Siber Güvenlik Dünyasında Haftanın Enleri #3

Haftanın Haberi:

Bir virüsün yıl dönümünü anacağım hiç aklıma gelmezdi. 😊 Ama içinden geçtiğimiz korona dönemiyle benzerlikler taşıdığı için anmadan geçemeyeceğim. 4 Mayıs 2000 tarihinde bir gecede milyonlarca bilgisayara bulaşan "ILOVEYOU" isimli virüsten bahsediyorum. Mail üzerinden yayılan ve txt görünümlü bir ek içeren bu virüs bir gecede milyonlarca bilgisayara bulaşmıştı. Ekli dosyanın açılmasıyla birlikte visual basic scripti çalıştırılarak mail ile iletişime geçilmiş (temas kurulmuş!) kişilere de bir kopyasını gönderiyordu. Bu sayede 24 saat içinde 45 milyondan fazla kişiye bulaşmıştı. Korona ile benzerliklerinden biri işte bu kısım. Eğer mail ile bir kişiyle temas kurmuşsanız virüs o kişiye de bulaşıyordu.  Bir benzerliği daha var. Virüsü geliştiren Filipinli öğrenci ücretsiz internet erişimi için sadece kendi ortamında yazdığını ve yanlışlıkla tüm dünyaya yayıldığını söylüyor. Tıpkı ABD'nin koronavirüs için Wuhan'da bulunan laboratuvardan yanlışlıkla yayıldığını iddia ettiği gibi.

Haberin Detayları

Haftanın Makalesi: 

Her hafta çeşitli istatistiki veriler içeren onlarca rapor yayınlanıyor. Bu rengarenk raporların güvenlilir olup olmaması her zaman bir soru işareti. Ancak bu hafta bahsedeceğim rapor biraz farklı. Fireeye'ın satın aldığı Mandiant fimasına ait "Güvenlik Etkinliği Raporu". Mandiant, özellikle red team çalışmalarıyla ön plana çıkan siber güvenlik danışmanlık firması. Dünyanın her yerinde hizmetleri olduğu için rapordaki veriler doğrudan sahadan alınan veriler. Rapor, 900 milyon tüketiciyi kapsayan 11 farklı sektörde yapılan testlerden oluşturulmuş. Sonuçlar ise ürkütücü. Gelelim raporun detaylarına:

• Kurumların %53'ünde sızma işlemi gerçekleşti ve sadece %9'u alarm üretti.

Saldırı aşamalarındaki oranlar ise şöyle:

1. Keşif aşamasında %54'ü tespit edilemedi, %4'ü alarm üretti.
2. Zararlı yazılım bulaştırma aşamasında %68'i tespit edilemedi, %7'si alarm üretti.
3. Politika atlatma (bypass) aşamasında %65'i tespit edilemedi, %15'i alarm üretti.
4. Zararlı yazılım transferi aşamasında %48'i tespit edilemedi, %23'ü alarm üretti.
5. Komuta kontrol iletişiminde %39'u tespit edilemedi, ancak sadece %3'ü alarm üretti.
6. Veri kaçırma/sızdırma aşamasında %67'si tespit edilemedi, %11'i alarm üretti.
7. Yatay yayılım aşamasında %54'ü tespit edilemedi, %4'ü alarm üretti.

Raporda atakların engellenememesine ve alarm üretilememesine sebep olarak güvenlik ürünlerinin sağlıklı şekilde yapılandırılmamış olması vurgulanıyor ve aşağıdaki konulara dikkat çekiliyor.

• Varsayılan tanımların değiştirilmemesi,
• İnsan kaynağı eksikliği,
• SIEM'e gönderilmeyen güvenlik olayları,
• Kontrol testlerinin yapılamaması,
• Altyapıda beklenmedik ve öngörülemeyen değişiklikler,

Başucu rehberi olarak değerlendirilebilecek raporun detaylarına buradan ulaşabilirsiniz.

Haftanın İpucu:

Mandiant raporunu okuduktan sonra peki ne yapmalıyım sorusunu sorduysanız Center of Internet Security'nin (CIS) etkin siber güvenlik için kritik güvenlik kontrolleri listesine göz atabilirsiniz. Kurumunuzun ölçeğine göre hangi kontrollerin asgari seviyede uygulanması gerektiği belirtiliyor. CIS, kurumların kısıtlı kaynak, bütçe ve tecrübe ile etkili bir siber güvenlik programı oluşturması amacını taşıyor. Liste aşağıdaki başlıklarda maddeleri içeriyor. 

1. Inventory of Authorized and Unauthorized Devices
2. Inventory of Authorized and Unauthorized Software
3. Continuous Vulnerability Assessment and Remediation
4. Controlled Use of Administrative Privileges
5. Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
6. Maintenance, Monitoring, and Analysis of Audit Logs
7. Email and Web Browser Protections
8. Malware Defenses
9. Limitation and Control of Network Ports, Protocols, and Services
10. Data Recovery Capability
11. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
12. Boundary Defense
13. Data Protection
14. Controlled Access Based on the Need to Know
15. Wireless Access Control
16. Account Monitoring and Control
17. Security Skills Assessment and Appropriate Training to Fill Gaps
18. Application Software Security
19. Incident Response and Management
20. Penetration Tests and Red Team Exercises

Kontrol listesine buradan ulaşabilirsiniz.

Haftanın Nedir'i:

Red team nedir?

Bu hafta sıkça bahsettiğimiz red team son bir kaç yıldır sıklıkla duyduğumuz güvenlik test yöntemidir. Bir kurumun uygulamalarını, sistemlerini, çalışanlarını ve fiziksel güvenlik kontrollerini gerçek hayatta yaşanacak saldırı yöntemleriyle atlatmayı amaçlar. Üretim ortamlarında gerçekleştirilir ve gerçek anlamda bir siber dayanıklılık ölçümü yapar.

Haftanın Sorusu:

Neden internet üzerinden erişilebilir ortamlara DMZ (De-militarized Zone) denilmektedir?

***

Haftanın Enleri Hakkında:

Haberler, okunması gereken dokümanlar, bloglar, teknik makaleler, araştırmalar öylesine çok ki hepsine yetişmeye çalışırken hiçbirinin hakkını veremiyoruz. Bu nedenle, siber güvenlik alanında kariyer yapan ve bu alana ilgi duyan herkesin güvenlik dünyasındaki gelişmeleri takip edebileceği az ama öz içerikler düzenli olarak yayınlanmaktadır. Çünkü, az da olsa devamlı olan makbuldür.