Açık Hedef...
Aslında en büyük sıkıntı açık hedef olmak. Açık hedefden kastım şu, eğer ki internet üzerinden verdiğiniz hizmetler örneğin web, e-posta, ftp
vb. varsa açık hedefsiniz. Sadece sosyal medya da olmak, e-posta alıp göndermek bile ve hatta dünya üzerinde varolmak bile açık hedef olmanıza yetiyor. Çünkü bir şey varsa, düşman için bir hedef veya hedefine ulaşmak için bir araçtır (çok varoluşcu bir tespit oldu).
Saldırganlar genellikle çıkarlarına ilişkin olarak ya hedefli bir saldırı yapıyorlar (kimlik bilgilerinin çalınması olayı) veya sürekli interneti tarayarak ve/veya tarayan araçlardan bilgi toplayarak (
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]) ya da kurdukları tuzaklara (phishing) düşen hedefleri (Cryptolocker) avlayarak bilgilerimizi çalıyorlar.
Saldırganların illaki bu işten maddi bir çıkar sağlaması gerekmiyor bazıları sadece yapmış olmak için, eğlenmek için ve hatta sadece zarar vermek için bile bu tip saldırılar yapabiliyorlar. Ve yapılan saldırıların sonuçları genellikle düşünülmüyor ve bu sonuçlar aynı kelebek etkisi gibi büyüyerek kimsenin aklına gelmeyen çok daha büyük sorunlara sebep olabiliyor.
Uknown/known, Known/unknown, Unknown/Unknown ...
Bu durumun önüne geçmek aslında çok zor çünkü size kimin saldıracağını, ne amaçla saldıracağını veya bilgilerinizi hangi amaçla kullanabileceğini bilmeniz imkansız gibi bir şey. Bu nedenle düşmanınızın kim olduğunu tespit edemiyorsunuz hatta size niye saldırdığını bile tespit edemiyorsunuz. Bu durum da birden çok, çok bilinmeyenli denklem ile problemi çözmeye çalışmak gibi oluyor.
Büyük bir problem genellikle, küçük problemlere bölerek çözülür, araştırmacılar da bu mantıkla tüm bu tehditleri, saldırıları, saldırı tiplerini, araçları, taktikleri ve hatta saldırı adımlarını gruplar haline getirip bazı çözüm yolları bulmaya çalışıyorlar. Bu şuna benziyor, elektiriğin ne olduğuyla, bir ampülün nasıl çalıştığıyla ilgilenmeden bir lamba ile etrafı aydınlatarak hırsızları nasıl yakalarıza bakmak gibi, doğrusu da bu aslında. Ama lambanın nasıl çalıştığını bilmenin de bir zararı yok : )
Siber İstihbarat Önemli..
Karşınızdakinin kim olduğunu bilmeden savaşamazsınız, yaptığınız sadece savunmak olur. Bizim şu andaki güvenlik dünyasında yaptığımız da tam olarak bu aslında. Savunmadaysanız da yapacağınız düşman hakkında istihbarat toplayarak TTP dediğimiz saldırganların kullandığı araç/gereç , taktik ve yöntemleri (Tools, Tactics and Procedures) tespit edip bunlar için bazı tespit ve önleme mekanizmalarını (saldırı imzaları, karalisteler
vb.) devreye almak olacaktır.
Ancak burada savunma tarafındaki kişilerin sürekli tetikte, uyanık olmaları ve en ufak bir saldırı göstergesi için bile arka planda çok miktarda iş yapmaları gerekiyor. Çünkü biz savunmada olanların her deliği kapatması gerekiyor.
Kötü Miras...
Ancak saldırganın işi çok daha kolay çünkü saldırmak istediği hedefler belli ve bu hedeflere ulaşmak çok zor değil. Zafiyet içeren işletim sistemleri, uygulamalar, yazılımlar, insanlar, süreçler karşılarında hazır, erişilebilir ve açık bir şekilde duruyor. Bu zafiyetlerin sebepleri bazen ömrü dolmuş (End of Life) işletim sistemleri, uygulamalar ve yazılımlar iken bazen de geriye dönük olarak kullanılmak zorunda kalınılan, yapısal olarak problemli özellikler olabiliyor. Geriye doğru uyumluluk yüzünden örneğin bazı parolaların veri tabanlarında veya dosyalarda düz metin olarak tutulması gibi.
Bunun dışında güvenlik düşünülmeden tasarlanmış, yazılım dilleri ve protokoller, yapısal olarak kullanıldıkları sistemlerde zafiyetler oluşmasına neden oluyor. Bu zafiyetler de kimi zaman sistemlerin direkt olarak ele geçirilmesine neden olmakta, kimi zaman da bir girişi noktası sağlayarak saldırganların sistemlere sızmasına neden olabiliyor.
Asimetrik Tehdit...
Günümüz güvenlik dünyası gerilla savaşı yapan bir terörist grup ile düzenli ordunun savaşmasına benziyor. Bu nedenle asimetrik bir tehdit ile karşı karşıyayız. Hatta bizim durumumuz çok daha kötü çünkü saldırganları yakalamamız imkansız, yakalayabildiğimiz sadece zararlı yazılımlar ile IP adresleri, domain adresleri, e-posta adresleri ile sınırlı. Bunların zararlı yazılım dışında kalanları da zaten genellikle saldırganlar tarafından ele geçirilen sistemler oluyor. Karşınızda karşılık verebileceğiniz birileri olmayınca savaşmak da çok zor ve yorucu oluyor, herkesten herşeyden şüphelenen hafif paranoyak modunda yaşamaya başlıyorsunuz. Ama oyun bu, kuralları da ne yazık ki biz değil saldırganlar koyuyor.
Güvenlik ürünü üreticileri her gün onbinlerce farklı zararlı yazılım, ele geçirilmiş sistem
vb. ile uğraşıyor ve ürünlerinin daha fazla saldırı tipine dayanıklılığını arttırmak için çalışıp didiniyor. Saldırgan ise tek bir noktaya odaklanıp onu sömürmeye çalışıyor. Kullanacağı araç gereçlerin de bir kısmı hazır geliyor ya da bunları çok rahatlıkla satın alabiliyor.
Defender's Dilemma...
Bu şuna benziyor siz şehri korumak için bir kale inşaa ediyorsunuz ve bu kaleyi hem havadan gelecek tehditler için, hem karadan gelecek tehditler için kullanmayı amaçlıyorsunuz. Büyük topları ve bombaları olan orduları da düşünmeniz gerekiyor, kalenin zayıf bir duvarının altını kazmaya çalışan kaçakçıları da, içerden dışarı doğru haber uçuran hainleri de düşünmeniz gerekiyor, yanlış alarm veren şapşal nöbetçileri de. Ve bu işleri yaparken planlı, programlı ve düzenli olmanız yaptığınız ettiğiniz her şeyi kayıt altına almanız gerekiyor. Ne kadar fazla iş yapılması gerektiğini ve bu işlerin dokümantasyonunu düşünün. Ancak saldırgan tarafında bu kadar iş yapmaya ve bürokrasiye gerek kalmıyor. Saldırganlar tuttuğunu öpüyor. (Bahtiyar Bircan'ının kulakları çınlasın yazıyı okuyunca buna Defender's Dilemma diyorlar demişti, başlığı düzelttim : )
Yani özetlersek işimiz çok zor, sürekli tetikte olmalı, çalışmalı, öğrenmeli, öğretmeli ve araştırmalıyız.Ne diyordu Yüzbaşı Mete
"Uyursan ölürsün".
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
-alıntı-