Televizyon, sosyal medya ve çevremizde sürekli “hacklendi” manşetlerini görmekteyiz. Peki ya görmediklerimiz? Yani hacker hariç, kimsenin bilmediği hack olayları… Siber güvenlikte saldırı tespiti çok önemlidir. Öyle ki saldırıyı tespit etmeden önlemek imkansızdır. Öyleyse gelin siber saldırıların tespiti hakkında konuşalım.
Çalıştığınız kurumun veya şirketin kapısında acı bir fren sesi duyuyorsunuz. Hızla yerinizden fırlayıp ne olduğuna bakmaya gidiyorsunuz ve karşınızda siyah bir minibüsten inen kar maskeli ve eli silahlı on kişi görüyorsunuz. Sakince yerinize gidip oturuyorsunuz ve günlük işinize devam ediyorsunuz. Burası bir bankaysa parayı alıp, bir kamu kurumuysa birkaç üst düzey bürokratı öldürüp gidiyorlar ve kimse Polisi bile aramıyor. Bu senaryo Siber Dünya’da her gün ve günde birkaç kez yaşanıyor. Tabii kimse fren sesini duymadığı, eli silahlı adamları görmediği ve çalınan para veya öldürülen bürokrat ortadan kaybolmadığı için, yukarıda olduğu gibi herkes günlük işine devam ediyor. Biraz acı bir örnek oldu ama gerçekler acıdır.
Siber saldırıları tespit etmek ve hatta anlamak bile belli miktarda teknik altyapı gerektirir. Siber saldırıları tespit etmek için izleme, analiz, uyarı ve müdahale bileşenlerinden oluşan bir sisteme ihtiyaç vardır.
İzleme
Öncelikle normal internet trafiğinin izlenip davranışlarının belirlenmiş olması gerek. Normal bir durumda nasıl çalıştığını bilmediğiniz bir sistemin, anormal bir durumda nasıl çalıştığını bilmemiz olanaksızdır. Bu sayede internet trafiğinde yaşanacak anormallikler tespit edilebilir hale gelecektir. Ağ üzerinden gelebilecek tehlikelerin ortaya konulması ve bu noktalardan gelecek saldırıların oluşturacağı hasarın tespiti, nasıl bir izleme sistemi kurulacağına karar vermek için çok önemlidir. İzleme sisteminin içerideki ağ ve kullanıcı veya sistem davranışlarını da izlemesi etkin çalışabilmesi için gereklidir. Anti-virüs yazılımlar, güvenlik duvarları (firewall), sızma tespit ve önleme sistemleri, açık tarama çözümleri ve ağ ve sistem davranışlarını birbiriyle ilişkilendiren (log ve olay korelasyonu) çözümler izleme sistemini oluşturabilecek çözümlerden bazılarıdır. Dışarıda gelişen önemli tehditleri gözden kaçırmamak için haberleri ve özellikle bilgi güvenliği açıklarını tanıtan sitelerin takip edilmesi gerekir. Güvenlik çözümü üreticilerinin çoğu bu tür uyarı e-posta yoluyla veya internet siteleri üzerinden duyurmaktadır. İzlenmesi gereken kritik sistemlerin tespit edilmesi için profesyonel bir bilgi güvenliği şirketinden destek alınabilir. İzlemenin doğru yapılması “normal durumu” bilmek, tehlikeleri anlamak ve “anormal bir durum” olduğunda bunu tespit etmekle mümkündür.
Analiz
Her şeyden önce izleme sistemi tarafından tespit edilen anormalliğin bir olay (saldırı veya tehdit) olup olmadığını anlamak gerekiyor. Bilgi güvenliği çözümlerinde sıkça görülen “yanlış alarm” (false positive) olarak adlandırılan olaylar da izleme sisteminin bir anormallik olduğunu düşünmesine neden olmuş olabilir. Bu durumda öncelikle bilginin gerçek bir saldırı veya tehdit sonucunda mı yoksa bir yanlış değerlendirme mi olduğunu anlamak gerekir. Olay gerçekse nasıl bir saldırı yapıldığını anlamak doğru çözüm üretmek için şarttır. Bunun için saldırının türü, kaynağı, hedefi ve ağ ve sistem üzerindeki etkileri gibi noktalar araştırılmalıdır. Bunların dışında saldırının davranışları veya “imzası” değerlendirilerek bilinen bir saldırı olup olmadığına bakmak önemlidir. Bilinen bir saldırıyla karşı karşıya olmak, önceden oluşturulmuş bir müdahale yöntemi bulunabileceği için işimizi kolaylaştıracaktır. Saldırının kapsamı anlaşıldıktan sonra en uygun müdahale yöntemi seçilmelidir. İngilizce konuşulan ülkelerde siber saldırılar için savunma veya engelleme kelimeleri değil zararı hafifletmek anlamına gelen “mitigate” kelimesinin kullanılması savunma yöntemine karar verirken akılda tutulması gerekenler konusunda bize bir fikir verebilir. Estonya bankaları Rusya’dan gelen saldırıları hafifletmek veya yönetmek yerine engellemeyi tercih ettiği için saldırının daha etkili olmasına neden olmuşlardır. Gelen DDoS saldırılarının asıl amacının hedef aldıkları banka sistemini hizmet veremez hale getirmek olduğunu düşünürsek, Estonyalıların bağlantıyı kesme kararının sadece saldırganların ekmeğine yağ sürdüğünü anlayabiliriz. Saldırılar hakkında toplanan veriler gelecek saldırıların engellenmesi, tespit edilmesi ve izlenecek müdahale yöntemi konusunda önemli bir girdi oluşturacaktır.
Uyarı
Basit gibi görünse de uyarıların kimlere ve nasıl gönderileceği çok önemlidir. Öncelikle uyarıların doğru kişiye gönderilmesi önemlidir. Bütün uyarı maillerini şirket içerisinde bulunan bütün e-posta gruplarına gönderildiği kuruluşların çalışanlarının bu e-posta kalabalığından kurtulmak için kurallar yazarak mesajların okunmadan çöp kutuna gönderilmesini sağladığını tecrübeli Siber Güvenlik Uzmanları bizlere aktarıyor. Şirketin kendine spam gönderiyor olması yeterince kötü değilmiş gibi mesajları okuyan kimse olmuyor. Uyarı mesajlarının bir amacı olanlar hakkında bilgi vermektir tabii ama bir diğer önemli amacının da bu uyarılara sonucunda bir hareket, tepki veya müdahalenin görülmesini sağlamaktır. Bu uyarı mesajlarının çok az kişinin anladığı sistemlerin gönderdiği garip içerikli mesajlar olmaktan çıkartıp yangın alarmı gibi kesin ve anlaşılır bir hale getirmek gerekir. Uyarıların zamanında yapılması ve doğru kişilere doğru zamanda ulaşmaları için en uygun iletişim yöntemi seçilmesi önemlidir. E-posta gibi kısa mesaj, telefon veya ses/ışık kullanılmasının gerektiği durumlar vardır.
Müdahale
Saldırılara karşılık yapılacak müdahalenin üç temel hedefi olmalıdır. Saldırıyı engellemek/zararı asgari düzeyde tutmak, zararın gerçek boyutunu anlamak ve saldırının tekrarlanmasını önlemek için gerekleri dersleri çıkartmak. Müdahale güvenlik duvarında bir portu kapatmak veya ağ kaynaklarını yeniden dağıtarak saldırının etkisini azaltmak gibi anlık olarak alınması gerek önlemlerden oluşabilmektedir. Bu tür durumlarda önceki adımlar olan izleme, analiz ve uyarının etkinliği saldırıya müdahalenin etkinliğini doğrudan etkileyecektir.
Evet bu yazımızda Siber Güvenlikte çokça önemli bir yer tutan Siber Saldırılar hakkında detaylı bilgi verdik. Bilgi dolu ve sağlıklı günler dilerim…
Tüm yazılarıma buraya tıklayarak ulaşabilirsiniz 🙂
