Siber Saldırıları Önlemek İçin Kritik Yaklaşımlar
Siber saldırıların ilk safhalarında anlaşılması ve içerisinde kullanılacak teknik, taktik ve prosedürlerin (TTP) tanımlanarak ilgili aksiyonları önceden tespit etmek ve güvenlik operasyonları buna uygun olarak hazırlamak her organizasyon için elzem olan bir güvenlik yaklaşımıdır. Tehdit avcılığı olarak tanımlanan bu yöntemler zararlı aksiyonları bertaraf etmek kadar, saldırılarda kullanılan yöntemlerin bir Red Teaming-Kırmızı Takım alıştırması ile deneyimlenmesi de oldukça kıymetlidir. 2020 FireEye Mandiant ‘Deep Dive Into Cyber Reality’ raporunda detaylı bahsedildiği gibi güncel atak örneklerinin mevcut güvenlik uygulamalarında %65 oranında geleneksel yöntemlerle önlemediği ve tespit edilemediği ortaya konulmuştur. Buna ek olarak mevcut log tabanlı uygulamalarının güncel tehditlerde sadece %15’inde alarm oluştuğu ve %31’in ise tamamen gözden kaçtığı gözlemlenmiştir.
Geleneksel SIEM platformları log toplama etkinliği ve buradan alınacak sağlıklı aksiyonlar hala istenilen seviyede gerçekleşmemektedir. Diğer taraftan sağlıklı güvenlik korelasyonlarını oluşturmak için, güncel tehditlerin atak karakteristikleri, çeşitli payload örnekleri hala yetersiz seviyede olmaktadır. Bunun net bir sonucu olarak güvenlik vaka yönetimi ve orkestrasyon akışlarında çoğu organizasyonda önemli sıkıntılar gözlemlenmektedir.
Bunun gerçekte anlamı ise organizasyonların, atakların etkinlik düzeylerinin altında ve oldukça endişe verici düzeyde performans göstermeleridir. Artan dijitalleşme, saldırıların daha sofistike hale gelmesi, güvenlik uygulamalarının karmaşıklığı ve yetersiz insan gücü etmenleri ile bu sorunlar sadece teknolojik çözümlerle adreslenememektedir. Günümüz dünyasında, bir organizasyondaki tüm takımlar için güvenlik ilk sırada olmalı, ihlaller ve saldırıları önlemek için uygun siber güvenlik politikaları oluşturmanın ve bunlara bağlı kalmanın gerekli olduğu kurum kültürünün bir parçası olmalıdır. Bunun yanında uygun teknolojilerin her kuruma özel risk ve siber güvenlik ihtiyaçlarını gözetecek şekilde yapılandırılması, güvenliği koruma katmanı yatırımları kadar görünürlük/tespit katmanları için de gerekli yatırımların yapılması kritik olmaktadır.
Saldırıları önlemenin önemli bir parçası da bir tehdit aktörü gibi düşünmektir, ataklar nasıl meydana geliyor, hangi açık nasıl kullanılıyor tüm bu detaylar oldukça önemli. Ters mühendislik yaparak saldırganlar tarafından kullanılan çeşitli teknikleri anlayarak mevcut güvenlik uygulama ve yapılandırmalarının her zaman en maksimum düzeyde olmasını ve verimliliğini sağlayacaktır. Benzer şekilde tehdit ortamına baktığımızda, saldırganların güvenlik tespiti zorlaştıracak birçok tekniği kullandığını görüyoruz, bunların en yaygın olanlarını aşağıdaki gibidir;
- Şifreleme ve tünelleme: IPS, NDR vb detection tabanlı ürünler sensörleri ile ağı izler ve ağ üzerinden geçen paketleri yakalar, ancak ağ tabanlı sensörler açık olarak şifrelenmemiş iletilen dataların tespitine dayanır. Günümüz ataklarının önemli kısmında şifreleme teknikleri yoğun olarak kullanılmaktadır.
- Saldırıların zamanlaması: Ataklar saldırı aksiyonlarını normalden daha yavaş gerçekleştirerek ağ üzerindeki anomali ve tespit edilmekten mümkün olduğunda kaçmaya çalışmaktadırlar. APT odaklı ataklar genellikle bu tür bir kaçınma saldırısı ya da kullanıcı davranışlarını taklit ederek legal trafik olarak kendini göstebilirler.
- Protokol düzeyinde yanlış yorumlama: Ataklar, bir sensörün trafiği geçirmesini veya görmezden gelmesini sağlayabilirler, protokol obfustication teknikleri ile trafiği hedeften farklı yada legal trafik gibi görmesine neden olabilirler.
Yetersiz görünürlük, tespit ve önlemeye yol açan bu durumlar gerçek atak gelene kadar organizasyonların eksik ve uygunsuz yapılandırılmalarına yol açarak potansiyel riskler karşısında mevcut güvenlik altyapısının atıl kullanılmasına neden olmaktadır. Bu durumun en yaygın beş nedeni aşağıdaki gibidir;
- Eski sınıflandırma kategorileri ve güncelliğini yitirmiş korelasyonlar
- Ataklar tarafından yoğun kullanılan protokollerde sınırlı ağ izleme
- Tek seferlik istisnalar ve konfigürasyon değişikliklerin çok fazla olması, yetersiz takibi ve iletişimi
- Ayrıcalıklı hesapların güvenliğindeki yetersiz yapılandırmalar
- Atak bağlamından uzak yetersiz güvenlik yapılandırması ve eksik görünürlük
Bir çok atak senaryosunda kritik sapmalara neden olabilecek özellikle kritik kullanıcıların erişim sağladığı sistemler için güvenlik doğrulamasının yetersiziliği, oluşan log kayıtlarının SIEM’de detaylı kayıt altına alınmaması ya da yapılan çeşitli istisnalar uygulandığı görülmektedir. Özellikle ayrıcalıkı hesapların yönetimi için PAM teknolojlerinin yapılandırılması ve ilgili log kayıtları ile SIEM üzerinde gerekli alarmların oluşturulması kritik önemdedir. Güvenlik vakalarında genellikle SIEM’e bu bilgilerin gönderilmemesi ya da atak teknikleri ile bağıntılı korelasyon kurallarının etkin çalışmaması nedeniyle önemli güvenlik risklerini taşımaktadır. Sonuç olarak tek bir ayrıcalıklı hesap altyapı içerisindeki bir çok sisteme erişimi olduğunda tek seferde yüzlerce son kullanıcı ve sunucuyu risk altında bırakmakta, Privileged Escalation, Lateral Movement gibi önemli atak yöntemlerine karşı organizasyonları savunmasız bırakmaktadır.
Özet olarak, organizasyonlar sandıklarından çok daha büyük risk altındadır. Siber hijyeni güçlendirmek ve riski en aza indirmek için güvenlik etkinliğini tüm seviyelerde doğrulanması ve gerçek güvenlik verisine erişim zorunludur. Organizasyonlar bu yapılandırmalar ve önlemler ile kritik varlıkları, marka itibarını ve ekonomik değeri daha iyi koruyabilir. Tüm bu risk gruplarının mevcut ve gerçek saldırılara karşı değerlendirerek potansiyel saldırıları tespit edip önleyebileceğinizi öğrenmek ister misiniz?
Detaylı çözüm ve bilgi için sales@inforte.com.tr