Genel BT pazarı ve tüm şekilleriyle İnternet büyüdükçe, buna karşılık gelen kötü niyetli faaliyetler de büyüyor. İşte bazı en canlı vakalar ve senaryolar: kesinlikle yeni bir şey yok, ancak şu anda incelediğimiz trendler keskin bir yükselişte.

Saldırganlar birleşiyor, savunmacılar da birleşmeli

Yalnız hackerlar hala siber uzayda dolaşıyor, ancak ekip çalışması günümüzün gerçek trendi (ve tehdidi!). Sadece yıllar önce bir ekip tarafından gerçekleştirilen bir saldırı, çoğunlukla arkadaşlarınızla biranızı yudumlarken övünebileceğiniz bir şeydi. Artık başarının anahtarı bu ve bunun tek nedeni günümüzün siber duvarlarının tek bir saldırgan için çok kalın olması değil.

Bir bilgisayar korsanlığı ekibinin hedeflenen bir şirketin yapay zekasına erişebildiğini (şu an için nasıl olursa olsun) hayal edin. Şöyle ki: bu özel ağın makine öğrenimi ile oynayabilmek – çevrenin geri kalanı bir nükleer savaş başlığı deposundan daha iyi korunuyor olsa bile. Karmaşık olmayan manipülasyonlarla, bir hedefin video gözetiminin görüntü tanıma sistemini “alternatif olarak eğitmenin” yolu vardır. Böylece tesislerde fiziksel bir davetsiz misafir gören kameralar utangaç bir şekilde geri dönmeyecek, sadece bir kişiyi göremeyecek, böylece bir bilgisayar korsanlığı ekibi üyesi gizlice içeri girip en korunaklı alanlara kişisel olarak erişebilecektir.

Tamam, kulağa biraz fazla “görev-imkansız” gelebilir. Ancak gerçek şu ki: bilgisayar korsanları sorumlulukları dağıtmak için etkili bir şekilde birleşiyor ve kısa sürede ve genellikle fark edilmesi zor olan güçlü saldırılar düzenliyorlar. Kullandıkları teknikler internetin büyüme hızıyla, yani çok hızlı bir şekilde gelişmektedir; ayrıca saldırganlar herhangi bir saldırı için taktiklerini seçmekte ve aşılamaz engellerle karşılaştıklarında bunları hızla değiştirmekte özgürdürler. Yukarıda anlatılan senaryo olağanüstü bir senaryo değildir: bazen saldırılar siber-fiziksel olarak tasarlanır, sistemi kandırmak gerçek izinsiz girişleri kolaylaştırır. Ya da tam tersi, ihlal fiziksel izinsiz girişten başladığında – bir hedefin sistemine bağlanmak için.

Savunan tarafın yan eylemleri de ekip bazında yönlendirilmelidir, ancak bir hedef için senaryo oldukça farklıdır. İhlal riskleri sadece BT Departmanının baş ağrısı olmaktan çıkar, çünkü bu riskler tüm işi tehlikeye atabilir – hassas veri sızıntıları, üçüncü tarafların maruz kalması vb. Dolayısıyla bugün üst yönetim, şube amirleri, kesinlikle finans ve hatta zaman zaman pazarlama ve iletişim – tıpkı diğer kritik durumlarda olduğu gibi veri ihlali müdahale protokolünü hazır bulundurmalıdır. Bu pro-aksiyonlarla bağlantılı olarak ortaya çıkan trend ise olası veri kaybı/açığa çıkma risklerinin sigortalanmasıdır. Bu adım zaten bir süredir düşünülüyordu, yani yine yepyeni bir şey değil. Ancak bu tür sigorta sözleşmelerinin en büyük olayları – ve şimdiye kadar ilgili geri ödemeler – henüz haberlere yansımadı.

Uzaktan kumanda

“Ev ofisleri” muhtemelen son zamanların en belirgin trendi. Temel özellikleri bir tür çocukluk hastalığı olarak görülebilir: doğumu oldukça ani, büyümesi ise patlayıcı oldu (hala da öyle), her ikisi de trendin kendisinin pandemik doğasından kaynaklanıyor. Uzaktan çalışma modunu başlatan şirketler elbette güvenlik konularını göz önünde bulunduruyordu. Ancak çoğu zaman, hızlı geçişin aciliyeti nedeniyle, koruma daha az dikkatle düşünüldü.

Saldırganlar daha kolay hedefleri tercih ediyor: artık esnetilmiş, ancak hala iyi korunan kurumsal altyapıya kafa tutmak yerine, uzak masaüstü protokollerindeki güvenlik açıklarını arıyorlar ve/veya kurumsal ağlara erişimi olabilecek kişisel cihazları hedefliyorlar. Yine, saldırı tasarımları sadece doğrudan ihlallerden daha karmaşıktır. Örneğin, kişisel cihazlardan bazı kurumsal verilerin elde edilmesi bilerek hazırlık aşamasıdır. Daha sonra, yetenekli sosyal mühendislik ve alternatif olarak toplanan kurumsal bilgi parçaları (önemli bir veritabanına yığılan) yardımıyla, çok daha büyük zarara neden olan ana saldırı gerçekleştirilecektir.

“Clandestine” kelimesi neredeyse doğrudan casusluk anlamına geldiğinden, gizli saldırı tasarımı işletmelerden son derece hassas verileri emmek için yaygın olarak kullanılmaktadır. Such attacks are performed with a kind of technical grace – using fileless malware.
Bu yöntem işletim sistemine gömülü süreçleri ve araçları kullanır; disklere yazılacak hiçbir şey yoktur ve bu nedenle “normal” kötü amaçlı yazılımlara kıyasla tespit edilmesi çok daha zordur.
ESET findings göre, 2021 yılında bu tür saldırıların çoğu ticari kuruluşlardan ziyade devlet kurumlarını hedef alacak.

Savunma tarafları için koruyucu önlemler genellikle kurumsal erişim politikalarının sertleştirilmesini içerir. Uzaktan çalışmayı daha az elverişli hale getirir, ancak Mobius Enstitüsü iş geliştirme uzmanlarının belirttiği gibi, “kurumsal dünyada güvenilirlik genellikle kolaylıktan daha önemlidir”. Bu arada aynı iş eğitim kurumu çağrıda bulunmaya devam ediyor: personelinizi, ortaklarınızı ve ilgili herkesi siber güvenlik konusunda aydınlatın ve en azından temel bilgi güvenliği becerilerini öğretin.

İnsan faktörü hala en büyük sorun

“Hata yapmak insanın doğasında var”. Ya da “kimse mükemmel değildir” ve tamamen geçerli bir düzine mazeret daha. The same question has to be asked in response to all mentioned: pure nonchalance or intention? Komik bir şekilde, bu sorunun cevabı pek de önemli değildir: ticari veri ihlallerinin yaklaşık %90’ı çalışanların ihmalinden kaynaklanmaktadır. Dahası, bu şok edici derecede yüksek göstergeler 2010’ların ortalarına kadar uzanıyor ve o zamandan beri sadece tek haneli rakamlar aralığında dalgalanmaya devam ediyor.

Daha sonraki döküm kabaca şu şekildedir:

• eylemlerin az ya da çok otomatikleştirildiği ve insan operasyonlarıyla doğrudan bağlantılı olmadığı kötü amaçlı yazılımlar – 2017’de %19 iken 2020’de %15,5’e düşmüştür;
• yazılım hatası/güvenilmezliği – son yıllarda aynı istikrarlı %17. “Ev ofisi” modunda yazılım performansına ilişkin en yeni verilerin hala toplanması ve analiz edilmesi gerektiğini lütfen unutmayın;
• geri kalan yüzde ise üçüncü tarafların kazalarına aittir. Çeşitli araştırmalar toplam ihlallerin sadece %11’ini bulut hizmetleri sağlayıcılarına ve benzerlerine atfetmesine rağmen, bu durum hizmet sağlayıcıların ihmalini de içermektedir.

A little more statistics: Grand View Research, Batı siber güvenlik pazarının 2020’de 166 milyar ABD doları değerinde olduğunu, yıllık bileşik büyüme oranının %10 olarak öngörüldüğünü ve 2027’de 330 milyar ABD dolarının biraz altında bir büyüklüğe ulaşacağını hesaplamıştır.
Sadece B2B ile ilgili olmamalarına rağmen burada iki mansiyon ödülü uygundur.

Birincisi: son derece esnek ve bazen gerçekten ayrıntılı sosyal mühendislik, siber suçlulara ekmek somunlarını – çoğu zaman da sandviçin tamamını – getirmeye devam ediyor. Kimlik avı, dolandırıcılık planları, Nijerya’dan gelen o meşhur mektuplar: inanması zor ama son teknik bile, ortalama bilgi okuryazarlığı seviyesinin artmasına rağmen hala işe yarıyor. En güncel (ama aynı zamanda yepyeni olmayan) kimlik avı trendleri şunlardır: doğrulanmış olanlarla neredeyse aynı şekilde tasarlanmış platformları tanıtmak ve daha önceki kimlik avı planlarını araştıran kolluk kuvvetleri temsilcileri gibi davranmak – sorgulamalara devam etmek için aynı kredi kartlarının veya benzer verilerin “gerekli” olduğu yerler.

E-posta oltalama kurumsal segmente de girdi, özellikle de “ortadaki adam” şeklinde. Örneğin, olası bir sözleşme hakkında bilgi sahibi olan saldırganlar, adresleri yine çok benzer adreslerle değiştirirler. E-posta alışverişi genellikle mesaj zincirleri halinde gerçekleştiğinden, sahte katılımın tespit edilmesi daha zordur. Birçok durumda sahtekarlık ancak finansal işlemler tamamlandıktan sonra ortaya çıkar.

Aynı Q&A çifti, Vahşi Batı zamanlarından beri, hatta daha öncesinden beri değişmeden kalmıştır:

– Neden bankaları soyuyorsunuz?
– Çünkü onlarda para var!

Yine de modern bankacılık sistemleri iyi korunmaktadır, bu nedenle kötü niyetli kişiler dikkatlerini belirli parasal araçlar sunan bankacılık dışı kuruluşlara çevirmektedir: başarıların geçici “altın” ile takas edilebildiği oyun portalları veya tam tersi, gelişmiş paraya çevrilebilir bonus sistemleri ve müşteri kimliklerine bağlı finansal hesapları olan İnternet ve mobil sağlayıcılar vb.

İkinci mansiyon ödülü ise internete yeni alışan gençler, milenyum kuşağı ve daha hassas yaşlardaki gençlere aittir. Ebeveyn kontrol araçları tamamen aktif olsa bile gençler çevrimiçi ortamda güvensiz davranma eğilimindedir – bu doğrudan mali kayıplar veya diğer dolandırıcılık türlerinden çok, genç kişilikleri ve tutumları derinden etkilemekle ilgilidir. İntihar hareketleri, genç çeteler veya okul saldırıları gibi açıkça korkutucu konular bu yazının kapsamı dışındadır, ancak muhtemelen ilk kez “İnternet-nativitesinin” çevrimdışı olarak hissedilir bir etkiye sahip olduğuna tanık oluyoruz.

Davranışsal modeller de dahil olmak üzere analiz otomasyonu bu konuda bir çözüm olarak görülmektedir. Proaktif içerik izleme sadece mevcut yıkıcı eğilimlere karşı koymakla kalmayacak, aynı zamanda gelecek olanları da tespit edebilecektir. Ek, kişisel ve uygulaması çok daha kolay olan endişe ise çocukları ebeveynlerin/akrabaların/velilerin iş faaliyetlerine dahil olan cihazlardan uzak tutmaktır.

Korumaya bütüncül yaklaşım

Yaklaşmakta olan bir başka trendi, Nesnelerin İnterneti güvenliğini bilerek atlıyoruz. Özellikle de hala büyük ölçüde yapım aşamasında olan bu yollar zaten bilindiği için. Her cihazın kendi korumasına ihtiyacı var; ve sadece küçük cihazların değil, akıllı bir şehir veya ulaşım tesisleri kadar büyük sistemlerin de saldırıya uğrayabileceği aşikar.

Daha önce de belirttiğimiz gibi, günümüzde bilgi güvenliği konuları en az COVID-19 koruması kadar önemsenmelidir. Bir işletmenin herhangi bir seviyesindeki temel ihtiyatlı davranıştan otomatik izlemeye ve bir şirketin güvenliğinden sorumlu herkesin sıkı işbirliğine kadar – yalnızca bütüncül bir yaklaşım hassas verileri sağlam ve davetsiz misafirleri uzak tutacaktır.

İhlaller maliyetli olabildiği gibi, günümüzde koruma önlemleri de maliyetlidir. Her kurumun kendi bünyesinde tam bir bilgi güvenliği ekibi kurmaya gücü yetmez. Çeşitli dış kaynak çözümleri mevcuttur: talebinize göre gerçekleştirilen bağımsız bilgi güvenliği denetimi ile başlayıp, güvenlik konularında uzmanlaşmış Güvenli Operasyon Merkezi veya Yönetilen Hizmetler sağlayıcısı ile işbirliği kurmaya kadar. Güvenlikle ilgili baş ağrısı ve CAPEX sorunlarınızı da ortadan kaldıracağız, çünkü böyle bir işbirliğinde neredeyse hiç yok.

Bir diğer koruma yöntemi olan sızma testi bir şekilde bağımsızdır. Askeri tatbikatlardaki gibi: “Saldırıyı püskürtmenin en iyi yolu saldırıyı simüle etmektir”. Güvenlik konusunda uzman BT sağlayıcılarının deneyimli profesyonelleri tarafından gerçekleştirilen sızma testleri, müşterinin çevresine, altyapısına vb. yapılan saldırıları taklit eder. – Bazen hayal bile edilmeyen güvenlik açıklarını ortaya çıkarır. Pentestin bir diğer faydası da mevcut sisteme zarar vermemesidir: müşterinin ağında birden fazla açık olsa bile, taklit edilen saldırılar sadece zayıf bağlantılara işaret eder, hiçbir şeyi değiştirmez.