Bilkent Üniversitesi’nin teknokentinde bulunan PRISMA Bilişim adlı şirkettedeki siber güvenlik alanındaki gönüllü staj mülakatım sayesinde ilk kez tanıştığım ve üzerinde çalıştığım kavramları sizlerle de olabildiğince basitleştirerek paylaşmak istedim. Makina, talaşlı imalat (bu konuda detaylı bir makale paylaşacağım) ve otomotiv sektörleriyle ilgili olduğum için siber güvenlik alanına çok yabancıydım fakat işin içine girdikçe ve aşağıda bahsedeceğim kavramlarla tanışınca bu konuda staj sayesinde öğrendiğim ve araştırdığım verileri sizlerle paylaşmaya karar verdim. Umarım seversiniz.
CTI (Tehdit İstihbaratı)
Araştırmalarıma göre CTI siber tehdit istihbaratı anlamına geliyor. Yani çeşitli şirket ve kurumların güvenliğine zarar verebilecek tehlikeleri detaylıca analiz ederek, saldırıyı yapan tarafın motivasyon, niyet ve methotlarını anlamaya ve önlemeye yönelik uyguladığı sistemler bütünüdür diyebiliriz sanırım CTI için. Bu kavramı ilk kez öğrenmiş biri olarak şunu söyleyebilirim ki Tehdit İstihbaratı çoğu işletmenin güven kaynağı. Çünkü günümüzde büyüyen ve gelişen dev işletmelerin en büyük çekincesi siber saldırılar ve veri ihlalleri. Bunları sık sık haberlerde görüyor ve okuyoruz. Bununla beraber yönetici ekibi işletmelerini korumaya nereden başlamaları gerektiği ve bunu nasıl yapacakları konusunda derin analizlere girişmek, veri yığınlarını tek tek incelemek, sorunları tespit etmek ve çözümleri bulmaya çalışmak zorunda gibi duruyor ve bu oldukça zorlu bir işleme benziyor. İşte CTI burada devreye kurtarıcı bir makine elemanı gibi dahil oluyor.
Araştırmalarımı yaparken tehdit verileri diye bir kavramla da karşılaştım. Sanırsam bu kavram sık sık tehdit istihbaratı ile karıştırılıyor ve anlamı basitleştiriliyormuş. Fakat farkı anlamak oldukça basit. Tehdit verileri demek yapılan ihlallerin listesi demek fakat tehdit istihbaratı daha komplex ve çözüme dayalı ilerliyor. Sonuçta problemleri listelemek ile çözmek arasında dağlar kadar fark var. Bu tıpkı bir otomobilin benzininin bittiğinin sinyali verilip benzin istasyonuna gitmemek; bir makinanın bakım onarımını bilipte yapmamak yani sorunu tespit ettik diye çözüme gerek duymadığını ifade etmek gibi duruyor. Yani tehdit verileri ile tehdit istihbaratı oldukça farklı kavramlar. Tehdit verileri tehdit istihbaratının bir basamağı sadece. Verileri incelediğimde şöyle bir sonuçla karşılaştım. Günümüzdeki işletmelerin sadece %5.9 u CTI kullanmıyormuş. Yani siber güvenliğe ne kadar çok önem verildiğini bu veriden de anlıyoruz. Çünkü kurumlar için veri kaybını önlüyor, korsanlara karşı ihlal şablonu çıkarıp bunu önlemeye ve çözmeye yönelik iyileştirmeler yapıyor ve bu konuda BT topluluğuna bilgi aktarımı sağlıyor.
Apt (Gelişmiş Kalıcı Tehdit)
Tehdit istihbaratını da araştırırırken öğrendiğim gibi şirketlerin en büyük korkusu korsanların gelişmiş tekniklerle özel sistem verilerine erişip ,saldırı düzenleyip ve kendilerine bilgi aktarımı sağlamaktır. APT nin de içinde geçen gelişmiş kelimesinden anladığım kadarıyla en istenmeyen saldırı biçimi. Çünkü APT yi diğerlerinden ayıran nokta sistem ihlali yapıldıktan sonra sistemin içinde uzunca bir süre kalınması. Yani sürekli devam eden, gizli ve gelişmiş korsanlık ihlal tekniklerini kullanarak sisteme erişim sağlanıyor ve burada, yıkıcı sonuçlar yaratmaya yetecek kadar uzun bir süre boyunca kalınabiliyor.
Tespit etmesi de oldukça zor bir saldırı biçimi. En gelişmiş siber saldırı türlerinden olan APT gerçekleştirilmek için çok büyük çaba istediğinden genellikle büyük kurum ve şirketleri hedef alıyormuş. Fakat anladığım kadarıyla bu küçük işletmelerin APT konusunda rahat olabileceği anlamına gelmiyor. Çünkü mantıklı düşünürsek daha büyük veri ve şirket bilgilerine ulaşmak için çok rahat basamak olarak kullanılabilirler bu küçük işletmeler. O yüzden her türden kurumun küçük büyük demeden önlem alması gereken bir siber saldırı biçimi APT.
BMW’de stajımı gerçekleştirdiğim yıllarda büyük çaplı bir siber saldırı yaşanmıştı. Bu siber saldırı nedeniyle çalışan motivasyonlarında düşüş, hedeflenen imalat oranını yakalayamama gibi tatsız durumlar meydana gelmişti. Sonradan anladığım kadarıyla yapılan saldırı biçimi APT imiş. İhlalin tespiti, saptanımı, düzeltilmesi, BT ekibiyle yapılan işbirliği vs sorunun düzeltilmesi 10 günden uzun sürmüştü. Bu kavramı ilk kez öğrenmiş biri olarak söyleyebilirimki eğer bir işletme bir girişim veya buna benzer planlarımız varsa ihtiyacımız olan temel ögelerden biri olarak CTI sistemini de kesinlikle saymalıyız ve APT sistemini iyice tanımalıyız. Çünkü örneklediğim gibi büyük yapılanmalar bile bu konuda sıkıntı yaşayabiliyorlar.
APT bir sisteme gizlice “sürekli” erişim elde etmeyi amaçlıyor. Buradaki anahtar kelimemiz SÜREKLİ. Yani sistemde olduğunu belli etmeden daimi olarak içerde bulunmak ve dışarı bilgi akışı sağlamak. Bu amaç oldukça uğraş ve bir çok önemli basamak gerektiriyor. Bu yüzden de en korkulan siber saldırı türü olarak sayılabilir. Araştırmalarıma göre basamaklar şu şekilde:
1- Hedeflenilen Kurum Veya Kuruluşun Sistemine Erişebilme
Şöyle bir örnek verecek olursak, bir arabayı çalıştırmak ve içine girmek istiyorsak öncelikle kapısını açmamız gerek bunun için de elimizde anahtar olmadığı için bir takım malzemeler gerekir. En basitinden levye gibi. İşte erişim de bu şekilde gerçekleşecek. Önemsiz gibi görünen bir onay mesajı, önemsenmeyecek saniyede ekranda belirip kaybolan bir mail ya da ismine bakmadan hızlıca indirilen virüslü bir dosya gibi levyeyi andıran erişim kaynakları ile sisteme erişim sağlanıyor. İlk aşama oldukça basit gibi duruyor fakat oldukça önemli bir adım. Sonuçta sisteme erişemezsek siber saldırı türü olan APT başlamadan sonlanır.
2- Erişim Duvarı Oluşturmak
Diyelimki şirketin sistemine yukarıda anlattığım yollardan biri ile eriştik. Burada uzun süre kalmak istediğimiz için yakalanmamamız gerekecek bu yüzden de elimizden geldiğince görünmez olmalıyız ama nasıl? Şöyle bir örnek üzerinden anlatayım. Diyelimki hapishaneden kaçıyoruz. Gardiyanlara yakalanmamamız için açık seçik kapıdan kaçamayız ya da uzun süre kapının önünde bekleyemeyiz. Bu yüzden gizli tüneller kazmamız gerek. Ara duraklarında kapılar bulunabilir fakat uzun süre boyunca kapılarda beklersek yakalanırız. Tıpkı bu basit örnek gibi sisteme erişim sağladıktan sonra gizli ağlar oluşturuluyor ve hatta gerekirse belirli yerlerin sistemsel ağ kodları değiştirilip yeniden yazılıyor.
Bu yüzden bir sistemi oluşturmak için kod yazarken ya da güvenlik duvarını oluşturmak için sistemini meydana getirirken girdiğimiz kodlara ve verilere iyice hakim olup sık sık kontrol etmeliyiz ki en ufak bir sistemsel ağ ve kod değişimini tespit edebilelim. Çünkü bu siber saldırı türünü ne kadar erken tespit edersek o kadar yararımıza. Başta ne demiştik, “sürekli” olarak sistemde kalabilen, dilediği zaman güvenlik duvarında boşluk yaratarak çıkıp yeniden girebilen, içerden dışarı veri aktarımı (tersi de mümkündür) ve kopyalaması yapabilen bir saldırı türü olduğu için ihlalin erken tespiti çok önemli.
3- Derinleştirme:
Bu aşama genellikle daha çok yönetici parolalarını hedef alıyor. Bir yandan gizlilik devam ettirilirken bir yandan da yönetici ekibin gizli şifre ve bilgilerine ulaşım sağlanılan aşama. Bu aşamayı da şöyle örnekleyebiliriz. Diyelimki arabaya girdik, kar maskemizi de takıp görünmez olduk sırada içerideki değerli eşyaları tespit etmek var. Torpidoyu yoklamak vs gibi. Yani bu aşamada yüksek düzey bilgiler ve veriler elde ediliyor diyebiliriz.
4- Gezinme
Parolalar kırıldıktan sonra korsanlar artık içeride rahatça gezinebilir, dışarıya gizlice veri akışı sağlayabilir hatta aynı kurumun güvenli olan diğer sunucularına da ulaşabilirler bu aşamada. Bu aşama artık tamamen sistemin içinde olunduğuna dair bir kanıt niteliğinde. Çünkü bu aşamadan sonra ihlalin tespit edilmesi çok uzun ve zahmetli oluyormuş.
5- Sistemde Kalma
Sisteme erişen, duvar oluşturan ve burada sürekli bir şekilde kalan korsanlar artık eriştikleri sistemin teknik tüm veri ve açığını bilmekte, dilediği yerlerin sistemsel kodlarını değiştirmiş bir şekilde dolaşmakta ve dilediği bilgileri toplayıp fark edilmeden dışarıya bilgi akışı sağlayabilmektedirler. Bu öyle bir aşama ki sistemde bulunan korsanlar artık sonsuza kadar içerde kalabilir amacına ulaştığında ise terk edebilirler. Hatta terkederken bilerek bir sistemsel açık bile bırakabiliyorlar yeniden dönmeleri gerekirse diye. Diyelim ki sistemde APT yi tespit ettiniz ve devre dışı bıraktınız fakat dediğim gibi ihlalci taraflar birçok açık kapı bıraktığı ve birçok güvenlik duvarının da sistemine girdiği için kolaylıkla yeniden girebiliyorlar sisteme. O yüzden ihlaller arasında en korkutucu olanı APT olarak biliniyor.
IOC (INDICATOR OF COMPROMISE)
Başlangıçta CTI sisteminden bahsetmişken IOC sistemine de değinmemek olmaz. IOC bilgi parçaları anlamına geliyor. Yani ne demek oluyor bu? Şöyleki Siber güvenlik sistemlerini tehdit eden faktörleri araştırmak, tespit etmek ve tanımlamak için kullanılabilen paketçikler bunlar. Genellikle siber istihbarat amaçlı kullanılıyor. En başta tehdit istihbaratını anlatırken ihlalin analiz edilmesinden bahsetmiştim. İşte IOC burada kullanılan bir paketçik. Tıpkı fotonlar gibi. Işıklar foton paketçiklerinden oluşurya; Tehdit istihbaratı da IOC paketçiklerinden meydana geliyor diyebiliriz. IOC saldırı amacı tespiti, sızma yönetmi, sistemdeki aktiflik durumu ve saldırganın profil tespiti gibi birçok görevi de içinde barındırıyormuş. Ayrıca olağandışı ağ trafiği, bir güvenlik ihlali yapılıyorsa bunun en belirgin işareti ağ trafiği diyebiliriz. Yani görülen bir değişiklik bir anormallik kendini ele verdirir. Etkili tespit için ağa gelen ve giden trafiği iyi yönetmek ve bilmek gereklidir. IOC burada oldukça etkilidir.
Peki sistemimizin tehlikede olduğunu anlamamızı sağlayan göstergeler var mı?
Araştırmalarım sonucu gördüm ki ihlal yapıldığını gösteren iki çok önemli gösterge mevcut. Bunlar şu şekilde:
- E-Postadaki coğrafi düzensizlik:
Eğer mailinize farklı bir ülkeden erişildiğine dair bilgi aldıysanız bu da pek güzel bir haber olmayabilir çünkü verilerinize eriştiklerini haber veren bir diğer işarettir. O halde coğrafi düzensizlikleri izleyen IoC’lerin işletmeler için ne kadar değerli olabileceğini hayal ettiğimizde bile içimizin rahatlaması oldukça normal. Ayrıca IOC hesap hareketliliğini de izlediği için bu yönlü bir tehlikeyi de önlüyor.
- Veri tabanı okuma hacminde artış:
Birçok kurum ve şirket en özel ve en gizli bilgilerini veri tabanı şeklinde aklıyormuş bu yüzden de saldırganların ilk hedefi burasıymış. Şaşırtıcı değil. Veri tabanı okuma hacmi kontrol edilebilen bir nicelikmiş. Eğer kontroller sırasında hacimde bir artış tespiti yapılırsa bu da iyi bir haber değil çünkü birilerinin verilerinize sızmış olduğunu anlamış oluruz.