Cisco 2017 Yarıyıl Siber Güvenlik Raporu (MCR), siber tehditlerin hızla gelişip saldırıların şiddetini artırdığını belirtirken, potansiyel "hizmet tahribatı saldırılarına" (DeOS) karşı uyardı. Bunlar, organizasyonların yaşanan bir saldırı ardından sistemlerini ve verilerini kurtarmak amacıyla kullandıkları yedeklerini ve güvenlik ağlarını ortadan kaldırma riski taşıyor. Ayrıca Nesnelerin İnterneti'nin yaygınlaşması ile birlikte kritik önem taşıyan sektörlerin operasyonlarının daha büyük bir oranda sanal ortama taşımış olmaları, bu tehditlerin saldırı yüzeyiyle birlikte potansiyel ölçek ve etkilerini de artırıyor.
Yakın tarihli WannaCry ve Nyetya gibi siber saldırı olayları, geleneksel fidye yazılımları (ransomware) gibi görünen, ancak bunlardan çok daha yıkıcı sonuçları olan saldırıların yayılma hızlarını ve etki alanlarının genişliğini ortaya koydu. Bu tarz saldırılar, Cisco'nun hizmet tahribatı saldırısı olarak adlandırdığı ve işletmelerin olası bir siber saldırı ardından toparlanma imkanlarını tümüyle ortadan kaldıran yeni bir tehdit türünün habercisi niteliği taşıyor.
Nesnelerin İnterneti suçlular için yeni fırsatlar yaratmayı sürdürürken, kötüye kullanılabilecek güvenlik zaafları, etkileri giderek artan bu saldırıları mümkün kılan temel faktörlerden biri olacak. Son zamanlarda görülen botnet aktivitesi, bazı saldırganların şimdiden, tüm İnterneti sekteye uğratabilecek kadar etkili ve geniş ölçekli bir saldırının altyapısını hazırlamaya başlamış olabileceklerini gösteriyor.
Güvenlik uygulamalarının bu saldırılar karşısındaki etkililiğinin ölçümü, kritik bir husus. Cisco, bir tehdit ile bunun tespit edilmesi arasındaki süre olarak tanımlanan "tespit süresini" (time for detection - TTD) kısaltmak yönünde çalışmayı sürdürüyor. Tespit süresi, saldırganların hareket alanını sınırlama ve izinsiz girişlerin yarattığı hasarı en aza indirme bakımından kritik önem taşıyor. Cisco, Kasım 2015'te 29 saat olan ortalama tespit süresini (TTD) Kasım 2016 - Mayıs 2017 tarihleri arasında 3,5 saate indirmeyi başardı. Bu rakamlar, Cisco'nun dünyanın dört bir yanında kurulan güvenlik ürünlerinden toplanan onaylı uzaktan ölçümlere dayandırılıyor.
Tehdit Ortamı : Neler Revaçta, Neler Değil
Kötü amaçlı yazılımların 2017'nin ilk yarısı boyunca nasıl geliştiğini inceleyen Cisco güvenlik araştırmacıları, hackerların bu yazılımların bulaşma, gizlenme ve tespitten kaçınma tekniklerine getirdikleri bazı değişikler saptadılar. Cisco, yazılımın kurbanın gelen bir bağlantıya tıklaması ya da dosyayı açmasıyla harekete geçmesi yönteminin giderek yaygınlaştığını ortaya çıkardı. Ayrıca bilgisayarın hafızasında barınan ve cihaz kapatıldığında silindiği için tespit edilmesi veya incelenmesi daha zor olan dosyasız kötü amaçlı yazılımlar geliştirildiği belirlendi. Bu yazılımları geliştiren kötü niyetli kişiler ayrıca komuta ve kontrol faaliyetlerini gizlemek için Tor vekil sunucu hizmetleri gibi anonim ve merkezsiz altyapılardan yararlanıyorlar.
Cisco istismar kitlerinde dikkat çekici bir düşüş saptamış olsa da diğer geleneksel saldırı yöntemlerinin sayısında yeniden artış görülüyor:
- Kötü amaçlı yazılımları yayma ve gelir elde etme çabalarının e-posta gibi alışıldık yöntemlere yönelmesiyle istenmeyen e-posta hacminde kayda değer bir artış yaşanıyor. Cisco tehdit araştırmacıları, istismar kiti ortamının bir değişimden geçtiği bu süreçte, kötü amaçlı yazılım barındıran istenmeyen e-posta hacminin daha da artacağını öngörüyorlar.
- Güvenlik uzmanları tarafından çoğu kez gerçek bir tehditten ziyade bir rahatsızlık sebebi olarak gördükleri casus yazılım ve reklam yazılımları da aslında şirketler için risk taşıyan kötü amaçlı yazılım türleri. Cisco, dört aylık bir süreçte 300 şirket üzerinde yaptığı araştırmada, üç yaygın casus yazılım ailesinin örneklemin yüzde 20'sine bulaşmış olduğunu saptadı. Kurumsal bir ortamda casus yazılımlar, kullanıcı ve şirkete ait bilgileri çalma ve cihazların güvenlik duruşlarını zayıflatarak kötü amaçlı yazılım tehdidine daha açık hale getirme riski taşıyor.
- Ransomware-as-a-Service (Bir Hizmet Olarak Fidye Yazılımı) gibi modellerin yaygınlaşması örneğinde olduğu gibi, fidye yazılımlarında görülen değişimler, yetenekten bağımsız olarak daha fazla suçlunun bu saldırıları gerçekleştirmesine imkan tanıyor. Fidye yazılımlar manşetlerde kendilerine yer bulmuş ve verilen bilgilere göre 2016 yılında 1 milyar doların üzerinde gelir yaratmış olsalar da, bu tehdit bazı organizasyonları yanlış yönlendirerek daha büyük ve rapor edilmemiş tehdidi gözden kaçırmalarına yol açıyor olabilir. Organizasyonları e-posta yoluyla yanıltarak saldırganlara para aktarmalarını sağlamayı amaçlayan bir sosyal mühendislik saldırısı olan Kurumsal e-posta saldırıları (BEC) giderek daha da kârlı bir hal alıyor. İnternet Suçları Şikayet Merkezi'nin verilerine göre, Ekim 2013 ile Aralık 2016 arasında BEC yöntemiyle çalınan paranın toplamı 5,3 milyar Dolar.
Farklı Endüstriler Benzer Zorluklarla Karşı Karşıya
Bir yandan suçlular saldırıların karmaşıklığını ve yoğunluğunu giderek artırırken, diğer yandan pek çok sektörden şirketler en temel siber güvenlik gereksinimlerini yerine getirmekte bile güçlük çekiyorlar. Bilişim Teknolojileri ve Operasyonel Teknolojileri, Nesnelerin İnternetinde bir araya gelirken, organizasyonlar görünürlük ve karmaşıklık sorunlarıyla mücadele ediyor. Güvenlik Kapasitesi Karşılaştırma Çalışması kapsamında 13 ülkeden yaklaşık Cisco 3,000 güvenlik lideri ile görüşen Cisco'nun elde ettiği sonuçlara göre, güvenlik ekipleri saldırı yoğunluğu karşısında giderek daha da yetersiz kalıyorlar. Bu da çoğu organizasyonun güvenlik çalışmalarında daha reaktif bir yol izlemesine sebep oluyor.
- Organizasyonların yalnızca üçte ikisi aldıkları güvenlik uyarılarını inceliyor. Sağlık ve ulaşım gibi bazı sektörlerde bu oran yüzde 50 civarında.
- Bu konuda daha hassas olan finans ve sağlık gibi sektörlerde bile işletmeler kötü niyetli olduğunu bildikleri saldırıların ancak yüzde 50'den azını engelleyebiliyorlar.
- Güvenlik açıkları, şirketler için bir uyarı işareti niteliği taşıyor. Pek çok sektörde, şirketlerin en az yüzde 90'ında güvenlik açıkları, mütevazı düzeyde de olsa bazı güvenlik iyileştirmelerine önayak oldu. Ulaşım gibi bazı sektörlerde ise tepki oranları daha düşük ve yüzde 80 seviyelerinde seyrediyor.
Sektör bazında saptanan bulgular ise şöyle:
- Kamu Sektörü – İncelenen tehditlerden 32'sinin gerçek bir risk taşıdığı belirlendi, ancak bunlardan yalnızca yüzde 47'sine sonuçta çözüm bulundu.
- Perakende – Araştırmaya katılan şirketlerden yüzde 32'si geçtiğimiz sene yaşadıkları bir saldırı sonucu gelir kaybettiklerini, dörtte biri ise bu sebeple müşteri ya da iş fırsatı kaybettiklerini belirtti.
- İmalat – İmalat endüstrisinde çalışan güvenlik uzmanlarının yüzde 40'ı resmi bir güvenlik stratejilerinin bulunmadığını ve ISO 27001 veya NIST 800-53 gibi bilişim güvenliği standartlarını uygulamadıklarını belirttiler.
- Kamu Hizmetleri – Güvenlik uzmanlarına göre, organizasyonlar için en ciddi güvenlik tehditlerinin başında hedefli saldırılar (yüzde 40) ve gelişmiş inatçı tehditler (yüzde 42) geliyor.
- Sağlık – Sağlık kurumlarının yüzde 37'si, hedefli saldırıların kendileri için ciddi bir güvenli riski teşkil ettiğini söylüyor.
Cisco'nun Şirketlere Tavsiyesi
Günümüzde yöntemleri giderek daha da sofistike bir hal alan saldırganlarla mücadele etmek için organizasyonların koruma çabalarında proaktif bir yaklaşım izlemeleri gerekmektedir. Cisco Security'nin tavsiyeleri:
- Saldırganların bilinen açıkları kullanmasını engellemek amacıyla altyapı ve uygulamalar hep güncel tutun.
- Karmaşık saldırılara karşı entegre bir savunma sisteminden yararlanın. Silo yaklaşımıyla gerçekleştirilen yatırımlar sınırlandırın.
- Risklerin ve bütçe kısıtlamalarının getirdiği zorlukların tümüyle anlaşılmasını sağlamak amacıyla üst yönetim sürece erken dahil edin.
- Net ölçekler belirleyin. Bunları güvenlik uygulamalarını doğrulamak ve iyileştirmek için kullanın.
- Çalışanlara verilen güvenlik eğitimini tek tip eğitimden role özel eğitime dönüştürün.
- Savunma ve aktif yanıt arasında denge kurun. Güvenlik kontrol ve süreçlerinde "kur ve unut" yaklaşımından kaçının.
2017 Yarıyıl Siber Güvenlik Raporu kapsamında mevcut tehdit ortamını belirlemekte kullanılan veriler, 10 güvenlik teknolojisi ortağı tarafından paylaşıldı. Rapora katkıda bulunan bu şirketler Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect ve TrapX. Cisco'nun güvenlik teknolojisi ortakları ekosistemi, şirketin müşteriler için basit, açık ve otomatik güvenlik sağlama vizyonunun temel unsurlarından biri.
WannaCry ve Netya gibi yakın tarihli olayların da gösterdiği gibi, kötü niyetli kişilerin saldırıları giderek daha yaratıcı bir hal aldığının altını çizen belirten Cisco Türkiye Güvenlik Ürünleri Satış Yöneticisi Mutlu Güngören." Organizasyonların büyük çoğunluğu bir saldırının ardından güvenlik önlemlerini artırıyor olsalar da endüstri genelinde şirketlerle saldırganlar arasında sürekli bir yarış hakim. Güvenlikte verimlilik bariz güvenlik açıklarını kapatıp güvenliği bir şirket önceliği haline getirmekle başlıyor" dedi.
Cisco Ortadoğu ve Afrika Güvenlik Müdürü Hakan Tağmaç ise"Karmaşıklık pek çok organizasyonun güvenlik çalışmalarını sekteye uğratan bir faktör. Entegre olamayan noktasal ürünlere yıllar boyunca yatırım yapılmış olması, güvenlik sistemlerinde gözden kaçırılmış zayıflık veya boşlukları kolayca saptayabilen saldırganlar için büyük fırsatlar yaratıyor. Tespit Süresini etkin bir şekilde kısaltmak ve saldırıların etkisini en aza indirmek için endüstri görünürlüğü ve yönetilebilirliği artıracak ve güvenlik ekiplerinin açıkları kapatmalarını kolaylaştıracak daha entegre, mimari bir yaklaşım benimsemeli" dedi.