Adeo, siber saldırılara karşı uyardı
Tarafından 30 Temmuz 2016
0
659 Görüntülemeler
15 Temmuz’da gerçekleştirilen darbe girişiminden sonra, gerek yurtdışından gerekse yurtiçinden gelebilecek siber saldırılara karşı hem kamu kuruluşları hem de özel sektör şirketleri uyarıldı.
Son dönemde Türkiye’nin yurtdışındaki imajının zedelenmesi adına yapılan siber saldırılar büyük ölçüde arttı. Bu siber saldırıların en önemli amacı ise elde edilen bilgi ve belgelerle Türkiye’yi itibarsızlaştırma operasyonu gerçekleştirmek. Bu bağlamda gerçekleştirilebilecek siber saldırılara karşı, Adeo’nun “Siber Güvenlik” ve “Siber Olaylara Müdahale” ekipleri şu tavsiyelerde bulundular:
- Halihazırda sisteminizde bir günlük (log) yönetim sistemi (SIEM) varsa mutlaka bu sistemin düzgün çalıştığından ve kritik sistemlerinizin üzerindeki kritik günlük dosyalarının bu sisteme gönderildiğinden emin olun. Ayrıca her gün sürekli aralıklarla bu günlük sisteminde biriken günlükleri analiz edin ve olası saldırı düzenlerini arayın.
- ‘Active Directory’ ortamınız varsa mutlaka “etki alanı” (domain) ortamındaki yetkili kullanıcı hesaplarının hareketlerini kontrol edecek bir mekanizma kurun. Saldırganların son zamanlarda en çok tercih ettikleri yöntem olan yetkili hesapları ele geçirip dikkat çekmeyecek şekilde sistem yönetimi için kullanılan araçlar yardımıyla iç ağda hareket ettiklerini unutmayın. Özellikle Kuruluş Yöneticileri, Etki Alanı Yöneticileri ve Şema Yöneticileri gruplarına hangi kullanıcıların üye olduğunu kontrol edin ve Yönetici kullanıcısının oturum açma aktivitelerini izleyin. ‘Active Directory’ üzerindeki anormal hareketleri tespit etmek için Microsoft’un ATA (Microsoft Advanced Threat Analytics) çözümünü kullanabilirsiniz.
- Başarıya ulaşmış bir siber saldırıyı tespit etmek istiyorsanız size gelen trafiğe değil, sizin ağınızdan çıkan trafiğe yoğunlaşmalısınız. Bu bağlamda özellikle internet çıkışınızı izleyip anormal veri trafiğini (normalin dışında ‘yükleme trafiği’, alışılagelmiş zamanların dışında aktif trafik vb. bakarak) tespit etmelisiniz. Anormal trafiği tespit etmek için ‘akış’ veya tam paket verisi kullanılabilir. Eğer imkânlarınız el veriyorsa hem ‘akış’ bilgilerini hem de tam paket verisini belirli bir süre toplayacak şekilde internet trafiğinizi izleyin. Bu işlem için kullanılabilecek açık kaynak kodlu bir dağıtım olan ‘Security Onion’u kullanabilirsiniz. Hem bünyesinde barındırdığı saldırı tespit sistemi hem de tam paket yakalama ve analiz etme araçları sayesinde ağ üzerindeki anormalliklerin tespitinde oldukça işinize yarayacaktır.
- Kullandığınız güvenlik ürünleri siber istihbarat paylaşımlarını (Cyber Threat Feeds) destekliyorsa, ücretsiz tehdit istihbarat servislerinden birini veya bir kaçını kullanacak şekilde ayarlayın. Bu sayede daha önceden tespit edilen saldırı vektörlerinden ve varsa istihbaratı paylaşılan bu tehditlerin ağınızdaki izlerinden hızlı bir şekilde haberdar olursunuz.
- Tespit ettiğiniz bir siber saldırı anında sistemlerinizdeki olası sayısal delilleri minimum zarar verecek şekilde toplamak adına bir süreç belirleyin. Saldırıya uğramış sistemler üzerinde bu sistemlerin imajlarını almadan hiçbir şekilde veri kurtarma, silme gibi işlemlerini gerçekleştirmeyin, bu sistemleri mümkünse kullanmayın. Aksi takdirde sayısal deliller zarar görebilir. Altyapınızda saldırı tespiti ve olay müdahalesinde bulunmak için Google tarafından geliştirilen ve ücretsiz sunulan GRR Rapid Response aracını kullanarak hızlıca canlı sistemler üzerinde sayısal delil toplayabilirsiniz.
- Sisteminizdeki olası açıkları tespit etmek adına hızlıca bir sızma testi yapın veya dışarıdan hizmet alarak yaptırın. Bu sayede saldırganların sisteminizde bulabileceği olası açıklıkları daha önceden tespit edebilir ve gerekli önlemleri alarak bu açıklıkları kapatabilirsiniz.