İstihbarat, güvenliğin de hareket noktası
Küresel bir siber güvenlik şirketi olan CrowdStrike, güvenlik ihlallerini durdurmak için baştan yaratılmış uç nokta koruma platformuyla, güvenliği bulut dönemi için tekrar tanımlıyor. CrowdStrike Hizmetleri, kurumların güvenlik olaylarına karşı kendilerini savunmaları ve bunlara müdahale etmeleri için gereken korumayı ve uzmanlığı sağlıyor. CrowdStrike’ın birinci sınıf tehdit istihbaratından ve yeni nesil uç nokta koruma platformundan yararlanan CrowdStrike Hizmetleri olaylara müdahale (IR) ekibi, dünyanın her yerinden kullanıcılarının eş zamanlı olarak saldırganları tespit etmesine, takip etmesine ve engellemesine yardımcı oluyor. Bu yaklaşım, CrowdStrike’ın izinsiz erişimleri daha hızlı durdurmasını sağlarken, kullanıcıların faaliyet devamlılığını beraberinde getiriyor. Bunun yanında CrowdStrike, proaktif hizmetler de sunarak kurumların tehditleri önceden sezme yeteneklerini geliştirmesini, ağlarını hazırlamasını ve siber saldırılardan kaynaklanacak hasarları engellemesini sağlar.
The CrowdStrike Falcon platformunun tek hafif ajanlı mimarisi, bulut ölçekli yapay zeka kullanarak ve işletme içinde gerçek zamanlı koruma ve görünürlük sunarak ağ içinde veya dışındaki uç noktalara yapılan saldırıları engelliyor. Tescilli CrowdStrike Threat Graph ile çalışan CrowdStrike Falcon, dünyanın güvenlik konusunda en gelişmiş veri platformlarından birini besliyor. CrowdStrike ile müşteriler daha iyi koruma ve daha iyi performanstan faydalanırken, bulut tabanlı Falcon platformu sayesinde değer elde etme süreleri azalıyor. Crowdstrike Türkiye & CIS Bölge Müdürü Ümit Nadim’e göre, kurumların saldırıları kendiliğinden tespit etme becerilerinde gelişmeler gözlemlendi. Ama uzayan tespit süreleri hala sorun teşkil ediyor. “CrowdStrike, kurumların örnek uygulama olarak “1-10-60 kuralına” uymaları gerektiğini savunuyor. Yani ‘bir dakikada saldırı tespiti, on dakikada soruşturma ve bir saatte iyileştirme” vurgusunu yapan Ümit Nadim, yeni yayınlanan 2019 CrowdStrike Küresel Güvenlik Tavrı Anketi sonuçlarını da bu yaklaşıma şöyle örnek gösterdi:
“Buna göre, kurumların büyük bir çoğunluğu 1-10-60 kuralına uymayı “ezber bozan” bir koruma yöntemi olarak görüyor. Yine de, ankete cevap verenlerin çoğunluğu, bu ölçekte yetersiz olduğunu kabul ediyor. CrowdStrike Hizmetler ekibinin kurumlar için olaylara müdahale faaliyetleri sırasında deneyimledikleri de bu durumu kanıtlar nitelikte: 1-10-60 kuralı saldırganın bir adım önünde olma ve potansiyel bir saldırıyı engelleme ihtimallerini önemli ölçüde arttırıyor. Ancak bu kurala uymak, hız ve deneyim gerektiren zor bir kıstas.”
İş kesintilerinin olumsuz etkileri!
Yapılan saldırılar, önemli zararları da beraberinde getiriyor. İş kesintisinden veri hırsızlığına ve para kayıplarına uzanan zinciri Ümit Nadim şöyle anlattı:
“Bu sene iş kesintileri manşetlerde yerini buldu. CrowdStrike Hizmetleri’nin soruşturduğu güvenlik ihlallerinin yüzde 36’sı, kurumlarının işlerinde kesinti yaşadı. Bu kesintiler çoğunlukla fidye yazılımlar, kötü amaçlı yazılımlar ve hizmet engelleme saldırıları yüzünden meydana geldi. Düşmanın fidye yazılım saldırılarındaki asıl amacı finansal kazanç sağlamak olsa bile, bunların yol açtığı kesintilerin şirketlere etkisi, fidye ödemenin çok daha ötesinde zararlara sebep olabilir. Ancak, aradaki bu fark azalıyor gibi görünüyor. Çünkü CrowdStrike’ın gözlemlerine göre, siber suç unsurları, geçtiğimiz yıl boyunca fidye taleplerini de önemli miktarda artırdılar. Veri hırsızlığı da CrowdStrike tarafından soruşturulan güvenlik ihlallerinin yüzde 25’ini oluşturdu. Bunlar arasında fikri mülkiyet hırsızlığı, kimlik hırsızlığı ve kişisel sağlık verileri hırsızlığı ön planda oldu. Fikri mülkiyet hırsızlığı ile hedefli saldırılarda uzmanlaşmış ulus-devlet düşman unsurları arasında bir bağlantı görüldü. Bunların başında Çin bazlı unsurlar olsa da, bazı Kuzey Kore kaynaklı düşmanlar ve Vietnam bazlı OCEAN BUFFALO ismindeki saldırgan da CrowdStrike İstihbaratı tarafından tespit edildi. Kimlik hırsızlığı ve kişisel sağlık verileri hırsızlığı, casusluk ve suç amaçlı operasyonlara olanak sağlayabiliyor. Genelde bu tarz veriler siber casuslar tarafından yüksek profilli hedefler hakkında bir dosya hazırlamak amacıyla kullanılabiliyor ya da siber suçlular bu bilgiyi satmayı veya fidye istemeyi tercih edebiliyor. Bu yıl parasal kayıp kategorisine farklı bir açıdan baktık. Fidye yazılımlar genellikle finansal kazanç için kullanılıyor olsa bile bunun yol açtığı iş kesintilerinin etkisi kurumlar için çok daha olumsuz sonuçlar doğurabiliyor. Bunun sonucunda biz de bu yıl fidye yazılımları ‘İş Kesintisi’ kategorisi altında değerlendirmeye karar verdik.”
Uç nokta tespit, proaktif olabilme fırsatı
Saldırganlar tarafından kullanılan en yaygın ve etkili teknikleri anlamak, kurumların her saldırı tekniğinin yaygınlığı ve riskleriyle orantılı güvenlik kontrolleri uygulamasına da yardımcı olur. CrowdStrike Hizmetleri tarafından gözlemlenen en yaygın teknik ‘credential dumping’ adı verilen kimlik bilgilerinin ele geçirilmesi tekniği iken, en popüler üçüncü teknik ise buna bağlı olan ‘hesap keşfi’ uygulaması. Genellikle bir saldırganın amacı; meşru kimlik bilgileri kullanarak ağa erişim sağlayıp, sonrasında imtiyazlarını arttırarak yatayda hareket etmek ve bu süreçte ağdaki herhangi bir kullanıcı veya yöneticiymiş gibi saklanmaktır. Meşru kimlik bilgilerinin gayrimeşru kullanımının tespiti ise kötü amaçlı yazılımlara ve diğer saldırı tarzlarına göre daha zor olabilir.
“Gözlemlenen tekniklerin çoğu ‘living off the land’ saldırılarında kullanılabilir. Düşmanların ‘living off the land’ aktivitelerini, bu araçların ağ yöneticileri tarafından meşru bir biçimde kullanılmasından ayırmak genellikle zordur” tespitini paylaşan Ümit Nadim, eklemeden geçmedi: “Bu yüzden uç nokta tespit ve müdahale teknolojileri aracılığıyla gerçek zamanlı görünürlük kazanmak ve meta verileri kaydetmek, meşru ve gayrimeşru ‘living off the land’ faaliyetlerini ayırmaya yardımcı olarak analizlere anlam katabilir.
Kurumsal risk profilinizi bilin!
Kurumların en yaygın teknikler hakkındaki görünürlüğüne ve bunları engellemeyi önceliklendirmesine yardımcı olmak temel hedef. CrowdStrike Hizmetler ekibi Credential Dumping, PowerShell, Hesap Keşfi, Komut Satırı Arayüzü ve Betik Yöntemi tekniklerine karşı konumlanıyor. Bu saldırı tekniklerine karşı alınabilecek bazı önlemler ise saldırının etkisini azaltma potansiyeline sahip. “Saldırganlar tarafından kullanılan en yaygın teknikleri ve tehditleri anlamak, ancak bunların nasıl tespit edilip engelleneceğine dair bilgi sahibi olduktan sonra işe yarar” vurgusunu yapan Ümit Nadim, “Falcon platformu gibi yeni nesil antivirüs çözümlerine ek olarak, ekibimiz kullanıcı ortamlarında pek çok etkili hafifletme tekniği gözlemledi” bilgisini verdi. CrowdStrike Hizmetler ekibinin en etkili bulduğu tekniklerin sıralayan Ümit Nadim, “Bunlar, kurumunuzun risk profili ışığında değerlendirilmeli” hatırlatmasını yaptı.
Emniyet için dörtlü kalkan
Çok faktörlü kimlik doğrulama (MFA): CrowdStrike, kurumların tüm halka açık çalışan hizmetleri ve portallarında çok faktörlü kimlik doğrulama kullanılmasını tavsiye ediyor. Çok faktörlü kimlik doğrulama, özellikle çalışan kimlik verilerinin risk altında olduğu senaryolardaki tehdit unsuru faaliyetlerinde çalışan verilerine ve kurum ortamına yetkisiz erişimleri engelleyecektir.
Ağ Segmentasyonu: Güvenlik ekipleri, Active Directory ormanlarının içine bu ormandaki etki alanları ve organizasyon birimlerine (OU) güvenmeyecek segmentler uygulayabilirler. Ağ segmentleri iştirakler veya etki alanlarıyla, sonrasında da her etki alanındaki organizasyon birimleriyle ayrılabilir. Bu etki alanları ve organizasyon birimleri özellikle üst ve alt etki alanları arasında iki yönlü bir güven tesis etmeyerek hesap erişimini kontrol etmeli ve sınırlamalıdır. Buna ek olarak, ağ segmentleri uç nokta ve ağ bazlı takip ile güçlendirilmiş bir sistem içermelidir ve bu sistem tüm segmentler arasında aracı ya da “sıçrama sunucusu” görevi görmelidir. Sıçrama sunucusu etki alanları arasında kontrollü erişim noktası olarak çalışır. Kontrollü ve segmentasyonu yapılmış bir ağ, saldırı yüzeyini küçültür ve tehdit unsurlarıyla kendi başına yayılan kötü amaçlı yazılımların ortam içinde hareket etmesini zorlaştırır.
Antivirüs / Kötü Amaçlı Yazılım: Kurumlar ortamlarına gelişmiş bir uç nokta koruma ajanı yerleştirmelidirler. Etkinliği artırmak amacıyla, uç nokta koruması makine öğrenimi içermeli ve bu sayede gerçek zamanlı antivirüs ve anti-kötü amaçlı yazılım becerilerine ek olarak anormallikleri tespit ederek buluşsal yöntemler uygulamalıdır. Uç nokta koruması hem tespit hem de engelleme becerilerine sahip olmalıdır. Bu sayede, güvenlik ekipleri ortamlarında meydana gelen şüpheli olay ve faaliyetlerinden haberdar olacaklardır. Son olarak kurumlar, uç nokta koruma platformu tarafından tespit edilen tüm olayları takip ve koordine edebilecek, kendini bu işe adamış bir ekibe sahip olmalıdırlar. Güvenlik ekipleri aynı zamanda dosya sunucusu ve etki alanı denetleyicisi gibi kritik sistemler için güvenli uygulamaları listeleme (whitelisting) işini test ederek uygulayabilir. Güvenilir uygulamaları listeleme işlemi, bilinmeyen ve güvenilmeyen uygulamaları veya komut dizilerini engellemek amacıyla Windows AppLocker üzerinden yürütülebilir. Güvenilir uygulamalar listelenince, yetkisiz ve kötücül olma riski taşıyan uygulamalar ve yazılımlar çalışmaz ve böylece hem tehdit unsurlarının hem de iç tehditlerin potansiyel saldırı vektörleri sınırlandırılmış olur.
Log Analizi: Konumuz ortam içinde “görünürlük” olduğunda, etkin bir log analizinden başka bir çözüm yoktur. Güvenlikle alakalı logları bir güvenlik vaka ve olay yönetimi (SIEM) aracında kümelemek ve analiz etmek, güvenlik ekiplerinin ortamlarında ne olduğunu daha iyi anlamalarına yardımcı olur. Gelişmiş antivirüs ve ağ güvenliği araçları yukarıda bahsedilen en yaygın beş saldırı tekniğini tespit etme ve engelleme potansiyeline sahip olsa bile; güçlü tespit kurallarına sahip bir SIEM, gelişmiş araçlarda olabilecek açıkları yakalama yetisine sahiptir. SIEM yalnızca log analizine yardımcı olarak vakaları tespit etmekle kalmaz, aynı zamanda bu tür vakaları soruşturmayı da kolaylaştırır.
