Siber Güvenlikte Otomasyon, Makine Öğrenimi ve Yapay Zekaya Yatırım Yapılıyor

Hacker’lar bulut hizmetlerini bir silah olarak kullanmaya başlayıp yakalanmamak için şifreleme yöntemini uyguladıkça kötü amaçlı yazılımlar da gelişiyor. Cisco’nun bul yıl 11incisini hazırladığı 2018 Yıllık Siber Güvenlik Raporuna (ACR) göre siber saldırganların yaşam süresini azaltmak için yapay zeka ve makine öğrenimini kullanan araçlara daha fazla ağırlık verilecek ve daha fazla yatırım yapılacak.

Şifreleme, güvenliği arttırma amacıyla geliştirilmiş olsa da artan ve Ocak 2017’de %50 oranını gören meşru veya kötü amaçlı şifrelenmiş web trafiği, potansiyel tehditleri tespit ve takip etmeye çalışan BT profesyonellerinin işini zorlaştırıyor. Cisco araştırmacıları, 12 aylık bir süre boyunca incelenen kötü amaçlı yazılım örneklerinin şifrelenmiş ağ iletişimi kullanımında 3 kattan fazla bir artış gözlemlediler.

Makine öğreniminin uygulanması ağ güvenlik araçlarını geliştirmek için yararlı olmanın yanı sıra zamanla şifrenmiş web trafiği, bulut ve nesnelerin interneti ortamlarındaki olağan dışı aktivitenin otomatik olarak tespit edilmesini de sağlayacak. Cisco 2018 Güvenlik Kapasitesi Karşılaştırma Çalışması için görüşleri alınan 3,600 bilgi güvenliği yöneticisinin bir kısmı da , makine öğrenimi ve yapay zeka gibi araçları kullanmaya istekli olduklarını ancak bu tarz sistemlerin sıkça “yanlış pozitif” üretmesinden dolayı hayal kırıklığına uğradıklarını ifade etti. Daha yeni geliştirilmekte olan makine öğrenimi ve yapay zeka teknolojileri zamanla olgunlaşıp denetledikleri ağ ortamlarında “normal” aktiviteyi tespit edebilecek.

Hackerlar sürekli yeni yöntemler deniyor

Raporu değerlendiren Cisco Güvenlik Satış Yöneticisi Hakan Tağmaç “Geçen yıl büyük bir evrim gösteren kötü amaçlı yazılımlar saldırganların öğrenmeye devam ettiğini gösteriyor.” dedi. “Dinamik tehdit ortamındaki gelişmeler Türkiye’de de tüm sektörlerde kendisini gösterdi. Çıtayı daha da yükseltmemiz gerekiyor. Yukarıdan aşağıya liderlik, iş odaklılık, teknoloji yatırımları gibi alanlara ağırlık verip etkin güvenlik uygulamalıyız. Çok fazla risk var ve riski azaltmak bizim sorumluluğumuzda.”

Hackler’ların sürekli olarak farklı yöntemler denediklerinin de altını çizen Tağmaç “Raporda buna çeşitli örnekler veriliyor. Örnegin sandboxları atlatmak için kötü amaçlı yazılımlar açılan dosyanın kapanması bekliyor. Yani yeni yöntemler insan davranışını daha çok merkeze alıyor. Açılan bir dosyanın kapanması neticede insani bir davranıştır. Oysa sandbox, analiz işlemi sonrası dosyayı kapatmayabilir, bu da kötü amaçlı yazılımın sandbox’da değerlendirildiği sonucuna ulaştırır ve kendini aktive etmez” diye konuştu.

IoT güvenliğinin sağlanmasının da gittikçe daha fazla önem arz edeceğinin altını çizen Hakan Tağmaç 24 saat boyunca çalışır durumda olan IoT cihazlarında PC’lere oranla daha az siber-güvenlik önlemi alınıyor olması ve bu cihazlar ele geçirildikten sonra DDOS gibi saldırı olaylarında herhangi bir gün veya saatte süresiz olarak piyon olarak kullanılabilmelerinin de önemli konulardan biri olduğunu vurguladı.

Amaç tüm internetin çökmesine neden olmak

Cisco Türkiye Güvenlik Danışman Mühendisi Volkan Muhtaroğlu ise raporun ayrıca ağ tabanlı fidye yazılımlarının amacının her zaman fidye olmadığını, bunun ötesinde kurumlardaki veriyi silmeyi ve sistemleri çökertmeyi hedeflediklerinin altını çizdiğini belirtti. Yayılımları sırasında da, bir kullanıcının bir bağlantıya tıklamasının veya bir e posta ekini açmasının gerekli olmadığını ifade eden Muhtaroğlu “Yamalanmamış bir makine veya javascript kodu çalıştıran bir web sayfası bu tip atakların bir adım daha öteye yayılması icin yeterli. Wannacry, Nyetya bunlara örnek olarak gösterilebilir. Bu örneklerden hareketle hacker’ların gelecekteki amacının interneti topyekün çökertmek olduğunu söylemek de mümkün”

Cisco 2018 Yıllık Siber Güvenlik Raporunda Öne Çıkanlar

• Saldırıların finansal maliyeti artık farazi bir rakam değil:

  Araştırmaya katılanlara göre, gerçekleşen saldırıların yarısından çoğu 500.000 USD’den fazla zarara neden oldu ve gelir kaybı, müşteri kaybı, fırsatları kaçırma ve nakit kaybı gibi sonuçlara yol açtı.

• Tedarik zincirlerine yapılan saldırıların hem hızı hem de karmaşıklığı artıyor.

  Saldırılar bilgisayarları büyük çapta etkileyebiliyor ve aylarca hatta yıllarca sürebiliyor. Siber güvenlikten sorumlu BT profesyonelleri, sağlam bir güvenlik duruşu sergilemeyen markaların yazılım ve donanımını kullanmanın ortaya çıkarabileceği risklerin farkında olmalı.

  • 2017 yılında gerçekleşen Npetya ve Ccleaner saldırıları güvenilen yazılımları hedef alıp kullanıcılara virüs bulaştırdı.

    Tedarik zincirlerine yapılan saldırıların riskini azaltmak için üçüncü tarafların güvenlik teknolojileri üzerinde gerçekleştirdiği performans testleri gözden geçirilmeli

  • Güvenlik gittikçe daha karmaşık bir hal alırken, güvenlik ihlallerinin kapsamı genişliyor

    BT birimleri, güvenlik ihlallerine karşı koruma sağlamak için birçok satıcının ürünlerini birleştirip kullanmakta. Bu karmaşık ürün yapısı ve güvenlik ihlallerindeki artış, şirketlerin saldırılara karşı korunma kapasitesinde zarar riskinin artması gibi pek çok olumsuz etki yaratıyor.

    2016 yılındaki %18’lik orana kıyasla, 2017 yılında güvenlik uzmanlarının %25’i 11 ila 20 arasında farklı satıcıdan ürün aldıklarını ifade etti.

• Ayrıca 2016 yılında güvenlik uzmanları ihlallerin %15’inin kendi sistemlerinin yarısından fazlasını etkilediğini ifade ederken 2017 yılında bu oranın %32 olduğu tespit edildi.
• Araştırmaya katılanlar, davranış analizi araçlarının ağ içerisinde kötü amaçlı yazılım tespitinde yararlı olabileceğini düşünüyor.

  Katılımcıların %92’si davranış analizi araçlarının iyi çalıştığını belirtiyor. Sağlık sektörünün üçte ikisi ve finansal hizmetlerin büyük bir kısmı, davranış analizi araçlarının kötü amaçlı yazılım tespit etmede çok iyi çalıştığını ifade ediyor.

• Bulut kullanımı artıyor, saldırganlar gelişmiş güvenlikteki açıklardan faydalanıyor
  • Bu yıl yapılan araştırmada 2016 yılındaki ’lik orana kıyasla güvenlik uzmanlarının %27’si tesis dışı özel bulut kullandıklarını belirtti.
  • Bunların %57’si daha iyi veri güvenliği, %48’i ölçeklenebilirlik, %46’sı ise kullanım kolaylığı nedeniyle ağlarını buluta taşıdığını ifade etti.
  • Bulut daha iyi veri güvenliği sağlasa da saldırganlar, güvenlik ekiplerinin gittikçe gelişen ve genişleyen bulut ortamlarını korumakta çektiği zorluklardan faydalanıyor. En iyi uygulamalar, makine öğrenimi gibi gelişmiş güvenlik teknolojileri ve bulut güvenlik platformları gibi ilk savunma hattına ait güvenlik araçlarının birlikte kullanılması bu ortamın korunmasında yardımcı olabilir.
• Kötü amaçlı yazılım hacmine ilişkin trendler güvenlik sağlayıcının tespit süresini (TTD) etkiliyor
  • Cisco’nun Kasım 2016 – Ekim 2017 dönemi için ortalama 4.6 saatlik tespit süresi, 2015’te görülen 39 saatlik ortalama tespit süresi ve Cisco 2017 Yıllık Siber Güvenlik Raporunda Kasım 2015 – Ekim 2015 dönemi için belirtilen 14 saatlik ortalama tespit süresinin epey altında.

Cisco’nun Önerileri :

• Uygulama, sistem ve cihaz yamalamada kurumsal politikalar ve uygulamalara bağlı kalınmalı.
• Zamanında doğru tehdit istihbarat verilerine erişilmeli ve bu verilerin güvenlik izleme sistemine dahil edilmesi sağlanmalı.
• Daha derin ve gelişmiş analizler yapılmalı.
• Sıkça yedekleme yapılmalı, geri yükleme süreçleri ile hızlı değişen, ağ-bazlı fidye yazılımları ve yıkıcı siber silahlarla mücadelede önemli rol oynayan süreçler test edilmeli.
• Mikro hizmet, bulut hizmeti ve uygulama yönetici sistemlerinin güvenlik taraması yapılmalı.