğu internet varlığının ne kadar savunmasız ve nerelerde eksik noktaları olduğu hakkında fikir sahibi olmasına yardım etmek,

Siber Güvenlik İstihbaratı ile alakalı serimizin ikinci makalesininde sonuna geldik,serimizin son makalesinde görüşmek üzere hoşçakalın.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!