Klasik bir siber savunma yaklaşımı, kurumunuzu hedef alan tüm saldırı ve saldırı deneme/taramalarını önlemeye odaklanmıştır. Amaç, sistemlerinizdeki olası tüm açıklıkları bulmak ve bunlar saldırganlar tarafından istismar edilmeden kapatarak muhtemel sızmaları engellemektir. Bu noktada uygulanan temel yöntem; yoğun veri trafiğinde ağınıza gelen zararlı paketleri (genelde imza ve desen tabanlı olarak) tespit etmek ve mümkün olan en kısa zamanda girmeyi kapatmaktır.
Ancak zamanla yaşanılan deneyimler göstermiştir ki; bu ideal durum gerçek hayatla genelde örtüşmemektedir. Kurumumuzu hedef alan kararlı bir siber saldırgan, öyle ya da böyle içeri sızmayı başarmaktadır. Çoğu defa ise böyle bir girmeyi tespit etmek aylar geçtikten sonra ve çoğunlukla üçüncü bir kurum ya da organizasyon tarafından fark edilme neticesinde mümkün olmaktadır.
Bu durumda bir paradigma değişimine ihtiyaç duyulmuştur: “Girmelerin tamamını engellemeye çalışmak yerine, içeri sızma olasılığını en baştan kabul etmek.” Buradaki ince nokta, saldırganın içeri sızmış olmasının nihai hedefine ulaştığı anlamına gelmemesinin anlaşılmasıdır. Dolayısıyla siber savunmadaki başarı tanımı da buna göre yeniden şekillenmiş ve kritik değerdeki varlığın korunmasına odaklanmıştır.
Bunun bir yansıması olarak; modern siber savunma algısı, önleme odaklı yaklaşımdan tehdit merkezli yaklaşıma geçmiştir. Bunun için de risk merkezli olarak sürekli ve aralıksız tüm varlıkların taranmasını (Continuous Security Monitoring) benimsemiştir. Peki, bunun anlamı nedir?
Her şeyden önce kurumunuzun en kritik varlıkları ortaya çıkarılmalıdır. Bir saldırgan sizin ağınıza girdiğinde gerçekten ele geçirmek isteyeceği sistem ya da veri hangisi olacaktır? Dikkat ederseniz aslında burada yapılması gereken nesnel bir risk analizinden başkası değildir.
En değerli varlığın belirlenmesi, o varlığa erişimin yöntemini de belirginleştirir. Bir saldırganın sisteminize “tutunma noktası” neresi olabilir? Diğer bir ifadeyle saldırgan sisteminize ilk girişi nerelerden yapabilir? Bu noktadan itibaren en kritik varlığınıza ulaşabilmesi için hangi adımları atması ve ne kadar zaman geçirmesi gerekir? Tüm bu adımları atarken, savunma sisteminiz tarafından izlenmeyen veya dikkate alınmayan bir rotadan ilerleme ihtimali mevcut mu?
Söz gelimi enerji hizmeti üzerine çalışan bir kurumu ele alalım. Bu kurumu hedef alan bir siber saldırganın istemci tarafında bir oltalama saldırısı ya da ağ IP aralığında unutulmuş bir sunucuda çalışan eski bir web uygulaması üzerinden sisteminize girdiğini varsayalım. Bu saldırganın birincil öneme sahip varlığı, enerji hizmetinin gerçekleşmesini sağlayan SCADA sistemleriyken ikincil öneme sahip varlığı abonelerine ait hassas veriler olabilir.
Çalışanlardan birine ait bir istemci bilgisayardan ya da internet üzerinden ulaşılabilir bir web sunucudan saldırganın ana hedefine ilerleyebilmesi için iç ağ topolojisini öğrenmesi, eksenleme (pivoting) yöntemiyle iç ağ trafiğinde taramalar yapması, buradaki sunucuların dökümünü çıkarması, buradaki veritabanı ya da diğer kritik sunucuları tespit ederek içlerine sızması, ya da başka bir VLAN ağına girecek şekilde yanal hareketine devam etmesi gerekecektir.
Resmettiğimiz bu senaryo ışığında düşüncelerimizi toparlamak istersek:
- Etkin bir siber savunma, öncelikle saldırgan gibi düşünebilmeyi gerektirmelidir.
- Risk merkezli olarak en kritik ve hassas varlıkların belirlenmesini müteakip, saldırganın nihai hedefine ulaşması için gerekli adımların ortaya çıkarılmasını esas almalıdır.
- Veri yığını içinden gerçekten nihai hedef açısından kritik olan kaliteli verilerin toparlanmasına odaklanmalıdır.
- Saldırganın nihai hedefi ele geçirmesi sürecinde takip edeceği rotayı belirleyerek gerekli sensörleri bu noktalara konumlandırmalıdır.
- Savunma, çizgisel değil, sürekli ve döngüsel bir süreç olmalıdır.
- Savunma, nihai hedef açısından önem derecesine göre, mikro ve makro düzeyde tüm varlıkları eksiksiz kapsamalı ve bu varlıkların birbiriyle etkileşimini senaryolaştırabilmelidir.
- En temel hedeflerden biri, sürekli izlemenin bir parçası olarak savunma hattında kör bir nokta kalmamasını sağlamalıdır.
Askerî savunma sanatında; “Görünürlük Analizi” denen bir kavram vardır. Amaç; top, havan gibi savunma silahlarının kapatamadığı kör bölgeleri tespit ederek gerektiğinde buraları ek silah, unsur veya birliklerle tahkim etmektir. Günümüzde modern bir askerî CBS uygulamasıyla bu işlemi yapmak çok kolaydır.
Aynı şekilde siber saldırıların tutunma noktası, pivot noktası, yanal harekâtı ve tüm bu adımlarda hedefe ulaşırken izleyeceği adımları göz önüne alan bir siber görünürlük analizinin hazırlanması, savunulan ağ ortamının bu şekilde bir topolojisinin ortaya çıkarılması ve kapatılamayan kör noktaların tespit edilerek ek önlemlerin alınmasını sağlamak başarılı bir siber savunmanın en temel aşamalarından biridir.
Kurumunuz sistemlerine gelebilecek tüm olası saldırı senaryolarını risk ve hassasiyet esaslı olarak tanımlayabilirseniz, bunun üzerine topolojinize uygun bir görünürlük analizi çalışması yapabilir ve ardından herhangi bir saldırgan sisteminize ilk girişi sağlasa bile ilerlemesini etkisiz hale getirecek müdahaleleri başarıyla yapabilirsiniz.
Siber savunma, özünde askerî savunmadan çok da farklı değildir.
Siber Bülten abone listesine kaydolmak için formu doldurunuz