İş dünyasını hedef alan siber tehdit aktörlere karşı birçok firma yeterli bir savunma mekanizmasına sahip değil. Bu ihtiyacı dikkate alan siber tehdit istihbaratı firmaları şirketlere marka güvenliğini sağlamaları ve tehditlere karşı hazırlıklı olmaları konusunda çeşitli çözümler sunuyor.
Hakan Eryavuz ve Caner Köroğlu tarafından 2019 yılında kurulan Brandefense, siber güvenlik ve siber istihbarat alanında faaliyet gösteren platformlardan birisi.
Şubat ayında itibaren ise markanın CEO’luk görevine Hakan Uzun getirildi. İçerisinde barındırdığı ürünlerle bir “çatı platform” işlevi gören Brandefense, müşterilerine tehdit ve marka güvenliği istihbaratı, dolandırıcılık ile mücadele ve sürekli sızma testi hizmetleri veriyor.
Anlık ve sürekli istihbarat imkânı sağlayan platform, internet üzerindeki hareketliliklerden topladığı verileri analiz ediyor ve kullanıcılarına tehditler oluşmadan önce haber veriyor.
Güvenlik teknolojileri ile entegre çalışan Brandefense, makine öğrenmesi ve analist güçlerini optimum seviyede kullanarak false positive ayıklaması yapıyor ve müşterilerinin zaman/efor problemini çözmeyi hedefliyor.
Platform ek olarak saldırı yüzey analizi kapsamında şirketin internete açık saldırı yüzeyinin otomatik keşfi ve potansiyel risklerin değerlendirilmesi hizmetini sunarken, tehdit istihbaratı kapsamında çok sayıda veri kaynağını sürekli takip ederek şirkete özgü veri sızıntısı istihbaratı da sağlıyor.
Türkiye’de siber güvenlik sektöründe 30 yılı aşkın bir süredir hizmet veren Hakan Uzun, BRANDEFENSE firmasında CEO olarak göreve başladı.
Daha önce McAfee, Cyberwise, Roksit ve DNSSense firmaların yöneticilik görevlerinde bulunan Uzun, dijital risk koruma, dış saldırı yüzeyi yönetimi (EASM) ve siber tehdit istihbaratı firması Brandefense’e transfer oldu.
Durumu LinkedIn hesabından paylaşan Uzun yayımladığı mesajda, “Bu proaktif, dinamik ve yenilikçi firmanın bir parçası olduğum için çok heyecanlıyım. Yapay zeka destekli yeni nesil ve yenilikçi çözümlerimiz, müşterilerimizin güvenliğini artırmaya ve siber güvenlik ihlallerini tespit etme ve yanıt verme sürelerini önemli ölçüde azaltmalarına yardımcı olacaktır.” ifadelerine yer verdi.
Avrupa Polis Teşkilatı (Europol), uluslararası siber dolandırıcı şebekesini çökerten bir operasyona imza attı.
Europol ve birçok ülkenin kolluk kuvvetlerinin düzenlediği ortak operasyonda büyük ölçekli CEO dolandırıcılığına karışan Fransız-İsrail suç şebekesine büyük darbe vurdu.
Sahte CEO kılığına bürünerek şirketleri dolandıran suç şebekesinin yaklaşık 38 milyon avroyu çaldığı ortaya çıktı.
Tehdit aktörleri Aralık 2021’in başlarında, Fransa’nın kuzeydoğusundaki Haute-Marne bölgesinde bulunan ve metalürji alanında uzmanlaşmış bir şirketin CEO’sunun kimliğine büründü.
Dolandırıcılar şirketin muhasebecisinden Macaristan’daki bir bankaya 300.000 avro tutarında acil ve gizli bir transfer yapmasını istedi. Daha sonra muhasebecinin yaptığı aktarım ortaya çıkınca şirket dolandırıldığını anladı ve kolluk kuvvetlerine başvurdu.
CEO ADINA İSRAİL’DEKİ TELEFON NUMARASINDAN ARAMALAR YAPILDI VE E-MAİLLER ATILDI
Soruşturmacıların yaptığı araştırmalar sonucunda sözde CEO’dan gelen aramanın ve e-maillerin İsrail’deki bir numaradan yapıldığı ortaya çıktı. Aynı yılın sonlarında, Paris merkezli bir gayrimenkul çalışanı de benzer bir yöntemle dolandırıcılık mağduru oldu. Bu vakada yaşanan zarar ise öncekinin çok üzerinde oldu.
Dolandırıcılığı gerçekleştirmek için suç şebekesi, tanınmış bir Fransız muhasebe şirketinde çalıştıklarını söyleyerek avukat kılığına girdi. Çete üyeleri mağdurun güvenini kazandıktan sonra, büyük, acil ve gizli bir transfer talebinde bulundu.
Danışman gibi davranarak Mali İşler Müdürü’nü (CFO) milyonlarca avroyu yurt dışına transfer etmeye ikna eden şebeke, şirketi birkaç gün içinde yaklaşık 38 milyon avro dolandırdı.
Dolandırıcılar, önceden var olan bir kara para aklama planlarını işleme sokarak fonları hızlıca farklı Avrupa ülkelerine, ardından Çin’e ve son olarak da İsrail’e aktardı.
Bu iki dolandırıcılık arasındaki bağlantı Ocak 2022’de Parisli emlak şirketinin şikâyette bulunmasıyla kuruldu. Europol tarafından kolaylaştırılan bilgi alışverişi ve uluslararası iş birliği, suç ortaklarının, çalışma yöntemlerinin ve fonların ortaya çıkarılmasını sağladı.
Söz konusu soruşturmada Ocak 2022’den bu yana bilgi alışverişini kolaylaştıran, finansal, kripto para analizleri ve uzmanlığı dâhil olmak üzere özel analitik destek sağlayan Europol, 2020 yılında, ekonomik ve mali soruşturmalar arasındaki sinerjiyi artırmak ve bu büyük suç tehdidiyle etkin bir şekilde mücadele etmek için kolluk kuvvetlerini destekleme kabiliyetini güçlendirmek adına Avrupa Mali ve Ekonomik Suçlar Merkezi’ni (EFECC) kurmuştu.
SolarWinds CEO’su Sudhakar Ramakrishna, ABD federal hükümetine bağlı birçok şirket, kurum ve bakanlıkta bir dizi büyük veri ihlaliyle sonuçlanan 2020 siber saldırısına ilişkin düşüncelerini kaleme aldı.
Fortune.com’a yazan Ramakrishn, 2020’de gerçekleştirilen saldırı için “tarihin en karmaşık siber saldırılarından biri” ifadesini kullandı. İşte Sudhakar Ramakrishna’nın yazısı:
Aralık 2020’de bir akşam ailemle birlikte doğum günü yemeğimin tadını çıkarırken, cep telefonum çaldı. Telefonun diğer ucunda, birkaç hafta sonra CEO olarak aralarına katılacağım BT şirketi Solarwinds’in Genel Danışmanı bulunmaktaydı. Telefondaki kişi şirketin az önce bir siber saldırıya uğradığını belirtiyordu.
SolarWinds, bir gecede herkes tarafından bilinen bir şirket haline gelmişti. Siber saldırının, ABD hükümeti tarafından Rusya’ya atfedilen ve SolarWinds dahil olmak üzere birçok teknoloji şirketini hedef alan son derece sofistike, iyi hazırlanmış bir siber saldırı olduğu anlaşıldı.
O akşamdan bu yana edindiğim deneyim, müşteri güvenini yeniden inşa etmenin ve çalışanların motivasyonunu koruma pozisyonunda olan herhangi bir yönetici için bir dizi ders içermekteydi.
Olayın haberi ilk ulaştığında, birçok arkadaşım ve ailem bu pozisyonu üstlenip sayısız zorlukla başa çıkmak durumunda kalacağım düşüncesiyle kararımı sorguladı.
Nihayetinde, hatırlamam gereken tek şeyin çocuklarıma sayısız kez söylediğim şu sözler olduğunu düşündüm: “Bir kere söz verdikten sonra, takip etmek için elinizden gelenin en iyisini yaparsınız.”
CEO olarak, şirketin tonunu siz belirlersiniz ve çalışanlar istikrar noktasında sizin gözünüzün içine bakar. İlk günden itibaren mesajım, bu zorluğa karşı kafa kafaya mücadele edeceğimiz ve bundan daha güçlü çıkacağımızdı.
SALDIRIYA PANDEMİYE RAĞMEN BAŞARIYLA YANIT VERDİK
“Solarians” olarak adlandırdığımız yetenekli, becerikli ve özverili bireylerden oluşan bir ekibi miras aldığım için çok şanslıydım.” Çalışanlar hem yönetici değişikliği hem de siber saldırıya yanıt verme bakımından zorlu bir dönemle başarılı bir şekilde yüzleşmekle kalmadılar, aynı zamanda bütün bunları küresel bir salgın sırasında yaptılar.
Birçok “Solarian” günlerce tam mesai çalıştı. Önümüzdeki yolun kısa ya da kolay olmadığını biliyordum. Ekibimizi tükenmişlik sendromundan korumak için net beklentiler ve sınırlar belirlememiz gerekiyordu. Sürekli iletişim, ilerlemeye ilişkin güncel bilgiler ve cesaretlendirme bize yardımcı oldu.
Net ve acil hedefler koymak bizim için çok önemliydi. Öncelikle, olayın temeline inmeliydik. İkinci olarak, bu sorunu çözmeliydik ve üçüncü olarak, müşterilerimize destek vermeli ve kendilerine güvenli bir ortam sağlamalıydık. Bu üç cephede mümkün olan en kısa sürede çalışarak, sorunu tespit edebildik, bir çözüm belirlemek için sektör ortaklarıyla iş birliği yapabildik ve 48 saat içinde bir yazılım düzeltme eki geliştirip yayınlayabildik!
Acil konuların ele alınmasının ardından, yapmanız gereken sistemik iyileştirmelere konsantre olmak ve bunları kaynaklar, yatırımlar ve odaklanma ile uygun şekilde önceliklendirmek. “Tasarım Gereği Güvenli” ekibimizin odak noktası oldu.
MÜŞTERİLERE KARŞI ŞEFFAF OLUN
Olay 100’den az müşteriyi etkiledi ve biz bunu aylar süren soruşturmamızın ilerleyen zamanlarına kadar bilmiyorduk. En başından beri bildiğimiz her şeyi, en kısa sürede tüm müşterilerimizle paylaştık. Bu, haklı olarak her zaman şeffaf bir şekilde cevapladığımız birçok sorusu olan müşterilerle yapılan birçok toplantı anlamına geliyordu.
Dürüst ve açık iletişime öncelik vermek onların güvenini yeniden kazanmamıza yardımcı oldu ve müşterilerin büyük çoğunluğunun bizimle çalışmaya devam ettiğini paylaşabilmekten mutluluk duyuyorum. Birçoğu şimdilerde kendi sistemlerini güçlendirmelerine yardımcı olmamız için bize geliyor.
Aralık 2020’de o akşam telefona cevap verdiğimde beni ve yeni ekibimi neyin beklediğine dair hiçbir fikrim yoktu. Takip etmemiz gereken bir plan veya yol haritası olmasa da şeffaflık, aciliyet, alçakgönüllülük ve öğrenmeye istekli olmaya ilişkin temel ilkelere odaklanmak suretiyle, tüm liderlik ekibimiz yalnızca müşteri güvenini özenle yeniden inşa etmekle kalmayıp aynı zamanda çalışanları motive edebildi.
Son zamanların en büyük siber saldırılarıyla karşılan iki şirketin tepe yöneticileri, sistemlerine yönelik saldırı anıyla ilgili önceliklerini günlük işleri ikinci plana atarak saldırıya derhal karşılık vermek şeklinde değiştirdiklerini anlattı.
Bir siber güvenlik zirvesinde bir araya gelen yöneticiler, muhtemel siber saldırılar durumunda neler yapılabileceği konusundaki düşüncelerini paylaştı. Yakın zamanda önemli saldırılara muhatap olan Colonial Pipeline ve Accellion’un CEO’ları geçmiş tecrübelerini aktardı ve tehdit anında en tepe yönetimin dahi aktif olarak plana dâhil olduğunu belirtti.
Mandiant Siber Güvenlik Zirvesi Washington’da gerçekleşti. Colonial Pipeline’ın başkanı ve CEO’su Joe Blount, Accellion başkanı ve CEO’su Jonathon Yaron ve Mandiant kıdemli başkan yardımcısı ve CTO’su Charles Carmakal açılış paneli sırasında görüşlerini ve deneyimlerini paylaştı.
Blount, şirketinin büyük bir siber saldırıya uğradığını öğrendiklerinde, var güçleriyle anında karşılık vermek için günlük işlerini ikinci plana attıklarını söyledi. Firmasının 4,4 milyon dolarlık bir fidye ödemek zorunda bırakıldığı bir saldırı anında aklında geçen düşünceleri paylaşan Blount, “Alışageldiğiniz CEO’luk işi birkaç saat önce adeta kapıdan çıktı ve bir süre gelecek gibi de görünmüyor.” ifadelerini kullandı.
“CEO’NUN SORUMLULUĞU SALDIRIYI KONTROL ALTINA ALMAK”
Blount, bu saldırıda tüm diğer yöneticiler ve çalışanlar gibi, şirketin verdiği karşılıkta aktif rol almış. Blount, “Böyle bir olay yaşandığında, yeteri kadar zaman ya da insan olmuyor. Mecburen iş başa düşüyor.” şeklinde konuştu.
Saldırıya dair ayrıntılar, karşılık verme ve toparlanma hakkında ABD Enerji Bakanlığı ile iletişimi kuran “kanal” olarak görev yapan üst düzey yönetici, “Bizim durumumuzda saldırının ardından, CEO’nun sorumluluğu saldırıyı hemen kontrol altına almak ve durumu düzeltmek oluyor. Odak noktası buna dönüşüyor.” dedi.
Söz konusu saldırıda Blount, bakanlık aracılığıyla federal hükümetle neler yaşandığı hakkında ve Colonial Pipeline ve Mandiant da dâhil olmak üzere olay müdahale ekibinin elde ettiği bulgular hakkında brifinglere katılmış.
Blount, “Hükümetle o tek kanalı kurmuş olmak, bize Beyaz Saray’dan, tüm düzenleyicilere ve benzer şirketlerle bilgi paylaşımı konusunda yardımsever davranan lobici gruplara kadar birçok kişi ve kurumla iletişim kurma imkânı sağladı” değerlendirmesini yaptı ve bu yolla diğer kurumlara da tehditlere karşı dolaylı olarak uyarılmış olduğunu söyledi.
İsrailli 8200 istihbarat biriminin eski bir üyesi olan Accellion’dan Yaron ise şirketin eski Dosya Transfer Cihazı platformunda bir ay arayla gerçekleşen iki saldırıyı hatırlattı. Ocak sonunda gerçekleşen ikinci saldırı hakkında birilerinin bize zekasıyla alt ettiğini anlıyoruz yorumun yapan Yaron, “[Bu kişiler] bizim bilmediğimiz bir şeyleri biliyorlardı.” diye konuştu.
Saldırı ilk olarak, bazı şirketler tarafından büyük dosyaların transferi için kullanılan 20 yıllık bir teknolojinin bir akademik kurumda alarm vermesinin ardından Accellion ile temasa geçmesiyle fark edildi. İlk etapta saldırının bir devlet tarafından mı yoksa ticari bir kuruluş tarafından mı düzenlediği ya da tekil bir olay vaka olup olmadığı belirsizdi. Bankalar, ABD devlet kurumları ve büyük bir sağlık kuruluşu hala eski ürünü kullanan müşteriler arasındaydı.
“BÜYÜK ÇOĞUNLUK BİZİ DİNLEDİ VE SİSTEMLERİ KAPATTI”
“Birinci öncelik saldırının büyüklüğünü anlamaktı.” diyen Yaron, ilk değerlendirmelere göre, 300’e yakın kuruluşun mağdur olabileceği değerlendirildiğini söyledi. Araştırmalar sonunda, 90’a yakın saldırının gerçekleştiğini ve bunların 35’inin ciddi zarar verebildiği tespit edildi.
Saldırı sonucunda müşteri verileri çalındı ve daha sonra siber suçlular tarafından kaldıraç olarak kullanılan gasp girişimleri yaşandı. Satıcı, saldırının fark edilmesinden sonraki 72 saat içinde Aralık ayındaki ilk 0-day gün saldırısı için bir yama yayınladı ve ayrıca müşterilerini mevcut Kiteworks güvenlik duvarı platformuna geçmeye davet etti. Ancak 1 Şubat’ta, platformda bir zafiyeti daha tespit eden hackerlar tekrar saldırıya geçti.
Mandiant; ABD, Kanada, Hollanda ve Singapur’daki şirketlerden gelen verilerin Fin11 olarak bilinen Rus siber suç çetesiyle bağlantılı bir Dark Web sitesine düştüğünü tespit etti. Saldırının önde gelen kurbanları arasında Kroger, Jones Day ve Singtel gibi ünlü firmalar yer aldı.
Müşterilerini derhal müşterileri FTA sistemlerini kapatmaya çağırdıklarını söyleyen Yaron, “Büyük çoğunluk bizi dinledi ve sistemleri kapattı ve müşterilerimizden en fazla %10’u ağır hasar aldı.” dedi.
