Zamanında müdahale kritik önemde

Gelişmiş kalıcı tehditler, yeni güvenlik açıklarından yararlanarak, büyük tedarik zinciri saldırıları düzenleyerek ve belirli sektörleri hedefleyerek kuruluşların gücünü test etmeye devam ediyor. Kaspersky Orta Doğu, Türkiye ve Afrika Genel Müdürü Amir Kanaan, “Neyse ki karmaşık saldırılara verilen yanıtların ince ayarını yapmaya yardımcı olan pek çok araç, bilgi kaynağı ve yönerge mevcut” diyerek, olay müdahalesiyle ilgili bir soruya odaklandı: Soruşturmadan müdahale aşamasına ne zaman geçmek gerekir? Kanaan, şu bilgileri paylaştı:

“Kaspersky Incident Response raporuna göre ortalama bir acele saldırı 1,5 gün sürüyor. Bir saldırgan bu kadar deneyimliyse, güvenlik ekibinin de buna hızlı tepki vermesi gerekir. Ancak zamanında yanıt verilmesi, kötü niyetli eylemlerin derhal engellenmesi gerektiği anlamına gelmez. Gri Gandalf’ın dediği gibi ‘Bir büyücü asla geç kalmaz, erken de gelmez. O tam istediği zaman gelir’ .
Müdahalenin çevreleme, yok etme ve kurtarma aşamalarını başlatmak için doğru anı anlamak önemlidir. Zamansız bir tepki, saldırganlara eylemlerinin artık gizli olmadığının sinyalini verebilir. Örneğin olay müdahale ekibi, bir tehdidin ilk işaretleri algılanır algılanmaz virüslü yazılımları, kötü amaçlı IP adreslerini veya URL’leri engellerse, saldırganlar ağda saklanabilir veya taktiklerini değiştirebilir. Bu, sonrasında araştırma döngüsünün baştan başlatılmasını gerektirecektir. Saldırganlar o kadar iyi bir şekilde ve uzun süre saklanabilirler ki bir sonraki aktiviteleri ortaya çıkana kadar keşif neredeyse imkansız olacaktır.
APT’ler günler, aylar, hatta yıllar boyunca fark edilmeden kalmak için yanal hareket tekniklerini kullanır. Kurbanın ortamındaki önemli varlıkları arayabilirler. Örneğin bir Lazarus saldırısında saldırganlar, hem kurumsal hem de kısıtlı segmentleri birbirine bağlayan yönetim makinesini yanal olarak tehlikeye atmanın bir yolunu bularak ağ segmentasyonunu aşmayı ve kısıtlanmış ağa ulaşmayı başardı. TunnelSnake’in 2020’de yayınlanan APT operasyonunun analizi, Güney Asya’da tehdit aktörünün 2018 gibi erken bir tarihte ağ içinde yer edindiği bir vakayı ortaya çıkardı.
Erken müdahaleyle ilgili bir başka sorun da BT güvenlik ekibinin araştırma aşamasında algılayamadığı veya saldırıyla ilişkilendirmediği bazı saldırı unsurlarının temizleme aşamasında ortada bırakılmasıdır.
Dahası, giriş noktası belirsiz kalabilir. Bu bir güvenlik açığı, korumasız bir uç nokta veya başka bir vektör olabilir. Bu durumda saldırı durdurulsa ve tüm kötü niyetli unsurlar ortadan kaldırılsa bile, davetsiz misafirlerin aynı kapılardan yeni taktik, teknik ve prosedürlerle başka bir girişimde bulunma riski devam edecektir.
Bu sonucu önlemek için atılabilecek birkaç adım vardır:
1. Saldırı zincirinin detaylarını keşfedin: BT güvenlik ekibi, kuruluşlarının güvenliğinin ihlal edildiğini ve diğer tarafta yalnızca kötü amaçlı yazılım değil, bir insan olduğunu fark eder etmez, saldırıyı izlemeli ve saldırıya dair mümkün olduğunca çok iz bulmalıdır. Saldırganın eylemleri yalnızca yakın çevrede değil, tüm ağda izlenmelidir. Saldırı ne kadar ileri giderse, avcıların bir APT grubuna atfedebilecekleri, en azından hedefini tahmin edebilecekleri ve en etkili şekilde avlayabilecekleri daha fazla iz bırakır. Bu tür olayların tekrarını önlemek için saldırı giriş noktasını bulmak son derece önemlidir.
2. Saldırıyı ne zaman durduracağınızı bilin: Ekibin saldırganı kritik iş hizmetlerine ulaşmadan veya şirketin bağlantı kurduğu başka bir kuruluşa sıçramadan önce durdurabilmesi önemlidir. Bu, ekibin becerilerinin devreye girdiği yerdir. Davetsiz misafir işi etkilemeden önce harekete geçerek en etkili yanıtı planlamak için saldırı hakkında maksimum miktarda veri toplayın. Bu bizi bir sonraki ve muhtemelen en önemli noktaya götürür.
3. Ağı öğrenin ve izleyin: BT güvenlik ekipleri uçtaki cihazlar, uç noktalar, ağ segmentleri ve bağlı ekipman dahil olmak üzere tüm kurumsal ağın net bir görüntüsüne sahip olmalıdır. Bu, ağ izleme, düzenli denetimler, bağlantıların taranması gibi yollarla elde edilebilir. Çok sayıda tüzel kişiliğe, tedarik zincirlerine ve yan kuruluşlara sahip büyük işletmeler bunu bir zorunluluk olarak düşünmelidir. Politikalar ve ağ segmentasyonu gibi önlemlerle birlikte ağı denetlemek ve izlemek, potansiyel giriş noktalarının sayısını azaltmaya yardımcı olur.
Ağı bilmek ve aşina olmak, bir saldırının kritik iş süreçlerine ulaşmadan ne zaman kontrol altına alınacağını ve ortadan kaldırılacağını anlamak için çok önemlidir. Yok etme ve iyileştirme aşamalarında, tüm kötü amaçlı yazılım araçları ve izleri tüm uç noktalardan kaldırılmalı, güvenliği ihlal edilmiş tüm sistemler yeniden kurulmalı ve kimlik bilgileri sıfırlanmalıdır. Ağın arka ucundaki herhangi bir kötü amaçlı yazılım parçasını göz ardı etmek, gelecekte başka bir saldırı döngüsüne neden olabilir.
Neyse ki, bu saldırılarla uğraşmak için ne kadar çok zaman harcarsak, siber suçlular hakkında o kadar çok şey öğreniyoruz. Tehdit istihbaratı ve özel araçlar, kuruluşların kötü niyetli eylemleri tespit etmesine yardımcı olmak için tasarlanmıştır. Ancak saldırılara karşı korunmanın ve tekrarlardan kaçınmanın en etkili yolu, kuruluşların dahili veya harici uzmanlığı artırması, olay müdahale planlarını geliştirmesi, ne zaman tepki vereceğini bilmesi ve tüm kötü amaçlı yazılımları tamamen temizleyebilmesidir.”