Güvenlikte ezber bozuldu!

Bilişim Zirvesi kapsamında düzenlenen Dijitalde Siber Güvenlik 4.0 oturumunun açılış konuşmasını ADEO Bilişim Kurucu Ortağı Halil Öztürkci, ‘Windows Sistemlerde Threat Hunting’ başlığında yaptı. Threat hunting nedir, hunting yeteneği nasıl kazanılır, referans modeli olarak nedir soruları ışığında hunting döngüsünü ele alan Halil Öztürkci, ardından mimarisine geçerek, örnek vakalar üzerinden saldırı türleriyle ortaya çıkan Powershell üzerinden yapılan threat hunting’de nelere dikkat etmek gerektiğini anlattı. “Unutmayın, ne kadar çok veri toplarsanız, o kadar iyi siber av yapabilirsiniz” diyen Halil Öztürkci, şu bilgileri paylaştı:
“Log tarafının ardından, ikinci dosya prefetch dosyaları. Üçüncü unsur registry. Başka bir konu network. Hangi network’ler arasındaki hangi protokoller bizim için önemli. Bu bizim analiz yaparken karşımıza çıkan soruları cevaplamak konusunda kritik öneme sahip. Son olarak memory. Çok kritik bilgilere ulaşabiliriz. Bir memory imajı aldığınızda process listesini oluşturdunuz, bunu gördüyseniz Powershell çalışıyor demektir.”
 
Entegre güvenlik çözümleri bir gereklilik
Intel Security Türkiye ve Azerbaycan Bölge Direktörü İlkem Özar, ‘Güvenlikte Ezber Bozuldu’ başlıklı sunumuyla bütünselliğin önemine farklı araştırmalardan detaylar paylaşarak dikkat çekti. “İnanılmaz bir tehditle karşı karşıyayız” vurgusunu yapan İlkem Özar, tehdit dünyasına ve alınması gereken önlemlere şöyle dikkat çekti:
“Fidye yazılımlarını Türkiye'de çok görüyoruz. Kullanıcı da zayıf halka burada. Ağ tehditlerine baktığımız zaman, ağırlıklı olarak hala aslında belki eski tip yazılımlarla karşılaşıyoruz, bu hizmet dışı bırakma atakları, özellikle Türkiye'de çok gündeme geldi. Dijital dünyamız da çok gelişmekte, teknoloji artık evlerimize ceplerimize kıyafetlerimize, şehirlerimize giriyor ve pek çok kolaylık veriyor. Güvenlik önlemlerini de farklı almanın farkında olmalıyız. Bir yıl evvel ‘güvenlikte ezber bozuluyor’ diyordum, artık ‘bozuldu’ diyorum. Bizim artık farklı önlemler almamız ve bakış açımızı değiştirmemiz lazım. Karşınızdakiler çok akıllı, içeride birleşen zararlılar yaratıyor, farklı ataklar yapıyorlar. Biz 10 senedir bunu fark edip bunun üzerine geliştiren ve gerçekten şu an hazır durumda olan konumdayız, ama ricam, bakış açınızda mutlaka entegre çalışacak bu mimariyi düşünerek ürün seçimine gitmeniz. Ürün bazlı koruma dediğiniz zaman, saldırganların bir kere başarılı olması yetiyor. Ama entegre bir koruma sistemine sahipseniz, otomatik hale gelen aksiyonlarla o tehdidi bir kere durduran çözüm, sizin diğer bütün güvenlik çözümlerinize bu bilgiyi yaydıktan sonra, sizin başka bir kurumunuzun başka bir yerinden girme şansı kalmıyor. Bizim sağladığımız avantaj bu. Entegre ve farklı yöntemlerle koruma ile hakikaten bakış açımızı değiştirmemiz gerek. Ayrıca siber saldırganlar beraber çalışıyorlar, bizim de gerçek koruma sağlayabilmemiz için güvenlik sektörü olarak birlikte ve entegre çözümlerle çalışmamız lazım. Kurumun uç noktalarda kullandığı çözümler ise en önemlisi.”
 
Bütünsellik, güvenlik sağlar
Ankagroup İcra Kurulu Üyesi ve AnkaIT Genel Müdürü Ruşen Özkan, ‘IoT – Cloud Eksenli Uygulamalarda Veri Güvenliği’ başlıklı sunumuyla asansörler, yürüyen merdivenler, buzdolapları gibi cihazların her birinin farklı firmaların bölümleri şeklinde alınan, entegre edilen mimariler olabildiğine işaret etti. Yani elimizde akıllı bileşen, dış dünyayla irtibatını sağlayan altta bir iletişim aracı, veri gönderdiği bir sunucu, o sunucu üzerinde çalışan ve verileri kontrol eden bir uygulama var ve bütün bu verilerin depolandığı, ihtiyaç anında bakılabilen yapı var. “Klasik BT’cilerin bildiği, temel anlamda ISO katmanlarından söz ediyoruz” tanımını yapan Ruşen Özkan, konunun IoT kısmında sözlerine şöyle devam etti:
“Bunların içerisinde olmayan bir IoT kısmı var, ki elimizde veri yok. Akıllı eşyalar dediğimizde sadece ev otomasyonu değil, sokakta bulunan sensörler, trafik sistemleri gibi her türlü dış ekipmanların tamamı akıllandırılmaya başlandı. Bilgisayar içerisindeki parçalarımızın her birisi de kendi başına akıllı. Fiziksel katman olarak ifade edebileceğimiz alt sensörlerimiz, cihazımız, onun ilgili network’e bağlayan bir bağlantı ve onun üzerinde istediğimiz fonksiyonları icra emesi için temel aldığı bir platform var. Biraz daha akıllı bir şeyden söz ediyorsak, her bir kullanıcının yetkilendirilme seviyesine göre o verilere erişilmesini tarif etmiş oluyor. Dünyanın şöyle garip bir yanı var: Her bir veriyi bir yerde depoluyoruz, bir yerlerde karşımıza çıkıyorlar. Open data ve farklı konsorsiyumlar var. Bu datayı aldığınızda nasıl yöneteceğiniz, nasıl kararlar çıkaracağınızı arkada size öğreten algoritmalarınız olması gerekli. Entegre bir güvenlik yaklaşımı ortaya koyuyor olmamız lazım. Aynı şey IoT için de geçerli. Nesneye, fiziksel erişimden tutun, o verileri nasıl ve nereye gönderdiği, nasıl algılandığı, kimin ona nasıl müdahale ettiği gibi her şeyi kontrol edebiliyor olmanız gerekiyor. İşi buluta taşıdığınızda, burada da güvenlik tedbirleri lazım. Burada dünyayı yeniden keşfetmenize gerek yok. Oluşan organizasyonlar ve süreci 10 adımda özetleyen bir uluslararası standart var. Bu standart çerçevesinde çok daha sağlıklı bir şey olabilir. Özetle şunu söylüyor: Her şeyden önce ne yaptığınızı bilin, sağlıklı bir mekanizmanın oluşması için de risklerin analiz edilmesi, oluşabilecek alternatif yapılar hakkında hususların belirlenmesi gerek. Denetim mekanizmalarının sağlıklı olması, projede görevli olacak ve sisteme erişme ihtimali olan herkesin veya her bileşenin yetkilerinin net şekilde tanımlanması gerek. Bütün bu bileşenleri bir araya getirdiğiniz zaman gerçekten yönetilebilir, güvenli bir nesneler bütünlüğü ortaya çıkıyor.” 

Tuzak sistemler ihtiyaç halini alıyor
IBTEch Uluslararası Bilişim ve İletişim Teknolojileri Kıdemli Sızma Testi Uzmanı ve Etik Hacker Mert Sarıca, 'Tuzak Sistem ile Hacker Avı' sunumu ile tuzak sistem nedir, özel kurumlarda neden ihtiyaç duyulur, nasıl kendi tuzak sistemimizi oluşturabilirsiniz sorularına yanıtları paylaştı. Sızma testi uzmanı olmanın yanında Bahçeşehir Üniversitesi’nde zararlı yazılım analizi eğitimi verdiği bilgisini paylaşan Sarıca, QNB Finansbank’ın 2007 yılından beri sızma testlerini gerçekleştirdiğini belirterek, şöyle devam etti: 
“Tuzak sistem; üzerinde zafiyet barındıran, ağ sistem ve sahte veri bileşenlerinden oluşan bir sistem. En önemli noktalardan birisi, art niyetli kişinin hareketlerini izleyebilmesi. Ekran kaydedici, tuş kaydedici gibi farklı araçlardan yararlanabiliyorsunuz. İlerleyen yıllarda öneme sahip olacak deception uygulaması var. Yanıltma ise yıllardan beri askeri operasyonlarda kullanılıyor. Yanıltma teknolojisi dışında bal küpü sistemleri de kullanıyoruz. Bal küpü ile yanıltma teknolojisi arasındaki fark şu: Siz yanıltma teknolojisinde art niyetli kişiyi tespit ediyorsunuz ve engellemek için aldığınız bilgileri kullanıyorsunuz ama bal küpünde yakalama için bilgi sahibi olabiliyorsunuz. Yanıltma teknolojisi daha çok ticari ürünlerde kullanılıyor, ama bal küpü çoğunlukla açık kaynaklı. 2018 yılında kurumların yüzde 10’unun yanıltma teknolojisinden faydalanacağı görülüyor. Kurumunuzda çok sayıda güvenlik cihazı var, her yerden alarmlar geliyor, ama biz bu alarmların dedike saldırgana mı ait, yoksa rastgele interneti tarayan bir bot veya script mi olduğunu anlayamıyoruz. Oysa bunu anlamamız gerek buna göre aksiyon almak için. Tuzak sistemler elimizi biraz güçlendirecek. Yanıltma teknolojileri biraz pahalı, ücretsiz bal küpü sistemleri Windows’u desteklemiyor. Tabi ki her güvenlik olayında olduğu gibi yetkin personel eksikliği de karşımıza çıkıyor. Ama pes etmiyoruz. Tuzak sistemler için çok büyük şeylere ihtiyacınız yok. Önemli olan bunun izolasyonunu çok iyi şekilde yapmak. Bunun için ihtiyacımız bir mini bilgisayar, bir VMware, Windows 7, Linux Ubuntu ve custom bir Python kod. Bu kodu ilerleyen günlerde yayınlamış olacağım. Kurumlarda güvenlik cihazları ve sistemlerinin çokluğu nedeniyle saldırgan tespit etmek zor olabilir. Bunun için tuzak sistemlere ihtiyaç duyuyoruz.”