Siber tehdit istihbaratı yazı dizimizin bir sonraki bölümü “Siber Güvenlik Tehdit Kategorileri” konusu ile kaldığımız yerden devam ediyoruz. Önceki bölümümüze “Siber Tehdit İstihbaratında Bilinenler ve Bilinmeyenler” konusuna değinerek siber tehdit istihbaratındaki aktörlerden bahsetmiştik.
Siber Güvenlikte Ağ Tehditleri
Ağ güvenliği tehditleri tüm dünyadaki insanlar ve kuruluşlar için büyüyen bir sorundur ve her geçen gün oluşturduğu tehdit büyümektedir. Ancak ağda oluşan sorunlar her zaman tehdit aktörlerinden kaynaklı olmayabilir. Kötü yapılandırılmış ana bilgisayarlar ve beraberindeki sunucular ağ güvenliğine yönelik tehditler gibi davranabilirler. Çünkü kaynakları orantısız bir şekilde tüketip, anormal davranışlar sergileyebilir ve örneğin DDoS saldırısına maruz kalınmış izlenimi oluşturabilirler. Bu gibi durumların haricinde gerçekten tehdit oluşturan durumları ortadan kaldırmak için en etkili araçlar tercih edilmelidir. Ağımıza karşı olan tehditleri mantıksal saldırılar ve kaynak saldırıları olarak gruplandırabiliriz.
Mantıksal Saldırılar
Mantıksal Saldırılar sistemin çalışmasına zarar verecek zafiyetler, açıklıklar barındıran mevcut güvenlik açıklarından yararlanılan saldırılardır. Bu yöntem ağ yapısına zarar verme, çalışma performansını etkileme amacı taşıyan saldırganlar için çok sık tercih edilen bir yöntemdir.
Microsoft PNP MS05-039’un aşırı yüklenmesi zafiyetinin kullanılması bu yönteme örnek olarak verilebilir.
Yine bu konuya “ölüm pingi” olarak adlandırılan saldırı çeşidi de örnek olarak gösterilebilir. Bu saldırıda ICMP paketleri için ayrılan bant genişliğinden daha büyük paketler gönderilir ve sistem bundan etkilenir.
Mantıksal saldırılardan korunmanın en etkili yöntemlerinden biri yazılımların ve sistemlerin gerekli güncellemelerini yapmaktır.
Kaynak Saldırıları
Bu saldırı çeşidi özellikle CPU ve RAM gibi sistem için hayati önem taşıyan kaynakları hedef almaktadır. Bu işlem ağa çok sayıda istek ve IP paketi gönderilerek gerçekleştirilebilir. Bu tür saldırılar tipik botnet ve zombi saldırılarını kapsamaktadır. Bu tür kötü amaçlı saldırılar uzaktan kumanda özelliği altında başarılı bir şekilde çalışmalarına olanak sağlayan iletişim altyapısının yanı sıra, farklı tür saldırılar başlatma komutları da içerebilir.
Ağ Tehditlerine Örnek Saldırılar: Solucanlar, Truva Atları, DDoS Saldırıları, Sosyal Mühendislik Saldırıları, Spoofing, Sniffing.
Uygulama Tehditleri
Uygulama güvenliği, tehditleri ve açıklıkları tespit ederek, çözerek ve önleyerek bir uygulamanın güvenliğini test etmenin genel süreci olarak adlandırılabilir. Bu tehditler ve güvenlik açıkları kötü amaçlı yazılım, kimlik avı saldırıları, DDoS saldırıları ve veri ihlallerini içermektedir.
Mobil Uygulamaları
Akıllı telefonların ve tablet teknolojisinin benimsenmesiyle birlikte mobil cihazların kullanım çok yaygınlaşmıştır. Saldırganlar bu durumu kendi lehine çevirmek isteyip yeni stratejiler geliştirmek istemektedirler.Bu stratejilerin dikkat gerektiren bir dizi etkinliği kapsaması gerekmektedir.
Bunlar; Bring Your Own Device (BYOD)-Kendi Cihazınızı Getirin‘den Mobile Device Management (MDM)-Mobil Cihaz Yönetimi‘ni kapsayan geniş bir yönetim ve kullanıcı farkındalığı gerektiren çeşitli aktiviteleri kapsamaktadır.
Mobil uygulama güvenliğindeki en büyük problem mobil cihazları kullanan/yöneten kullanıcılar ve kuruluşlar, indirdikleri ve kullandıkları uygulamaların gerçekte ne yaptığını bilmemesidir.
Mobil uygulama güvenlik incelemesi; kod çalıştırılması, erişim yükseltilmesi, veri sızması, bilginin dışarıya aktarımı ve diğer güvenlik sorunlarına yol açabilecek güvenli açıklarını ve yanlış yapılandırmaları kapsamaktadır.
Web Uygulamaları
Web uygulamaları güvenliği kapsamlı bir web yelpazesini güvenlik ihlallerinden koruyan bir bilgi güvenliği biçimidir. Bu kapsam veritabanlarını, sosyal medya sayfalarını ve kullanılan yazılımları içermektedir.
Web servisleri, XML, SOAP, WSDL, UDDI gibi açık standartları kullanarak web tabanlı uygulamaları dahil etmenin kontrollü bir yolu olarak tanımlanabilir. Tüm bu platformlar ve platformlar arası iletişim yolları, potansiyel bir saldırı için çeşitlilik oluşturmaktadır.
Örnek bir web hizmeti incelemesi, bir anahtarın gönderilmesine ve XML tarafından oluşturulan verilerin indirilmesine izin veren SOAP tabanlı çevrimiçi XML üreticisinin güvenliğini kapsamaktadır.
Bir web uygulaması testi gibi, Sense of Security hizmetleri testi, uygulandığı teknoloji ve üzerinde çalıştığı Web sunucusu/arka uç veritabanının güvenliği ne olursa olsun, Web hizmetinin kendisinde bulunan önceden tanımlanmış güvenlik açıklarını belirler. Bu inceleme, özel uygulama katmanındaki tehditleri modellemektedir.
Uygulama Tehditlerine Örnek Saldırılar: Kötü amaçlı yazılımlar, Kimlik Avı Saldırıları-Phishing, DDoS Saldırıları, Veri Sızıntısı Olayları.
Host Tehditleri
Özellikle yeni ortaya çıkan tehditlerin yanı sıra mevcut risklere karşı en iyi korumayı sağlamak için ana bilgisayarların işletim sisteminin ve uygulamalarının uygun şekilde sıkılaştırılması gerekmektedir. Her iki durum da tamamlayıcı olduğundan ve farklı bakış açılarından model tehditler oluşturduğundan, bir ana bilgisayar güvenlik değerlendirmesi ayrı olarak veya bir penetrasyon testi ile birlikte yapılabilir.
İncelenen teknolojilerden bazıları şunları içerir:
- İşletim sistemleri
- Veri tabanı sunucuları
- Güvenlik duvarları
- Yönlendiriciler
- Anahtarlar
- Sanallaştırma uygulamaları
- Yük dengeleyiciler
- Saldırı Tespit Sistemleri
- Web proxyleri
- Web sunucuları
- Uygulama sunucuları
- Posta sunucuları
Siber Tehdit Aktörlerinin Profilleri
Tehdit aktörleri kötü niyetli aktörler olarak tanımlanabilir. Bu kötü niyetli aktörler bir kurumun/kişinin güvenliğini etkileyen olaylardan veya potansiyel olaylardan sorumlu kişi/kişilerdir.
Devlet Destekli Tehdit Aktörleri: Bu tehdit grupları çok iyi finanse edilmekte ve sıklıkla karmaşık hedefli saldırılar gerçekleştirmektedir. Genelde politik, ekonomik, teknik ve askeri sebeplerden kaynaklı motivasyonları/hedefleri vardır. Casusluk amacıyla yararlanabilecek rekabetçi bilgi, kaynak ve kullanıcı arayışları bulunur.
Organize Suç Ekipleri: Bu saldırı grupları en fazla karı getirecek eylemleri gerçekleştirmeyi tercih ederler. Genelde müşterilerin ve çalışanların sosyal güvenlik numaraları, sağlık kayıtları, kredi kartları ve bankacılık bilgileri gibi kişisel bilgileri ele geçirip bunlar üzerinden fidye alma işlemini gerçekleştirirler.
Hacktivistler: Bu saldırganların genelde politik amaçları bulunur. Amaçları propagandayı dağıtmaya yardımcı olan yüksek profilli saldırılar oluşturmak veya karşı oldukları kuruluşlara zarar vermektedir. Temel amaç kendilerine fayda sağlamak ve problem olarak gördükleri bir konuya dikkat çekmektir.
Fırsatçı Kişi/Kişiler: Bu saldırganlar genelde amatör oyunculardır ve tanınma, ünlü olma arzusu barındırırlar. Ancak sadece zarar vermek amacıyla hareket etmezler. Kurumların, sistemlerin buldukları güvenlik açıklıklarını bildirip, buradan hareketle isim duyurmaya da çalışabilirler. Bunu gerçekleştirdikleri zaman para ödülü, teşekkür listesine isim yazdırma gibi ödüllendirmeler alabilirler.
İşinden Memnun Olmayan Mutsuz Çalışanlar: Kurumunuza karşı kötü niyetli faaliyet gösteren kişilerin tamamı dışarıdan gelmek zorunda değildir. İşinden memnun olmayan, mutsuz çalışanlar daha fazla maddi kazanç elde etmek veya iş hayatında karşılaşılan tatsız olaylardan dolayı intikam almak için karşı firmalarla işbirliği yapabilirler.
Siber Teröristler: İnternet’in, tehdit ya da yıldırma yoluyla siyasi ya da ideolojik kazanımlar elde etmek amacıyla, can kaybı ya da ciddi bedensel hasara yol açan ya da tehdit eden şiddetli davranışlarda bulunmak için kullanılmasıdır. Bilgisayar virüsleri, bilgisayar solucanları, kimlik avı gibi araçlar aracılığıyla İnternete bağlı kişisel bilgisayarların kasıtlı, büyük ölçüde bilgisayar ağlarını bozması gibi eylemleri içeren bir İnternet terör eylemi olarak kabul edilen eylemleri gerçekleştirirler.
Casuslar: Siber casuslar, kişilerden, rakiplerden, gruplardan, hükümetlerden; kişisel, ekonomik, politik ve askeri açıdan avantajları düşmana karşı kullanmak için bilgi edinmeye çalışırlar. İnternete, ağ yapılarına veya kişisel bilgisayarlara kötü amaçlı yazılımlar bulaştırma ve bunlarla istenilen bilgileri elde etmeye çalışmak siber casusların yaptıkları işlemlere örnek gösterilebilir.
Ticari Rakipler: Aynı endüstri içerisinde bulunana firmalar, aralarındaki ticari rekabetten dolayı karşı tarafa zarar verme girişiminde bulunabilirler. Bunu başka kurum ve kişilerle orta gerçekleştirebilecekleri gibi bireysel olarak da hareket edebilmektedirler.
Yazar: Cyber Intelligence Analyst Gurbet Başakci
Bölüm -5 Siber Güvenlik Saldırılarının Motivasyon ve Amaçları