Siber suçluların mantığı, adi suçluların mantığından çok da farklı değildir. Her ikisi de daha az çabayla daha fazlasını elde etmeye ve cezadan kaçmaya çalışır. Saldırganlar genellikle operasyonlarının maliyet açısından verimli olmasını ister, dolayısıyla saldırıdan elde edilecek gelir maliyetin altındaysa bu onların ilgisini çekmez. Bu, hırsızın sağlam çitlerle çevrili ve gelişmiş alarm sistemleriyle donatılmış, iyi korunan bir eve girme olasılığının daha düşük olması gibidir. Elbette bunun olası getirileri büyük olurdu. Ancak böylesine korunan bir hedefi soymak için gereken hazırlıklar zaman alacak, ek beceriler, pahalı araçlar gerektirecek ve buna rağmen yakalanma riski yüksek olacaktı. Etrafta sağlıklı bir kar elde etmek için yeterince savunmasız birçok kolay av varken, bunu neden yapasınız ki?
Siber suçlular da aynı şeyi düşünür ve genellikle kolay seçeneklerin peşinden giderler. Bu nedenle BT güvenlik olaylarının çoğu hala kolayca gerçekleştirilen saldırılarla bağlantılıdır. Örneğin yakın tarihli Incident Response Analytics raporuna göre, inceleme altına alınan saldırıların %63’ü yetersiz yama yönetimi ve hatalı parola politikasından kaynaklandı. Bu da çok sayıda şirketin hala temel güvenlik kontrolüyle ilgili sorunları olduğunu gösteriyor. O zaman siber suçların bu kadar karlı olması da şaşırtıcı değil: Deloitte araştırmasının bulguları, saldırganların ayda 34 ABD doları gibi düşük bir ücret karşılığında bir siber saldırı gerçekleştirebileceğini ve bundan 25 bin ABD doları gelir elde edebileceğini gösteriyor.
Yukarıda açıklanan durum, yüksek güvenlik düzeyine sahip kuruluşların güvende olduğu ve davetsiz misafirleri ilgilendirmediği izlenimini yaratabilir. Ancak bu doğru değil. İlk olarak insan hatası ve altyapının karmaşıklığı gibi risk faktörleri, en güvenli altyapıda bile siber suçlular için bir açılım sağlayabilir. Ayrıca halihazırda büyüyen bir trend haline gelen bir diğer endişe verici konu daha var: Siber suçlular açısından kaliteli, APT düzeyinde bir saldırı düzenlemek ve yürütmek giderek daha kolay ve karlı hale geliyor.
APT derecesinde saldırı nedir?
Gelişmiş kalıcı tehditlerin (APT) en belirgin özelliği çok seçici olmasıdır. Öncelikli olarak ulusal kurumlar veya ulusal öneme sahip işletmeler gibi yüksek değerli hedeflere odaklanır. Amacı, değerli ve stratejik bilgiler elde etmek veya kritik altyapıları sabote etmek amacıyla uzun süre fark edilmeden kalmaktır. APT’ler çok fazla kaynak gerektirdiği için maliyetleri genellikle çok yüksektir. Ancak istihbarat odaklı olması nedeniyle sonuçlarını parasal olarak değerlendirmek zordur.
APT düzeyinde saldırı, bir APT araç takımı kullanır ve çok büyük olumsuz etkiler yaratabilir. Ancak bu tür saldırıların da hepsi aynı değildir. İlk olarak, APT düzeyinde bir saldırı, MITRE ATT&CK listesinde belirtilen APT aktörleri tarafından gerçekleştirilmez. Diğer bir fark, APT sınıfı bir davetsiz misafirin pratik hedefleri olmasıdır. APT aktörlerinin teknikleri, taktikleri ve prosedürleri (TTP), siber suçluların para çalmak veya fidye almak gibi hızlı ve ölçülebilir kâr hedeflerine ulaşmasına yardımcı olur. Bu nedenle APT ölçeğindeki saldırganlar hedefleri konusunda çok seçici değildirler. Sorun şu ki, uyguladıkları gelişmiş TTP, savunucular için tespit ve müdahaleyi önemli ölçüde karmaşıklaştırır. Bu nedenle her türlü kuruluşu risk altında bırakır.
Bu tür saldırının en yaygın örneği, davetsiz misafirlerin The Shadow Brokers tarafından sızdırılan EternalBlue açığını 230 binden fazla bilgisayar sistemine bulaşmak için kullandığı ve yaklaşık 4 milyar dolarlık zarara neden olan WannaCry vakasıdır.
Suçların githubifikasyonu nedir ve saldırıların karlılığını nasıl etkiler?
Bugün, nispeten daha az gelişmiş siber suçlular bile APT araçlarını kolayca elde edebiliyor ve karmaşık, gizli saldırılar gerçekleştirebiliyor. Bu sıradan bir hırsızın Money Heist karakteri profesör tarafından yapılan sofistike planlara erişmesine benziyor. Tabii ki sokak suçluları böyle parlak bir planı tam olarak uygulayamazlar. Ancak kesinlikle bazı yeni çözümleri benimseyebilir ve soygunların verimliliğini artırabilirler.
Siber suç dünyasında bu durum githubifikasyon şeklinde gerçeğe dönüşüyor. Bu terim, başlangıçta savunmacılar açısından öğrenmeyi hızlandıran infosec’te topluluk temelli bir yaklaşımı tanımlar. Githubification, bilgi güvenliği uzmanlarının birlikte öğrenebileceğini ve zaman kazanmak için deneyim ve becerileri paylaşabileceğini varsayar. Böylece uzmanların uzman seviyesine ulaşmasını sağlar. Ne yazık ki siber saldırganlar da becerilerini birleştirerek bu süreçten faydalanıyor. Böylece her saldırgan en iyi saldırgan kadar iyi olabiliyor. Bu yaklaşım, mevcut araç ve tekniklerin yeniden kullanılmasına izin verdiği için zaman ve maliyet açısından da verimli. Bu, siber suçluların uç nokta koruma çözümlerinin otomatik olarak algılayabileceği bir araç oluşturmak yerine fark edilmeden saldırılarını nasıl gerçekleştireceklerini öğrenmelerini mümkün kılıyor. Bu özellikle saldırganların kodunun sistem belleğine yerleştiği, dosyasız saldırılar veya kötü amaçlı yazılım içermeyen saldırılarla ilgili.
Yakın tarihli olay müdahale analizi raporunun sonuçlarına göre, 2020’deki tüm vakaların neredeyse yarısı Living Off the Land Binaries, veya LOLBins gibi mevcut işletim sistemi araçlarının kullanımını içeriyordu. GitHub’ın iyi bilinen saldırı araçları (örn. Mimikatz, AdFind, ve Masscan) ve bir önceki yıla göre %13 daha yüksek olan özel ticari çerçeveler (Cobalt Strike) bunlara dahil. LOLBin’ler genellikle insan kaynaklı olan ve büyük etki yaratan yüksek önemdeki olaylarda özellikle popüler.
Doğal olarak LOLBin’ler, şirket altyapısına girmeyi amaçlayan ve yapay zeka (AI) tarafından görülemeyen kötü amaçlı yazılımlar için mükemmel bir kamuflaj sağlar. AI aradaki benzerlikleri bulmayı amaçlarken, saldırganlar her zaman yeni ve benzersiz bir şey icat eder. AI tabanlı teknolojilerin siber güvenlikte büyük yardımı olabileceğini ve özellikle yanlış pozitif faaliyetleri tespit etmek için BT güvenlik maliyetlerinin azaltılmasına katkıda bulunabileceğini söylememe gerek yok. Ancak otomatik çözümlerle yüksek profilli kötü amaçlı faaliyetlere erişilemez. İnsan odaklı kötü niyetli etkinlik, şaşırtıcı olmayan bir şekilde bir insan tarafından tespit edilmelidir.
İşletmeler bu tür saldırılarla nasıl başa çıkabilir?
Bu büyüyen tehditten korunmak ve siber suçların işiniz üzerindeki etkisini azaltmak için ne gibi önlemler alabilirsiniz? Her şeyden önce temel siber güvenlik ihtiyaçları karşılanmalıdır, çünkü en gelişmiş saldırılar bile genellikle önemsiz güvenlik açıklarının istismar edilmesiyle başlar:
- Şirket çalışanlarının bilgi güvenliği politikası konusunda net bir anlayışa sahip olduğundan ve herhangi bir ihlalin getireceği riskleri bildiğinden emin olun. Düzenli, anlaşılır güvenlik bilinci eğitimi, kimlik avı e-postalarının ve zayıf parolaların olumsuz etkisini azaltmak için çok önemli bir önlemdir ve resmi prosedürün parçası olmalıdır.
- Çoğu durumda saldırganlar altyapıya sızmak için eski, yama uygulanmamış güvenlik açıklarını kullanır. Bu nedenle, yazılım satıcılarının güvenlik açığı ayrıntılarının düzenli güncellemelerini, ağ taramasını ve yama yükleme güncellemelerini içeren tutarlı yama yönetimi, her tür kuruluşun olmazsa olmazdır.
BT güvenliğine hazır olma durumunu iyileştirmenin bir sonraki aşaması, yeterli tespit ve müdahale önlemleridir:
- Tehditleri tespit etmek için farklı taktikleri birleştirin. Karmaşık bir saldırı bile basit adımlardan ve tekniklerden oluşur. Belirli bir tekniğin tespiti tüm saldırıyı ortaya çıkarabilir. Farklı tespit teknolojileri, farklı düşman tekniklerinin bulunmasına katkıda bulunur ve çeşitli güvenlik teknolojilerinin sürdürülmesi, tespit şansını artırır. En azından bir uç nokta koruma platformu ve ağ saldırı tespit sistemi kullanılmalıdır.
- Güvenlik Operasyon Merkezleri veya SOC ekipleri, ilgili beceri ve araçlara sahip olduklarından emin olmalıdır. Örneğin kırmızı ekip oluşturma alıştırmaları, CLR kullanan yeni kaçınma teknikleri gibi siber saldırganların en son taktiklerinden yararlanan gerçekçi karmaşık saldırıları simüle etmeli ve şirketin operasyonel güvenliğinin durumunu net bir şekilde ortaya koymalıdır.
- Yönetilen Tespit ve Müdahale hizmetleri, her düzeyde bilgi güvenliğine sahip şirketler için uygun maliyetli bir çözüm olabilir. Siber güvenlik olgunluğu daha az olan şirketler için bu tür hizmetler, dosyasız saldırılar için gerekli olan otomatik ve manuel tehdit algılamasını sağladığı için SOC’nin yerini alabilir. Daha büyük şirketler, olaylara ilişkin ek tarama ve uzman değerlendirmesi sağlayan MDR’den yararlanmaya devam edebilir.