Siber güvenlik tatbikatları, siber alanda meydana gelebilecek olası farklı senaryolarda nasıl hareket edilmesi gerektiği konusunda gerekli ortamın oluşturulması açısından bakıldığında önemli bir araç olarak ülkelerin gündeminde yer alıyor.
Tatbikatlar siber alanda alınabilecek önlemler açısından gerek karar vericilere gerekse de bu alan için geliştirilebilecek araçlar, teknikler ve prosedürler için siber savunma ile görevli veya ilgili kurum, kuruluş, ve personele de fikirler verebiliyor.
Türkiye’de de bir süredir farklı katılımcılarla sürdürülen siber güvenlik tatbikatlarılarının 2021 yılı ayağı, “Siber Kalkan 2021 Tatbikatı” adıyla Bilgi Teknolojileri ve İletişim Kurumu’nda (BTK) gerçekleştirildi. Tatbikatta 36 kurum ve kuruluştan siber güvenlik takımları ve 135 uzman, bilgi ve yeteneklerini sınama imkanı buldu.
İki gün süren Siber Kalkan 2021 Tatbikatı’nın kapanış programında konuşan BTK Başkanı Ömer Abdullah Karagözoğlu, tatbikatın kurumlar açısından önemine dikkati çekti.
Tatbikatın en yaygın gözlemlenen ve gerçekçi tehditleri içeren farklı senaryolardan oluşmasının önemli olduğunu hatırlatan Karagözoğlu, katılımcı ekipler arasındaki iletişimin artırılmasının gerekliliğine işaret etti. Karagözoğlu, “Katılımcılar; web ve ağ güvenliği, kötü amaçlı yazılım analizi, işletim sistemi ve yönetimi, güvenli yazılım geliştirme, SCADA protokolleri konularında en yaygın gözlemlenen ve gerçekçi siber güvenlik tehditlerini içeren farklı senaryolarla karşılaşmışlardır.” ifadelerini kullandı.
“SOME” OLUŞUMUNA DİKKAT ÇEKİLDİ
Siber Kalkan 2021 Tatbikatı’nın açılış konuşmasını yapan Ulaştırma ve Altyapı Bakan Yardımcısı Ömer Fatih Sayan, BTK bünyesinde kurulan USOM’un 2013’ten bu yana faaliyetlerini sürdürdüğünü dile getirirken, ulusal siber güvenliğin güçlendirilmesi bağlamında, USOM koordinasyonunda, “enerji, sağlık, bankacılık, finans, ulaşım, elektronik haberleşme, su yönetimi” gibi kritik sektörlerde faaliyet gösterecek şekilde Siber Olaylara Müdahale ekiplerini (SOME) oluşturduklarını ifade etmişti.
BTK Başkanı Karagözoğlu, Siber Kalkan 2021 Tatbikatı’nın kapanış programındaki konuşmasında , Ömer Fatih Sayan’la aynı noktaya değinerek, “Hedefimiz tüm SOME’lerimizi belirli bir olgunluk seviyesine ulaştırmak ve ortak bir standart sağlamaktır.” açıklamasında bulundu.
ÇEŞİTLİ ÜLKELERDEN VEYA ÖZEL SEKTÖRDEN KATILIMCI YOK
Toplamda 36 kamu kurum ve kuruluşunun siber güvenlik takımları ve 135 uzmanın katıldığı tatbikatta, geçen yıl gözlemlenen çeşitli ülkelerden veya özel sektörden katılımcıların bulunmaması dikkati çekti.
Uluslararası organizasyonların ve özel sektörün siber tatbikatlara katılması, dünyadaki siber güvenlik paylaşımının artması ve ülke özelinde gerçekleşebilecek çeşitli senaryolara karşı ortak hareket etme kabiliyetinin kazanılması tatbikatlara artı değer katıyor.
Türkiye’nin önde gelen bilgi güvenliği şirketlerinden Biznet’in İç Girişimcilik Direktörü Hakan Terzioğlu’nun hazırladığı podcast serisinin son bölümünde Türkiye’nin siber güvenlik yönetişimi ve kümelenme gibi konularda geldiği nokta konuşuldu.
Serinin son bölümünde Biznet iş geliştirme direktörü Eser Ateş’i ağırlayan Terzioğlu siber güvenliğin altın çağını yaşadığını belirterek, uluslararası boyutta çeşitli kümelenmelerin oluşmasını bu durumun bir göstergesi olduğunu söyledi. 2003 yılından bu yana Biznet’te çalışan tecrübeli yönetici kümelenme ve ekosistem alanlarında Türkiye’nin gelişimini değerlendirdi: “Biznet’te bu alanın öncülerindeniz. Ama Türkiye’de konunun stratejik olarak ele alınması 2011’e dayanıyor. Türk Silahlı Kuvvetleri’nin 2011’de siber güvenliği bir çalışma sahası olarak belirlemesiyle çalışmaların ilk tohumları atılıyor.”
TSK’daki faaliyetlerin başlamasından bir sene sonra ulusal siber güvenlik çalışmalarının yürütülmesi için Bakanlar Kurulu kararı ile sivil alanda da düğmeye basıldığına değinen Ateş, “O zamandan beri çok şey değişti. Ulaştırma, Denizcilik ve Habercilik Bakanlığı koordinasyon görevi üstlendi. 2012’de üst düzey katılımla siber güvenlik koordinasyon kurulu toplantılarına başladı. Ancak şu an bu kurul hala toplanıyor mu bilmiyoruz” dedi.
Daha sonra 2013-14 Siber Güvenlik Eylem Planının yayınlanması, siber olaylara müdahale ekiplerinin kurulması gibi çok hızlı ve birbirini takip eden adımlar atıldığını anlatan Ateş, bu dönemin konunun üst düzeyde ele alındığını hissettikleri, hareketli bir dönem olduğunu söyledi. Bu dönemdeki dinamizmi umut verici bulan Eser Ateş, “Her ne kadar başlangıçta çok katkı yapabildiğimizi hissetmesek de sonraki dönemin stratejik plan hazırlıklarında kamu, akademi ve özel sektörün içinde olduğu bir çalıştay gerçekleştirildi. Bu da bizi umutlandıran önemli bir çıkıştı,” şeklinde konuştu.
‘Siyasi dalgalanma çalışmaları duraksattı’
Biznet yöneticisi, siber güvenlik ile ilgili adımların etkili şekilde atıldığı bir dönemden sonra Türkiye’nin siyasi anlamda yaşadığı çalkantılı dönemi, yakalanan ivmenin düşüşe geçmesinde ana faktörlerin başında gördüğünü dile getirdi ve ekledi: “Hazırladığımız eylem planını 2015-2017 dönemi için yaptığımızı düşünüyorduk. Fakat planın pratiğe geçmesi siyasi hareketlilikten dolayı sekteye uğradı. Bir senelik bir boşluk oluştu.”
Ateş, siyasi dalgalanmaların yanı sıra süreçteki en önemli eksiğin yapılan stratejik planlarda yer alan aksiyonların ne kadarının tamamlandığının ya da bu aksiyonlarda hangi noktaya gelindiğinin şeffaf bir şekilde takip edememeleri olduğunu belirtti. Terzioğlu da hedeflere yönelik ilerleme sağlanabilmesi için sadece vizyon olarak iyi bir yerde olmanın yetersiz olduğunu; vizyon ve icra dengesinin siber güvenlik alanında kritik olduğunu söyledi.
Ateş, siber güvenlik gibi önemli bir konunun siyasi gelişmelerden etkilenmeden sürekli olarak gündemde olması gerekliliğini de sözlerine ekledi: “Örneğin darbeden sonra duraksama yaşandı. Seçimler yaklaşıyor. Önümüzdeki yıl yeni stratejik plan için hazırlıkların başlaması gerekiyor. Merak ediyorum bu yeni plan bu arada 2020 yılını kapsayacak mı? Yoksa yine bir sene duraksama yaşayacak mıyız? Siber güvenlik ara verebileceğimiz bir konu değil.”
Siber güvenlik alanındaki duraksamalara rağmen, Siber Olaylara Müdahale Ekibi (SOME) sayısının 850’ye ulaşması ve KAMUNET’in kurulması gibi olumlu gelişmelerin yaşandığına da podcast’te dikkat çekildi. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı müsteşar yardımcısı Galip Zerey’in açıklamasına göre, bugüne kadar 73 kamu kurumu KAMUNET’e dahil oldu. Eser Ateş, siber güvenlik altyapısının güçlendirilmesi ve bilincin artması için KAMUNET’i iyi bir motivasyon aracı olarak değerlendirdiğini ifade etti.
“2017 yılındaki bir tebliğ ile Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın koordinasyonunda kamu kurumlarının güvenli bir ağ üzerinden haberleşmesi için KAMUNET kuruldu. Tebliğin sonuçlarını gördük. ISO 27001 sertifikası alabilmek için ciddi bir hareketlenme yaşandığını gözlemledik. Sadece sertifikayı alıp yola devam etmekten ziyade altyapıyı güvenli yönetmek için bilinç arttı.”
EKS güvenliği için EPDK ve Enerji Bakanlığı kritik kurumlar
Podcast’te siber güvenlik alanındaki regülasyonlar hakkındaki görüşlerini de paylaşan Ateş, şunları söyledi: “Endüstriyel kontrol sistemleri ve kritik altyapıların güvenliğinden 2017’deki SOME tebliğinde bahsedilmişti. EKS güvenliğiyle ilgili Enerji Piyasası Düzenleme Kurumu (EPDK) ve Enerji Bakanlığı önemli adımlar atıyor. Örneğin, EPDK hem kendi SOME’sini kurdu hem de kendi denetimine tabii firmaları çıkardığı regülasyonlarla konuyu belli bir olgunluğa eriştirmeye çalışıyor.”
Ateş, EPDK’nın aynı zamanda EKS güvenliği için risk analizini zorunlu hale getirmesi, rehber hazırlaması, tebliğe göre düzenli denetimler yapılması gibi milli güvenlik açısından önemli adımlar attığına değindi. “Enerji Bakanlığı da yine kritik altyapı olarak nitelendirebileceğimiz kurumların güvenlik seviyesini arttırmak için çalışmalarını hızla yürütüyor.”
Kümelenme en büyük eksiklerimizden
Eser Ateş’in altını çizdiği noktalardan bir diğeriyse kümelenme, ekosistem ve siber güvenlikte yerli ve milli çözümlerin üretimi gibi konularda Türkiye’nin yol alamıyor olması: “Aynı alanda çalışıyor, ürünler geliştiriyoruz. Ama bilgi paylaşımı ve iş birliği eksikliği sebebiyle sürekli rekabet ortamında yerimizde sekiyoruz. Bu da yerli ürün konusunda kurumlarda çekince oluşturuyor. Ürünün devamı gelmiyor. Siber güvenlikte yerlilik ve millilik önemli. Bunun için el ele bir şeyler yapmamız lazım. Kümelenme bu yüzden önemli,” dedi.
Çeşitli kamu kurumları, teknokentler ve sivil toplum kuruluşlarının kümelenme çabalarının sonuçsuz kaldığına değinen Ateş, hedefin niş alanlarda herkesin tek tek çaba gösterdiği çalışmaları birleştirerek dünyaya açılmak olması gerektiğini söyledi.
Terzioğlu da kümelenme konusunda yurtdışındaki modellere değindi ve özellikle sarmal yapıdaki iş birlikleri sayesinde önceliklendirilmiş alanların çok daha rahat ortaya çıktığını, böylece sınırlı sayıda kaynakla daha efektif çözümler geliştirilebildiğini söyledi
“Rekabet aslında iyi bir şey ama bir alan üzerinde 10 firma birden kafa yoruyorsa ve asıl proje yerine tek bir konu üzerine 10 firma uğraşıyorsa çaba ve zaman kaybı söz konusu oluyor. Halbuki güvenlik konusunda çok niş alan var. Kümelenme tam olarak burada işe yarıyor, çünkü ortaya bir harita çıkıyor.”
Türkiye’de siber güvenliğin gelişimi için kümelenmenin çok önemli bir yer tuttuğuna değinen Terzioğlu, yurtdışında uluslararası çapta kümelenmelerin senkronizasyonun bile tartışıldığını söyledi.
“Mesela Global Epic programı buna bir örnek. Biznet’in de üyesi olduğu Hague Security Delta (HSD), Global Epic’in bir parçası. Farklı ülkelerdeki kümelenmelerle iş birliği yapılarak çalışma alanları çok daha rahat belirleniyor, ilerleme daha hızlı sağlanıyor.”
Terzioğlu aslında siber güvenlikte yerli kümelenmeyi ateşleyecek kurumun Savunma Sanayi Müsteşarlığı (SSM) olduğunu ve bu konuda halihazırda önemli adımlar atıldığını ekledi. Ateş de SSM’nin iyi bir vizyona sahip olduğunu ve güzel çalışmalar yürüttüğüne değindi. “Özel sektör, kamu ve akademi temsilcileriyle çalışmalar yaptılar. Somut adımlar atıldı ve bunlar, kamuoyuna duyuruldu. Her ne kadar eksikliklerimize değinmiş olsam da bu konuda ciddi ilerlemeler olduğuna söylemem lazım. SSM’nin büyük gelişmelerin yolunu açacağını düşünüyorum.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Siber saldırılardan korunma konusuna gerçekçi bir şekilde yaklaşırsak geldiğimiz nokta itibariyle saldırıların tamamının önlenmesinin neredeyse imkânsız olduğunu söylemek zor değil. Dijital dünyaya gittikçe artan bağımlılık, siber dünyanın barındırdığı hassas veri sayısı ve çeşitliliği saldırganların iştahlarının artarak devam etmesine neden olmaktadır. Bu durumun bir yansıması olarak da siber saldırıların kapsam ve yeteneklerinin her geçen gün arttığını; üreticilerin rutin faaliyetlerine ek olarak ürünlerinde çıkan açıkları kapatmak için yoğun mesai harcadığını ve tüm bunlara rağmen yine de son dönemde tanıştığımız Meltdown ve Spectre zaafiyetleri gibi büyük çaptaki güvenlik zafiyetleri nedeniyle siber dünyada bireysel ve kurumsal anlamda “mutlak güvenli” olduğumuzu söylemek güç.
Siber saldırıların doğuracağı maddi ve manevi zararları engellemek bütünüyle gerçekçi olmasa da bu zararları en aza indirgemek mümkün. Yakın geçmişteki siber olaylar incelendiğinde son kullanıcılar kadar saldırganların özellikle finansal çıkar sağlamak amacıyla hedef aldıkları kurum ve şirketlerin de siber saldırılardan payını aldığını gözlemliyoruz. Böylesine gelişmiş teknoloji ve araç kullanma yetisine sahip tehdit aktörlerinin katıldığı bir oyunu kazanmak için en az onlar kadar organize, nitelikli ve hazırlıklı olmak oldukça kritik bir rol oynamaktadır. Bunu sağlamak için de saldırı öncesinden saldırı sonrasına kadar tüm süreçleri kapsayacak geniş, iyi tanımlanmış ve sistematik bir yöntem benimsemek kuşkusuz en etkili çözüm aracı olacaktır.
Siber güvenlik alanındaki otorite kuruluşlardan olan National Institute of Standards and Technology (NIST) siber olay müdahale süreçleri ile ilgili olarak yayınladığı makalede (Computer Security Incident Handling Guide, Special Publication 800-61 Revision 2 Paul Cichonski, Tom Millar, Tim Grance Karen Scarfone) anlatılan model, siber olay inceleme ve müdahale çalışmaları için kılavuz niteliğinde olmasının yanı sıra hem yurt için hem de yurt dışındaki SOME birimlerinde sıklıkla uygulanmaktadır. Buna göre siber olay müdahale süreçleri, hazırlık; tespit ve analiz; sınırlandırma, düzeltme ve iyileştirme; son olarak olay değerlendirme olmak üzere dört aşamadan oluşmaktadır.
Hazırlık
Hazırlık aşamasındaki temel amaç, bir siber olay gerçekleşmeden önce yapılan çalışmalar ile kurumun hedef alınacağı bir saldırıdan minimum düzeyde etkilenmesini ve bir tehdit karşısında mümkün olan en hızlı şekilde tepki vermesini sağlamaktır. Bu kapsamda alınması tavsiye edilen bazı aksiyonlar aşağıda listelenmiştir:
Siber olay ile ilgili tüm detayların (saldırgana ait bilgiler, etkilenen sistemler ve zaman değerleri vb.) yer alacağı olay takip sistemi devreye alınmış ve çalışır durumda olmalıdır.
Siber olayın gerçekleşmesi durumunda ulaşılması gereken tüm çalışanların iletişim bilgilerinin listesi oluşturulmuş olunması gerekmektedir. Bu listenin herhangi birinin rahatlıkla bulabileceği şekilde muhafa edilmesi faydalı olacaktır.
Olaya ilişkin verilerin (disk imajları, log dosyaları vb.) saklanması amacıyla dijital olay inceleme platformları ve yedekleme cihazları çalışır ve yapılandırılmış durumda olmalıdır.
Saldırıya ilişkin veri ve paketlerin analiz edilmesi esnasında faydalanılacak bilgisayar ve sunucular hazır durumda olmalıdır.
Servis kesintisinin yaşanmaması için kritik sistemlerde kullanılan sunucu, ağ ve sanal bileşenlerin yedekleri belirlenmeli ve hizmet vermeye hazır durumda olmalıdır.
Ağ trafiğinin analizinin yapılması için ağ trafiğinin bir kopyasını alacak ve trafikte geçen protokollerin incelenmesini sağlayacak araçlar belirlenmiş ve kullanılabilir durumda olmalıdır.
Disk imajlarının analizi için kullanılacak araçların kullanılabilir durumda olması gerekmektedir.
Olay esnasında kanıt ve kritik bilgilerin kaydedilmesinde kullanılmak üzere üzerinde düzgün bir şekilde çalıştığından emin olunan yazılımların bulunduğu bilgisayar ve taşınabilir disk gibi cihazlar kullanıma hazır durumda olmalıdır.
Sıklıkla kullanılan port bilgilerinin listesi oluşturulmalıdır. Bu listeye ek olarak, güncel trojan yazılımlarının faydalandığı port numaralarının takibinden oluşacak liste de SOME için oldukça faydalı olacaktır.
Kurumun bilişim sistemleri kapsamında kullandığı cihazlardaki işletim sistemi, uygulama, konfigürasyon dosyaları, olay tespit ve antivirüs yazılımlarının bulunduğu bir döküman oluşturulmalıdır. Periyodik aralıklarla bu döküman güncellenmelidir.
Ağ diagramları ve kurum için kritik niteklite olan veritabanı sunucuları, kurum adına önemli bilgilerin tutulduğu sunucular gibi cihazların listesi çıkarılmalıdır.
Olay esnasında herhangi bir kritik dosya veya dizinin değişip değişmediğinin anlaşılması için bu dosya ve dizinlerin kriptografik özet (hash) bilgilerinin çıkarılması ve kaydedilmesi gereklidir.
Sistemlerin normal haline dönmeleri sırasında kullanılacak işletim sistemleri hazır durumda olmalıdır.
Çalışanlar arasında siber güvenlik farkındalığını arttırmaya yönelik çalışmalar yapılmalıdır. Ayrıca çalışanlara güncel saldırılardan nasıl korunulabilineceği ile ilgili eğitim verilmesi epey faydalı bir adım olacaktır.
Olay Tespit ve Analiz
Bu aşamadaki en can alıcı konu, sayıca çok fazla olan yanlış pozitifler arasından asıl tehdidin tespitinin net ve isabetli bir şekilde yapılmasıdır. Bu kısmın analistler için zor bir görev olmasına neden olan durumlardan en önemlisi, önceden hiç karşılaşılmamış (sıfırıncı gün) veya sofistikasyonu oldukça yüksek seviyelerde olan saldırılardır. Karmaşık olan bu sürecin ardından eğer gerçek bir siber tehdit söz konusu ise bu tehdidin kapsamı ve şiddeti detaylı bir şekilde belirlenmelidir.
Bir siber saldırıya maruz kalındığında mümkün olan en kısa süre içinde bu saldırının hedefini ve metodunun anlaşılması yapılacak savunma çalışmasının kalitesini doğrudan etkilemektedir. Saldırı tespit süresinin uzaması halinde kurum tarafından sunulan servisler kesintiye uğraması ve hassas bilgilerin çalınması gibi telafisi zor olan durumlar yaşanabilir. Bu sürecin daha hızlı ve verimli bir şekilde atlatılabilmesi için kurumun sisteminde çalışan güvenlik cihazlarının ürettiği çeşitli alarm ve loglardan faydalanılmaktadır. Saldırı tespit ve önleme sistemleri (IDPS), güvenlik bilgi ve olay yönetimi (SIEM), antivirüs ve istenmeyen mail filtreleyen yazılımlar, dosya bütünlüğünü kontrol eden yazılımlar ve üçüncü parti ağ ve sistem izleme servisleri bilgi sistemlerinin güvenliğini izleme açısından kullanılabilecek önde gelen alarm kaynaklarındandır.
Olay tespiti yapılırken analistlerin dikkatini çeken bazı göstergeler saldırının tip ve kapsamının anlaşılmasına yardımcı olmaktadır. İşletim sistemi, ağ cihazları, servis ve uygulama loglarının incelenmesiyle sıklıkla karşılaşılan bazı göstergelere; web sunucusunda zafiyet tarama işlemine ait logların görülmesi, yeni ortaya çıkan ve belirli bir mail sunucu sürümünü hedef alan zafiyetler, bir kuruma saldırı düzenleyeceğini sanal ortamda açıklayan gruplar, ağ saldırı tespit sensörlerinin veritabanı sunucusunda arabellek aşımı gerçekleştiğine dair gönderdiği alarm, antivirüs yazılımının bir bilgisayara zararlı yazılım bulaştığını duyurması, sistemde sıradışı karakterlerden oluşmuş dosya adlarının görülmesi, log dosyalarında yetkisiz kişiler tarafından yapılan değişiklikler, bir uygulama logunda birçok defa başarısız erişim taleplerinin görülmesi, sistem yöneticisinin ağ trafiğinde anormal bir artış gözlemlemesi gibi örnekler verilebilir.
Olay analizinin daha kolay bir şekilde yapılması için aşağıdaki çalışmalar önerilmektedir:
Ağların ve sistemlerin rutin profilleri tanımlanmalıdır.
Farklı kaynaklar için zaman ve/veya boyut bazında log yenileme politikaları oluşturulmalıdır.
Olay ilişkilendirme çalışmaları yapılmalıdır.
Sistemde bulunan tüm tarihler doğru ve senkronize olmalıdır.
Ağ trafiğinin detaylı incelenebilmesi için paket analiz araçları kullanılmaldır.
İhtiyaç olması halinde diğer SOME birimleriyle koordinasyon içinde çalışılmalıdır.
Ayrıca, sürecin kayıt altına alınması ve düzenli bir şekilde ilerlenmesi amacıyla yapılan tüm çalışmalar dökümante edilmelidir. Bu dökümanda olayın güncel durumu, olay ile ilgili göstergeler, alınan aksiyonlar, olaydan etkilenmiş olan varlıklar, ilgili kişilerin irtibat bilgileri, araştırma kapsamında elde edilen kanıtlar ve analist notları yer almalıdır. Böylelikle tehdit karşısında alınacak aksiyon daha sistematik, hızlı ve doğru bir yöntem sonucunda ortaya çıkmış olacaktır.
Sınırlandırma Düzeltme ve İyileştirme
Olay Tespit ve Analiz aşamasında saldırının detayları anlaşıldıktan sonra saldırının yaratacağı negatif etkileri azaltmak ve saldırının yayılmasına engel olarak kontrol altına almak amacıyla sınırlandırma çalışmaları yapılmaktadır. Bu bölümde dikkatli bir şekilde karar verilmesi gerekilen konu sınırlandırma stratejisinin belirlenmesidir. Örnek olarak bir sistemin kapatılması, ağ ile bağlantısının kesilmesi veya bazı yeteneklerinin devredışı bırakılması gibi kararlar olayın türüne göre alınabilir. Ayrıca, sınırlandırma stratejisi ve bununla bağlantılı uygulamaların mümkün olduğunca kısa zaman içersinde gerçekleştirilmesi gereklidir; aksi halde saldırganlar sağlamış oldukları yetkisiz erişim seviyelerini yükseltebilmekte ve diğer sistemlere sızabilmektedirler.
Saldırının izole edilerek kontrol altına alınmasının ardından tehditi oluşturan bileşenler (kötücül yazılımın silinmesi, ele geçen kullanıcı hesaplarının kapatılması, sömürülen zafiyetlere ilişkin güncelleme çalışmalarının yapılması vb.) ortadan kaldırılmaya başlanır. Etkilenen tüm sistem ve cihazların isabetli bir şekilde tespit edilmesi düzeltme fazının verimliliğini oldukça arttıracaktır.
İyileştirme aşamasında ise temizlenmiş durumda olan tüm sistemler rutin ve sorunsuz şekilde çalışmaya müsait hale getirilir. Gerekli olması halinde saldırıdan etkilenmiş sistemlere temiz yedekler kurulabilir veya tüm sistem baştan oluşturularak ayağa kaldırılabilir. Saldırganların ele geçirdikleri dosyalar, temiz versiyonlarıyla değiştirilebilir, şifreler yeniden belirlenebilir ve uç ağ güvenliği sağlamlaştırılabilir. Saldırı sonucunda oluşan hasara bağlı olarak iyileştirme süreci uzun zaman alabilmektedir.
Değerlendirme
Diğerlerine kıyasla en çok ihmal edilen ve gelecekte meydana gelebilecek tehlikeleri önlemekte önemli rol oynayan değerlendirme aşamasında karşılaşılmış olan siber tehdit tüm detaylarıyla birlikte irdelenir. Olay müdahale süreçlerinin ne kadar verimli ve doğru işlediği, bu süreçlerin nasıl geliştirilebilineceği, benzer tehdit ve tehlikelere maruz kalamak için hangi önlemlerin alınabilineceği, takip edilen göstergelere ek olarak hangi farklı göstergelerin de izlenmesi gerektiği, olay müdahalesi sırasında kullanılmış olan araçlara hangilerinin eklenilebileceği gibi sorular tüm ilgili çalışanların katılacağı bir toplantıda cevaplanması faydalı olacaktır. Kuşkusuz, bu etkileşimden çıkarılacak dersler kurumun güvenlik seviyesini ve olay müdahale yeteneğini arttıracaktır.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Advanced Persistent Threat’, kısaca APT olarak bilinen siber saldırı tipi, son yıllarda küreselleşen dünyanın küresel tehdidi olarak nam salıp, bir çok kurum ve kuruluşun hatta devletlerin dahi korkulu rüyası haline geldi.
Türkçe’ye ‘Gelişmiş Kalıcı Tehdit’ olarak çevrilen APT, bilgi toplama amacı ile yapılan, hedef sistemlere yetkisiz erişim sağlayarak orada uzun süre faaliyet gösteren saldırılar olarak tanımlanıyor.
APT tehditlerinin giderek daha komplike hale gelmesi, gelişmiş ülkelerin bu tehditlerin tespitine yönelik uzman birimler oluşturması, herkesin aklına aynı soruları getiriyor: APT saldırıları neydi, ne oldu ve bundan sonra nereye gitmesi öngörülüyor?
Siber güvenlik sektörünün tecrübeli kurumlarından Lostar’ın yöneticisi Erdem Kayar, APT’ler için kırılma yılını 2010 olarak gördüklerini söyledi.
Erdem Kayar
“2010 yılından itibaren bir evrimleşme ve artık daha kalıcı organize saldırılar gerçekleşmeye başladı,” diyen Kayar, APT’lerin evrimleşmesini ise şu şekilde açıklıyor:
“2010 yılına kadar baktığımızda sektörümüzde hackerlık anlamında daha çok bireylerin olduğunu ve hedeflerinin biraz daha ün yapmak ve popüler olmanın üzerine kurulu olduğunu görüyorduk.
“Kevin Mitnick, Captian Crunch’ı da bu hacker örnekleri içinde sayabiliriz. Bu tip hackerların olduğu bir dünyadan bahsediyorduk.”
Fakat 2010 yılından sonra dijital dünyada yeni suç trendleri ortaya çıkmaya başladı.
Maddi kazanç amaçlı başlayan siber saldırılara artık devletlerin de dahil olduğunu, ülkelerin kendi istihbarat servislerini zenginleştirmek için yapılandığını ve en önemlisi de artık karşımıza bir Kevin Mitnick ya da Captain Crunch gibi bireylerin değil; Anonymous, Redhack, Lazarus gibi grupların ortaya çıktığını görüyoruz
2010’dan sonra ne oldu?
Daha geniş tanımıyla APT, hedefin net tanımı olan, gelişmiş ve kompleks saldırı içeriklerini içeren, uzun sürelere dayanan, sistematik bir çoklu vektör kullanan saldırı metotlarıdır.
Sadece para kazanmaktan casusluk, veri sızıntısı, sanayi hırsızlığı, kurumlar ülkeler arası istihbari veri hırsızlığına evirilmiş olan APT’lerin bu dönüşümünün sebebi ne?
Kayar’a göre kısa bir süre olmasına karşı son 7 yılda insanların kullanım alışkanlıkları ciddi ölçüde değişti.
Kullanım alışkanlıkları, insanların teknolojiyle olan ilişkilerinin artması bu durumu tetikledi, zaten olacaktı ama yedi yıl gibi kısa sürede çok büyük bir ivme kazandığını söyleyebiliriz.
“Devletler e-devletleşti, veriler dijitalleşmeye başladı, devletler seviyesinde casusluk biçim değiştirdi,” diyen Kayar casusluk smokinli James Bond’un bir kaç belge kaçırmasından, dijital ortamda tutulan verilere, sunuculara sızmaya dönüştüğünü düşünüyor.
Kayar’a göre özellikle son yedi yılda APT’lerin geliştiğinin kanıtı olan bazı efsane saldırılar gerçekleşti.
Bu saldırıların ilki 2010 yılında İran’ın uranyum zenginleştirme projesini hedef alan Stuxnet isimli saldırı.
“Stuxnet her yönüyle aslında müthiş bir saldırı. İnsanın nasıl manipule edilebileceği, saldırının içinde kullanılan zararların nasıl daha az tespit edilebileceği, anti-virüslerin nasıl atlatılabileceği gibi çok efektif bir saldırıydı,” diye aktarıyor Kayar.
Stuxnet ile büyük benzerlikler içeren Duqu virüsü, Ortadoğu’da casusluk hareketlerinin başlatılmasında oldukça etkili olan Flame zararlı yazılımı, 2012 yılında ortaya çıkan Gauss ve en güncel olan WannaCry, Stuxnet’i izleyen diğer örnekler.
Gelişmiş geçmiş en büyük siber saldırıların başında gelen WannaCry, geçtiğimiz Mayıs ayında tüm dünyadaki organizasyonları ve milyonlarca bireysel kullanıcıyı etkilemiş, üretim, enerji ve telekomünikasyon şirketleri başta olmak üzere bazı ülkelerin bakanlıklarını bile etkisi altına almıştı.
Tek kişilik saldırılardan suç örgütlerine
Kayar, saldırganların motivasyon düzeyini değerlendirmek için APTler üzerinden 2016 yılında karmaşık bir yöntem izleyerek bankacılık sektörünü hedef alan saldırıları örnek olarak gösteriyor.
Bahsi geçen saldırı da hackerlar, Microsoft Word ya da Excel dosyalarının içinde yer alan macrolara zararlı yazılımlar yükleyip, buradan sistemlerle ilgili bir erişim sağlayıp ve daha sonrasında sitemlere ulaşacak bir süreç izlemişti.
Ortalama 4 ay gibi bir sürede tamamlanan bu APT saldırısının, sistemlere kademeli olarak yerleşip, bazı kontrol ve yetki mekanizmalarını tanımlayarak sağlandığı bilgisini veriyor.
Dikkat edilmesi gereken en önemli nokta ise böyle detaylı bir saldırıyı gerçekleştirmek için farklı uzmanlık alanına sahip bir çok hackerın birlikte çalışmasının gerektiği.
“Swift ekranının birçok bankacı bile görse eminim çözmesi çok kolay olmaz, zaman alır. Bunun yanında sızdığınız Microsoft Office teknolojilerini bilmek ve macrosuna zararlı yazılım yazmak da ayrı bir konu.
“Network’te yakalanmadan bağlantı alıp, sistemde hareket etmeyi bilmek ise farklı bir konu. Ciddi hazırlık süreci ve çok detaylı bilgi toplama aşaması gerekli. Çok yönlü bir saldırı bu, tek bir kişinin yapabileceği bir şey değil, “diyor Kayar.
Bu örneğin, APT saldırılarının gün geçtikçe tek kişilik tehditlerden çok yönlü suç örgütlerine, herkesin rollerinin belli olduğu şirket mekanizmalarına evirildiğinin en iyi göstergelerinden biri olduğunu söyleyen tecrübeli siber güvenlik uzmanına göre, bu tip büyük saldırı gruplarının destekçileri de en az onlar kadar büyük.
“Gerekli teknolojiyi nerden elde ediyorlar, bütçeyi nerden sağlıyorlar., kendilerini nasıl eğitiyorlar, bunlar hep soru işareti. Demek ki bir yerlerden bir gelir elde ediyorlar ya da onları destekleyen fonlar var, diyor Kayar.
Büyüyen tehdite karşı gelişen önlemler
APT saldırıları son yıllarda özellikle kamu kurumlarını, enerji, sanayi ve finans sektörlerini, büyük şirketleri, ve Telco operatörlerini hedef almakta.
Ciddi ölçüde maddi kayba, önemli bilgi sızıntılarına neden olan bu saldırıların önlenmesi ise Kayar’a göre çalışanların eğitilmesinden geçiyor.
“Mükemmel bir saldırı hazırlanmış bile olsa, insan tuzağa düşmediğinde saldırı başlayamaz,” diyor Kayar.
APT’de saldırılarına karşı korunmanın 7 adımdan oluşan bir yaklaşım modeli sayesinde daha kolay olabileceğini söylüyor Kayar.
“Planla, İzle, Tespit Et, Yakala, Analiz Et, Sonuçları Yayınla, ve Önlem Al adımlarıyla daha efektif bir savunma sistemi kurulabilir,” diyen Kayar’a göre, sağlıklı bir güvenlik organizasyonu kurulumu da kurumların bu tip saldırılara karşı daha dayanıklı olmasını sağlayan yöntemlerden.
Siber güvenlik organizasyonlarını kurum içinde barındırırken, APT tarzı saldırılara karşı savunma yapacak ekiplerin ‘güvenlik operasyonlarını yöneten ekip’ ve ‘bilgi güvenliği süreçlerini yöneten ekip’ diye ikiye ayrılması gerektiğini söylüyor Kayar.
“Güvenlik operasyonlarını yöneten ekip daha çok güvenlikle ilgili olan teknolojilerin, ürünlerin, sistemlerin kullanılması; bunların efektif bir şekilde yapılandırılması ve yürütülmesini sağlayan ekip olmalı,” diyor Kayar.
Kayar’a göre, ‘bilgi güvenliği süreçlerini yöneten ekip’ ise operasyonel görev almadan bir adım geride durup; mesaisini Ar-Ge teknolojilerine harcayan, siber güvenlik alanındaki gelişmeleri takip eden ve kurumlara yönelik tehditleri analiz etmeli.
“Bu mekanizmalara sağlandığı sürece kurumlar çok daha etkin savaşıyor durumda olacaktır APT saldırılarıyla,” diye ekliyor Kayar.
Türkiye de adımlar atmaya başladı
APT saldırılarına karşı Amerika, İsrail, Çin, Rusya ve İran dahil bir çok devlet farkındalığını arttırıyor, Kayar’a göre, Türkiye’de bu yolda adımlar atmaya başlamış.
“Bizde hareketlenme 15 Temmuz sonrası başladı ama istenilen seviyede değil henüz, biraz daha olgunlaşması gerekiyor.”
Son yıllarda Türkiye’de Bilgi Teknolojileri Kurumu (BTK) altında Ulusal Siber Olaylara Müdahale Merkezi (USOM) ve Sektörel ve Kurumsal Siber Olaylara Müdahale Ekiplerinin (SOME) kurulması gibi önemler adımlar atıldı.
Bu adımların oldukça umut verici olduğunu söyleyen Kayar’a göre, Türkiye’nin siber güvenlik alanında daha sistematik bir şekilde ve doğru bir dizaynla ilerlemesi önemli.
“Amaç siber güvenlik uzman sayısını arttırmak değil, bu uzmanların olgun bilgi seviyesine ulaşmış etkin insanlar olmalarını sağlayacak bir mekanizmayı kurmuş olmak olmalı,” diye ekliyor Kayar.
