Şirketlerin; yetkin personel eksikliği, tüm siber güvenlik çözümlerine bir ya da en fazla iki kişi ile müdahale ediyor olması, olası geniş atak tiplerini tespit etmesi, anlama ve önleme faaliyetinde yetersiz kalmaları, tüm bu süreçte bir uzman firmadan Güvenlik Operasyonları Merkezi (SOC) hizmeti almayı zorunlu kılıyor.
“Peki SOC hizmeti nedir?” sorusu ile başlayalım.
Güvenlik Operasyonları Merkezi şirketlerin; network cihazlarını, güvenlik cihazlarını, server ve storage ünitelerini, veri tabanını, uygulamalarını, web portallarını, diğer tüm bilgi teknolojileri aktivitelerini, donanım ve yazılımlar arasındaki ilişkilerini ve internet üzerinden gelen trafiği siber güvenlik araçları ile 7/24 izleyen, analiz eden, raporlayarak önleyen ve bu operasyon için sertifikalı uzman ekipleri bünyesinde barındıran birimlerdir. SOC, içerisinde farklı birçok siber güvenlik alanında uzmanlaşmış ekibi barındırmak durumundadır. Bu ekip, kimi zaman ters mühendislik ile kimi zaman da ellerindeki donanım ve yazılımlar ile olası tehditleri daha oluşmadan önce tespit ederek anlık koruyucu önlemler alır.
Uluslararası alanda artan siber tehditler ve bu tehditlerin oluşturduğu raporları göz önüne aldığımızda, sisteme ilk sızıldığı an ile sisteme verilen zarar (kripto şifreleme veya veri hırsızlığı) arasında ciddi bir zaman dilimi bulunmaktadır. Birçok firmada bu zaman dilimi, 6 ay ile 1 yıl arasında değişmektedir. Şirketler verilerinin şifrelendiğinde veya veri hırsızlığına maruz kaldıklarında siber saldırı altında olduğunu anlamaktadır. Bunun sebebi ise yukarıda bahsetmiş olduğumuz personel ve bilgi eksikliği olduğu kadar atak tiplerinin günden güne farklılaşması ve gelişme göstermesidir. Bütün bunlar göz önüne alındığında profesyonel firmalar tarafından SOC hizmeti alınması kaçınılmazdır.
SOC kapsamında tüm sunucularınız ve müşterileriniz EDR teknolojisi ile kayıt altına alınarak 7/24 profesyonel mühendis ekiplerce takip edilir ve aktif bir şekilde siber savunma faaliyeti sağlanır (threat hunting). Bir diğer deyişle siber tehdit avcılığını, mevcutta bulunan aktif güvenlik cihazlarının tespit edemediği tehditleri tespit etmek ve ağdan izole etmek için kullanan proaktif arama sürecidir.
SOC kapsamında çeşitli botlar tarafından robotik bir biçimde yapılan saldırılar otomatik olarak kayıt altına alınabilir ve durdurulabilir. Siber güvenlik mühendisleri gelen trafiğin siber saldırı mı yoksa normal bir trafik mi olduğunu yapay zeka (AI) teknolojisi ile algılayabilir. Siber güvenlik alanında profesyonel bir servis alan müşteriler, mevcutta kullandıkları güvenlik çözümlerinin alanında uzman mühendisler tarafından analiz edilerek en doğru konfigürasyonun yapılandırılmasını sağlayabilir dolayısıyla da bu güvenlik yazılımlarından maksimum verimi alabilirler. Ayrıca, SOC doğrultusunda haftalık veya aylık raporlama takvimlerinde şirketlere gelen saldırılar periyodik olarak raporlanabilir. IT yöneticilerinin üst yönetime vereceği düzenli raporlar bu servis doğrultusunda da hazırlanabilir.
Gün geçtikçe bu alanda birçok yetkin entegratör firmanın ekipler kurduğu ve hizmetler sağladığını görmekteyiz. Hatta bazı büyük kuruluşların kendi SOC ekiplerini kurarak kendi iç güvenliğini daha iyi noktaya getirmek için çalışmalar yaptığını görüyoruz.
Sağlıklı günler dilerim.
Fidyecilik çok yeni bir kavram olmamakla beraber, bir kişinin ele geçirilen değerli verilerine karşı yani fotoğraf, video, uygulama verisi ya da Excel & Word dosyası gibi para talep ederek gelir elde etmeyi amaçlamaktadır. Kimimiz için çocukluk fotoğrafları önemli olabilir iken kimimiz için doktora tez çalışması, çocuklarının bebeklik videoları ya da aylarca üzerinde çalıştığı proje çizimi önemli olabilir. Fidye yazılımı, siber suçluların insanları fidye ödemeye zorlamak için kullandıkları bir kötü amaçlı yazılım (malware) türüdür. Dolayısı ile bu atağa maruz kalmak demek, önemli şeylerin başkasının eline geçmesinin maliyetine katlanmak demektir.
Fidye yazılımları kimileri tarafından bir virüs gibi lanse edilse de bir virüs değildir. Virüslerin yapısı ve imzası bellidir. Antivirüs uygulamaları bu imza yapılarını bildiklerinden virüsleri önleyebilir ve zararsız hale getirebilir. Oysa fidye ataklar tamamen bir siber atak yöntemidir. Sosyal mühendislik yöntemleri vasıtası ile yapılan bu ataklar; kişilerin, kurumların ve kuruluşların değerli verilerini şifrelemeyi ve bu veriler vasıtası ile gelir elde etmeyi amaçlar.
Fidye ataklar, birçok farklı yöntemle hedefteki kişilere servis edilmektedir. Örnekler ile anlatmaya çalışalım: İlk fidye ataklar fatura görünümlü, e-posta içerisine gömülmüş dosyalar vasıtası ile sağlanmıştı. Elektrik, telefon, doğalgaz faturası ara yüzüne sahip bir e-posta ile alıcılara servis edilip, “Borcunuza ait fatura ektedir.” şeklinde sizi e-postaya eklenmiş bir dosyayı açmaya itiyordu. Açılan dosya ile zararlı aktif hale geçip bilgisayar üzerindeki hedef dosya tiplerini şifrelemeye başlıyor, şifreleme sonunda masaüstüne bir “txt” dosya bırakıp istenilen hesaba ödeme yapılmaz ise bilgilerini kaybedeceği uyarısı bırakılıyordu. Paranın transfer yöntemi ise bugünlerde sıklıkla konuşulan Bitcoin ile sağlanıyordu. Diğer bir yöntem ise yine benzer fatura görünümü içerse de artık dosya yerine bir link vasıtası ile sağlanmakta. Diğer bazı yöntemler ise; web gezintisi sırasında güvenli olmayan sitelerdeki bedava uygulama, bedava çekiliş hakkı, ilgi çekici video görselleri, oyun linkleri, macro eklenmesi, flash vb. örneklerle karşımıza çıkmakta. Unutulmayalım ki bu tip sitelerde bedava diye servis edilen her şey mutlaka kötü bir amaca hizmet eder. “Bedava peynir fare kapanında bulunur.” atasözü tam bu durum için söylenmiş gibi değil mi?
Fidye atak yöntemleri her geçen gün farklı ve daha zorlayıcı şekilde karşımıza çıkıyor. Özellikle kurumsal firmaların çoğu, bu atak tipinden korunmak için kullandıkları antivirüs markasına ait bir fidye yazılım korumasını da ediniyor. Yeni fidye yazılımlarının daha akıllı ve karmaşık yöntemler ile hazırlandığını önümüze gelen yeni vakalarda daha net görmeye başladık. İlk zamanlar e-posta içine eklenmiş bir dosya ya da link ile karşımıza çıkarken, şimdi daha karmaşık açıkları ve kişilerin zafiyetlerini kullanarak kendini gösterir oldu. Hedef odaklı ataklar yapan saldırganlar; hedef aldıkları firmadaki çalışanın tuttuğu takım, gittiği restoran, hobileri, sosyal medyada takip ettiği kişiler, üye olduğu hesaplar gibi birçok noktayı araştırıp fidye saldırısını bu verilere göre planlayabiliyor. Örneğin kişinin tuttuğu ya da üye olduğu kulüpten gelen bir içeriği gönderebiliyor. Bu içerik yoluyla daha önce beğendiği bir formayı kazandığına dair bir mesaj linkini ya da grafiğini tıklaması sağlanabiliyor. Böylece kişinin zafiyetinden faydalanarak, şirket içindeki tüm çalışanların cihazlarına hatta içerideki sunuculara kadar ulaşabiliyor ve kırılması imkansız tüm verileri şifreleyebiliyor. Bu şifre yöntemi ne yazık ki çok karmaşık algoritmalar ile hazırlandığından çözmek mümkün olamıyor. Eğer yedeğiniz yok ise karşınızda iki seçenek bulunuyor.
1) Saldırganın talep etmiş olduğu ücreti Bitcoin olarak takip edilemeyen bir hesaba yatırmak. Bu da her zaman verilerinizin geri gelmesini ve bir daha bu saldırıya maruz kalmayacağınızı göstermiyor.
2) Tüm verilerinize veda etmek ve her şeye yeniden başlamak.
Eğer verileriniz kıymetli ise saldırgan ile anlaşma yoluna gitmek elinizdeki en iyi seçenek maalesef. Saldırgan verilerinizi şifrelerken, bu şifreyi çözebilecek bir şifreyi kendinde tutuğundan dolayı verileriniz üzerindeki şifreyi çözmek onun için çocuk oyuncağı olacaktır.
Gördüğünüz üzere sonuçları çok acı olan bir süreç. Bunu yaşamamak adına birçok siber güvenlik üreticisinin ciddi çalışmalar gerçekleştirerek hazırladığı güvenlik yazılımları var. Bu yazılımlar gelen maili ya da tıklanan linki, dosyayı alıp önce kendi içinde analiz ediyor, daha sonra ise herhangi bir dosyaya bulaşma, şifreleme emaresi olup olmadığına bakıyor. Eğer dosya bu tip bir hareket yapıyor ise direkt karantinaya alıyor. Daha siz durumun farkında olmadan arka tarafta sizi zararlılardan koruyor.
Normal şartlarda kimlik hırsızlığı yapan bilgisayar korsanı “kullanıcı adı” ve “şifrenizi” ele geçirdiğinde tüm verinize ve erişim yetkilerinizin olduğu alanlara ulaşım sağlayabilir. Verilerinize erişmiş olan hacker, eriştiği bilgiyi ve eriştiği alandaki verileri kendi amaçları doğrultusunda kullanabilir. İşin kötü yanı ise bunu sizi taklit ederek ve sizin yetkileriniz ile yapmasıdır. Verileriniz elden ele dolaşabileceği gibi verilerinizi gelir elde etmek için de kullanabilir. Doğrusunu söylemek gerekirse ne yazık ki bu durum, herkes için yaşanılabilecek sıradan bir olay haline geldi.
Kimlik doğrulama gereksinimi sadece bilgi teknolojileri alanında ihtiyaç duyulan bir konu değildir. Hemen her konuda kimliğimizi teyit edecek durumlar ile karşılaşırız. Mesela notere gidip arabamızı satacağımızı söylediğimizde ilgili kişi bizden hem nüfus cüzdanımızı hem de arabanın bize ait olduğunu gösteren belgeyi talep eder. Bu sayede arabanın sahipliği teyit edilmiş olur ya da kurumsal bir firmaya ziyarete gittiğimizde kapıdaki görevli kimlik bilgilerimizi talep eder. Aslında kimliğimizdeki bilgiler ve fotoğraf ile fiziki benliğimizi karşılaştırıp bizi teyit etmiş olur. Kimlik doğrulamaya gereksinim duyduğumuz alanlar için buna benzer onlarca farklı örnek gösterebiliriz. Konu bilgi teknolojileri alanındaki gereksinimlere geldiğinde geçmişte olduğu gibi tek başına kullanıcı adı ve şifre kullanımı güvenli değildir. Teknolojinin gelişmesi ile siber suçlular da kendini geliştirip saldırı yöntemlerini geliştirdiler ve maalesef yapmış oldukları saldırılar ile edindikleri verinin kullanımı noktasında daha acımasız davranmaya başladılar.
Kimlik Verilerimizi Hangi Yöntemlerle Kaptırıyoruz?
1) Kolay tahmin edilebilir şifreler tercih ediyoruz (doğum tarihi, tutulan takım, evcil hayvan adı, birbirini takip eden sayılar vb.).
2) Şifrelerimizi kolay ulaşılabilecek yerlere yazıyoruz (masaüstü, not defteri, ekran kenarı gibi).
3) Tanımadığımız kişilerden gelen mailleri açarak mail içindeki zararlının bilgisayarımıza bulaşmasına yol açıyoruz.
4) Güvenli olmayan web sitelerinde dolaşıyoruz. Tüm bu nedenler veri hırsızlarının iştahını kabartıyor.
Oysa çift katmanlı doğrulama çözümleri kullanarak bu tip tehditler için çok önemli bir koruma sağlamak mümkündür. Çift katmanlı doğrulama çözümleri standart erişim bilgilerimizin dışında (Kullanıcı adı ve Şifre) kimliğimizi doğrulayan bir veriye daha ihtiyaç duyar. Genelde ikinci doğrulama için ihtiyaç duyulan veri üç şekilde olabiliyor.
SO27001, KVKK, EU-GDPR, PCI-DSS, HIPAA, PII gibi birçok regülasyon var ve bu regülasyonlara uyum sağlayabilmek için teknoloji tarafında yapmamız gerekenleri konuşuyoruz. Bu konuyu önemseyip aksiyon alan kurum ve kuruluşlar olduğu gibi konunun ciddiyetine vakıf olamamış, gerekli yatırımları yapabilecek bütçesi olmayan, bu süreci nasıl tamamlayacağını bilmeyen, hatta konuyu önemsemeyen firmalar da var ne yazık ki. Özellikle Türkiye’de son yıllarda KVKK (Kişisel Verilerin Korunması Kanunu) çerçevesinde ciddi denetlemeler ve yaptırımlar konuşulmaya başlandı. Hatta birçok özel firmanın da ceza aldığını biliyoruz.
Veri şifreleme konusu yeni bir kavram olmayıp M.Ö 58 yıllarına dayanmaktadır. Yunanca Kryptos (Gizli) + Graphein (Yazma) kelimelerinin birleşmesinden oluşan KRYPTOSGRAPHEIN kelimesinden gelmekte olup dilimize “Kriptografi” yani “Şifreleme bilimi” olarak çevrilmiştir. İlk zamanlar şifreleme için iki yöntem kullanılmış.
Örnek olarak;
Yer Değiştirme: TABAK = BTAKA (Aynı harflerin yerleri değişir.)
Yerine Koyma: TABAK = QDEDN (Harflerin yerine farklı harf kullanılır.)
Tahmin edebileceğiniz üzere bu iki yöntem de günümüzdeki teknolojik gelişmeler ile tahmin edilmesi zor olmayan, özellikle kısa kelimelerde harflerin çözülmesini mümkün kılan bir metot. Zamanla birçok farklı zorlu metot üretilmiş, savaş alanlarında rakibe karşı üstünlük kurarak savaşı kazanabilmek adına ve casusluk amaçlı kullanılmıştır. Günümüze gelecek olursak çok daha karmaşık metotlar kullanılmakta, teknolojinin nimetlerinden en son noktaya kadar faydalanılmaktadır. Askeri, elektronik, banka sistemleri, e-ticaret siteleri, borsa, sigorta ve daha birçok yer veri şifreleme metotları kullanarak verilerinin güvenliğini sağlayıp istenmeyen kişilerin eline geçmesi durumunda da kullanılabilirliğini engellemektedir. Şifreleme gereksinimi ülkelerden tutun da firma ve kurumlara hatta standart bir bilgisayar kullanıcısına kadar herkesin ihtiyacı haline gelmiş durumda. Günümüzde simetrik ve asimetrik şifreleme metotları kullanılmaktadır.
Simetrik Şifreleme Algoritmaları:
DES (Data Encrytion Standard - Veri Şifreleme Standartı)
Veri; kişi ve kuruluşların ölçüm, deney, gözlem, sayım ya da araştırma yolu ile elde ettikleri ve sunucularda metin, çizim, ses ya da video görüntüsü halinde tuttukları bilgiye veri diyoruz.
Bugün veri güvenliği ile ilgili birkaç soru soralım ve bu sorulara beraber cevap arayalım.
Haydi başlıyoruz!
Veri güvenliği neden daha önemli?
Şirketler, ürettikleri verileri derleyerek ciddi analizler yaparlar. Şirketten şirkete göre bu analizler değişse de asıl amaç, şirket verimliliğini artırmaya yöneliktir. Yapılan analizler sonucunda bir şirketin bir yıl içinde ne kadar üretim yaptığı, ne kadar satış yaptığı, kullandığı malzeme adedi, malzeme maliyeti, eleman maliyeti ve daha birçok girdi ve çıktı bilgilerini analiz ederek o senenin değerlendirilmesi ile sağlanabilir. Buna ek olarak şirket örneğin ürettiği malzemenin tasarım bilgisini tekrar kullanmak ve üzerinde revizyonlar yaparak mükemmelleştirmek isteyebilir. Bu durumda da yine ürettiği veriden ve verinin geçmiş revizyonlarından faydalanır. Şirketler ürettikleri bu kıymetli verinin çalınmasını, rakiplerinin eline geçmesini ya da bu verinin kaybedilmesini istemez. Bu da verinin büyümesi ile birlikte üretilen verinin kıymetinin ne denli önemli olduğunu göstermektedir.
Veriyi önemli kılan şeyler neler?
Şirketler birçok veri üretirler. Veriyi önemli kılan şey, ne amaçla üretildiği, ne amaçla kullanılacağı, bu veriyi yeniden üretmenin mümkün olup olmadığı ve zaman içerisindeki değerlenmesi, hangi amaca hizmet ettiği, başkasının eline geçerse para, zaman ve itibar kaybetmeye sebebiyet verip vermediği gibi ayrıntılardır.
Veri bu kadar kıymetli olunca da verinin korunması da bir o kadar önemli hale geliyor.
Son yıllarda uzaktan çalışma modelinin çalışan performansını, çalışma disiplinini, iş gücü kaybını ve güvenlik zafiyetlerini doğuracağı kanısı, bu modele geçmeyi ciddi anlamda baskılıyordu. Birçok firma bu modelin önemi ve katkılarını düşünürken, bir yandan da bu kaygıları görmezden gelemediler maalesef. Ancak, pandemi ile bu zorunlu geçiş yani evden çalışma modeli kaçınılmaz oldu. Okullardan hastanelere, bankalardan holdinglere, kamu kurumlarından KOBİ ve diğer birçok farklı iş koluna yani tüm alanlarda evden çalışma modeline geçiş zorunlu olarak gerçekleşti.
Evden çalışma modelinin artılarını ve eksilerini hemen hemen hepimiz tecrübe ettik diye düşünüyorum. Lakin işin güvenlik boyutu başlı başına ele alınması gereken bir konuyu içerisinde barındırıyor. Yukarıda bahsetmiş olduğumuz kurum ve kuruluşların tamamında ofis düzeni için kısmi de olsa bir güvenlik altyapısı mevcut iken, evden çalışmak firmalar için beraberinde birçok soru işaretini doğurdu. Gelin bu sorulardan birkaçına kabaca bakalım;
Sanırım yukarıdaki kaygıların birçoğunu ve daha fazlasını alt alta sıralamak mümkün. Kabul edelim ki pandemi süreci 2021’de de hayatımızda olacak. Bu sürece entegre olamayan firmalar kepenk kapatmak durumda kalıyor ve kalacaklar.
Firmaların ilk yapması gereken, ne tip eksikleri olduğunu analiz etmek olacaktır. Eksiklerinizi bilemezseniz neyi ne kadar korumanız gerektiğini bilemezsiniz. Bu nedenle önce teknolojik olarak nasıl bir yapıya sahip olduğumuzu, verilerin nerede tutulduğu, bu verilere kimlerin eriştiği ve kimlerin hangi yetkiler ile erişmesi gerektiği netleştirilmelidir. Emin olun, bu süreç gerçekten çok kritik ve önemlidir. Çalışanların bu sürece uyum sağlayabilmeleri için mutlaka uzaktan erişim süreçleri ile alakalı eğitilmesi, olası tehditler hakkında bilgilendirilmesi gereklidir. Zincirin en zayıf halkası kadar güçlü olduğumuzu unutmamalıyız.
İkinci aşamada ise uzaktan erişim sağlayacak kişilerin cihazlarındaki yazılımların güncel olup olmadığını tespit etmek, ihtiyacı olanlar üzerinde bu güncellemeleri tamamlamak olası yazılım açıklarının önüne geçmenizi sağlayacaktır. Olmazsa olmazlardan biri de cihazlardaki antivirüs ve kişisel güvenlik duvarlarının güncel ve aktif olmasıdır. Ayrıca çalışanların internet erişimlerinin aynı şirket ortamında çalışırmışçasına planlanması (Web erişim güvenliği çözümleri), zararlı içerik barındırın sitelere yapılacak istem dışı erişimlerin önüne geçilmesini sağladığı gibi çalışanı güvenli alanda tutmayı da başaracaktır.
Firmaların en büyük kaygılarından biri de verilere uzaktan erişecek kişinin gerçekten kendi çalışanı olup olmadığıdır. Yani çalışanın bilgisayarı siber saldırıya maruz kalmış olabileceğinden tüm erişim bilgileri (kullanıcı adı, şifresi, uzak erişim için kullandığı erişim yetkileri) saldırganın eline geçmiş olabilir. Bu durumda “Uzaktan erişim sağlayan kişi gerçekten firma çalışanı mı?” sorusu hiç de yersiz bir soru olmuyor. Bu sorunun çözümü ise Çift Katmanlı Doğrulama Çözümleri (MFA yada 2FA) ile deva buluyor. Uzak bağlantıları ikinci bir çift katmanlı doğrulamadan geçirerek, gerçekten şirket çalışanı olup olmadığını garanti altına almış oluyoruz. MFA çözümlerini en iyi anlatan senaryoyu bankacılık işlemlerinde telefonunuza gelen ikinci bir doğrulama şifresi gibi düşünebilirsiniz. Aynı mantıkta çalışıyor. Unutulmaması gerekiyor ki, süreç zor ama yönetilemez değil. Zaman, gerekli tedbirleri alarak yeni normalimize adapte olma zamanı.
