Siber fidyecilik artıyor

Son bir senedir siber çeteler ülkemizdeki pek çok şirketi kurnazca taktiklerle “hack’lediler” ve çok ciddi parasal hasarlarla birlikte şirketlerde itibar kayıplarına sebep oldular. Sadece bu konuda bize başvuran şirket sayısı geçtiğimiz dönemlere kıyasla yüzde 400 arttı. Bu gibi saldırılara maruz kalan kimi kurumlar müşteri kaybetmemek ve itibarsızlaşmamak için zararı sineye çekiyor ve sessiz kalmayı tercih ediyorlar.
İlk kez 2009 yılında Rusya ve Doğu Avrupa’da rastlanan, çok kısa sürede Batı Avrupa, ABD ve birçok ülkeye yayılan “Ransomware- Fidye” ülkemizde de yayılıyor. Siber çeteler şirketlerin güvenlik açıklarından yararlanarak sisteme sızıyorlar ve ana sistemdeki kritik bilgileri, uygulama programlarını hatta ofis dosyaları dahil her şeyi şifreleyerek kullanılamaz hale getiriyor ve size bir “Fidye Mektubu” bırakıyorlar. Sisteminizin tekrar “AKTİF” hale gelmesi için tek yolun belirli bir tutar ödemek olduğuna kullanıcıyı ikna ediyorlar ya da açıkca “tehdit” ediyorlar. Bu yöntem kullanıcıların, uygulanan şantaja kanarak, karşılığında fidye ödeme eğilimlerini artırıyor. Fidye tutarı ödense bile, siber suçlular sistemleri kullanılabilir hale getirmiyor.
Ağ ve sistem güvenliği açısından “proaktif” önlemlerin alınması ve ağ yapılarınızda “Zafiyet Analizleri”nin yapılması bu riski çok düşürüyor. Böyle bir durumla karşılaşmanız halinde kesinlikle siber çetelere para kaptırmayın, zira ödeseniz bile bilgilerinize kavuşamayacaksınız.
Sızma testi-Pentest kriterleri:
Bilgi, içinde bulunduğumuz iletişim çağında bir kurumun en önemli varlığıdır. Bu kapsamda bilginin temel güvenlik özellikleri olan “Gizlilik, Bütünlük ve Erişilebilirlik” özelliklerinin korunması çok kritik ve kaçınılmazdır. Bu özelliklerden herhangi birinin zarar görmesi etki seviyesine göre kuruma çok ciddi zararlar verebilir. Bir önceki yazımda konuk ağırlama sektörünün siber saldırganların öncelikli hedefleri olduğunundan söz etmiştim.
İşte bu gerekçelerle bilginin işlendiği sistemler ve uygulamalar düzenli olarak güvenlik testlerine tabi tutulmak suretiyle, dışarıdan ve içeriden gelebilecek saldırılara karşı zafiyetlerle güvenlik boşlukları tespit edilerek kapatılmalıdır. Sızma testi, bilgisayar ve ağ güvenliğini dışarıdan veya içeriden yapılan bir saldırı ile değerlendirme yöntemidir.
Pentest olarak açıklanan kavram “penetration”yani “sızma” sözcüğünden oluşan bir terimdir. Hedef olarak belirlenen bir sisteme “Siber saldırgan” gözüyle yaklaşılarak teknik olarak olası her yöntemin denenerek sızılması ve sistemin ele geçirilmesidir. Pentest’teki asıl amaç güvenlik açığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkiliymiş gibi erişimler elde etmek ve bu durumu raporlayarak riski ortadan kaldırmaktır. Özgün “Proaktif Penetrasyon Testi” metodolojileri kullanarak , kablolu ve kablosuz ağ mimarileri baştan aşağıya hem iç hem de dış tehditlere karşı denetlenir ve detaylarıyla raporlanır.
Sızma (Pentest) yöntemiyle;
– Belirli bir siber saldırı vektör kümesinin olabilirliğinin belirlenmesi,
– Belirli bir sıralamada kullanılan düşük riskli açıklıkların bir kombinasyonundan kaynaklanan yüksek riskli açıklıkların tespit edilmesi,
– Otomatize ağ veya uygulama açıklık tarama yazılımları ile tespit edilmesi güç veya imkânsız olan açıklıkların tespit edilmesi,
– Başarılı saldırıların, olası iş etkisi ve işletimsel etkilerinin büyüklüğünün anlaşılması ve değerlendirilmesi,
– Ağ koruma cihazlarının ve uygulamalarının, saldırıları başarı ile tespit etme ve karşılık verme kabiliyetlerini test etme imkanlarının ortaya çıkartılması.
Sızma testleri genellikle tam güvenlik denetimlerinin bir parçası olmakla beraber (örneğin PCI DSS standardı) hem yıllık hem de devamlı olarak (sistem değişikliklerinden sonra) uygulanır. ISO 27001 standardında da sızma testi gereklidir. (Ref. TSE Sızma Testi Kriterleri)
Çoğu zaman sızma (Pentest) işlemleriyle zafiyet analizi birbiriyle karıştırılmaktadır. Zafiyet analizleri, sistem içerisindeki varlıkların yanlış konfigürasyon, güncel olmayan yazılım v.b nedenlerden dolayı, istenmeyen şekilde sisteminize sızıp sızılmadığını ya da sisteminize sızma olasılığının analizinin yapıldığı iş sürecidir. Tam bir zafiyet analizi için sisteminizde çalışan bilgisayarların detaylı bir şekilde incelenmesi gerekmektedir. Bu süreçte bilgisayar yazılımlarının hataları, insan kaynaklı hatalar ve yanlış olan politikalar detaylı bir şekilde incelenir. İnceleme sonucunda rapor oluşturulurak sonuçların özeti çıkarılır. Bu raporun sonucunda zaafiyet oluşturan kısımlar için neler yapılması gerektiği ile ilgili bir yapılacaklar listesi de oluşturulur.
Sonuç olarak tüm sistemlerde olması muhtemel güvenlik zafiyetlerinin mutlaka “üçüncü bir göz tarafından” sınanması ve kontrol edilerek raporlanması günümüzde “proaktif bilgi güvenliğinin” ana koşuludur. Gerekli olan güvenlik tedbirleri alınmış olsa bile her an gelişen teknoloji, işletim sistemleri için duyurulan yamalar, ağlardaki yönlendirici (router) ve/veya aktif sistemlerin yapılandırma (konfigürasyon) sürecinde verilen hatalı parametreler veya henüz keşfedilmemiş herhangi bir sebepten kaynaklanan kırılganlıklar, her an bir şeylerin gözden kaçmasına yol açabiliyor.
Unutmamak gerekir ki, internetteki siber saldırganların deneyim ve yetkinliği her koşulda sizden çok daha iyi olacaktır. Bu bağlamda gerek ihmal gerekse yukarıda saydıklarımız sebeplerle siber saldırılara maruz kalmadan önce sistem güvenliğinizi bu konudaki yetkinliği olan uzmanlara (beyaz şapkalı hacker, ethical hacker, sızma test uzmanı vs) test ettirmek ve raporlatmak zorunluluk haline gelmişti.