Güvenlik 28 NİSAN 2015 / 09:33

2015 yılında kurumların başına daha fazla ne gelebilir?

2014 yılında dev veri sızıntılarıyla karşılaşan kurumların CIO’larının 2015 yılında dikkat etmesi gereken güvenlik konularını, dünya çapında bilinen markaların uzmanlarının görüşlerinden derledik. 



2014 yılını dev veri sızıntılarıyla geride bıraktık. CIO’ların önlem almasına izin vermeyecek kadar çok çeşitli saldırılar, dünyanın en büyük şirketlerini zor duruma soktu. Yıla damga vuran olaysa kuşkusuz Sony Pictures’a yapılan saldırıydı. Kuzey Kore kaynaklı olduğu sanılan saldırıda Sony gibi bir devin dahi siber güvenliği yeterince ciddiye almadığı ortaya çıktı.

Sony’den sızdırılan belgelerin boyutunu göstermek için aşağıdaki maddelere göz atabilirsiniz:

• Sony bünyesindeki projelerde görev almış aralarında Angelina Jolie, Cameron Diaz, Jonah Hill gibi ünlü kişilerin de bulunduğu oyuncu kadrosu ya da yapım ekibinin pasaport, vize ve diğer kimlik bilgilerinin bulunduğu PDF dosyaları

• “FTP şifreleri”, “AraştırmaŞifreleri”, “HESAP ŞİFRELERİ”, “Kişisel Şifreler” gibi dosya başlıklarına sahip 700’den fazla doküman

• Aralarında Sony’nin BT Mali Hesaplar Denetçisinin aralarında bulunduğu birçok “archive.pst” ve “backup.pst” gibi başlıklı 179 Outlook arşivi

• Şifre korumalı dokümanlar ama isimlerinde şifreler yazıyor. Örneğin, PASSWORD PALABRA SECRETA NISSAN.xlsx, PwC 2007 Report_PASSWORD_pwcemc60.pdf

• BT mali hesap dokümanları. Örneğin, PASSWORD EQUAL TO USER NAME.xls, ACCOUNTS WITHOUT PASSWORDS.xls

• Film bütçeleri ve mukaveleler gibi hassas iş dokümanları. Örneğin “JR-Accrued Mktg Cost 0513 – Evil Dead.xls” ve “Cameron Diaz – Pre-approved Medical Rider.doc”

• Veritabanı yedekleriyle gizli dosyalar

• Sony Pictures ürünü olmayan ve büyük ihtimalle çalışanın bilgisayarında korsan olarak kalan televizyon dizilerinin kopyaları

Bahsi geçen önemli dosyaların bu kadar korunmasız olması karşısında konuya biraz ilgi duyan herkes hayrete düşüyor.

Hedefli saldırılar artacak

Eset’in öngörülerine göre ise siber suçlular hedef belirleyerek saldırılarına devam edecekler. Bu da CIO’ların işlerinin daha da zorlaşmasına sebep olacak. Öngörülere göre, APT yani ‘Gelişmiş Kalıcı Tehditler’ olarak tanımlanan hedefli saldırılar 2015’e damgasını vuracak. Bu tür saldırıların geleneksel saldırılardan en büyük farkı; hedef seçimi, saldırı süreci ve sessizliği. Tehdit uzun süre fark edilmeden sistemde saklanır ve en uygun zamanda harekete geçecek.

Yapılan açıklamaya göre, Gelişmiş Kalıcı Tehditler (APT - Advanced Persistent Threats) olarak tanımlanan hedefli saldırıların geleneksel saldırılardan iki önemli farkı var. İlki, saldırıların amaçlarına ulaşabilmeleri için net seçilmiş hedefleri vardır. Yani dijital dünyaya salınıp, belirsiz şekilde korumasız kurbanları yakalaması beklenmez. İkinci olarak ise; bu saldırılar uzun süre fark edilmeden sistemde saklanırlar. Siber suçlu açısından en olgun zamanda tehdit yani zararlı yazılım harekete geçer.

Ödeme sistemleri suçlulara zemin oluşturacak

Online ödeme sistemlerinin çoğalması, siber suçluların bu alana ilgisini artırıyor. 2014’te bir tür online cüzdan hizmeti olan Dogevault kullanıcıları hedef alınmıştı. Bir başka hedef ise POS makineleri. 2014’te ‘Win32/BrutPOS’ olarak algılanan bir solucan, POS makinelerine saldırmış ve kullanıcı şifrelerini kayıt altına almıştı. POS makinelerine yönelik, kullanıcıların kart bilgilerini elde etmeye çalışan çok sayıda kötü amaçlı yazılım bulunuyor. Veriler, bu yöndeki saldırıların artacağını gösteriyor.

Kaspersky Lab uzmanları; daha yüksekleri hedefleyen siber saldırıların bankaların kendisini hedef alacağını tahmin ediyor. Şirket, dolandırıcıların doğrudan ATM'lerden nakit para çekebilecek yeni bir zararlı yazılım geliştirmeyi deneyeceklerini tahmin ediyor. Nakit çekme makinelerine (ATM) saldırılar birden fazla vaka ile bu yıl patladı gibi görünüyor ve emniyet güçlerinin küresel çapta çalışmaları bu krize yanıt bulmaya çalışıyor. Bu sistemlerin çoğu Windows XP üzerinde çalıştığından ve kırılgan fiziksel güvenliklere sahip olduklarından en başından itibaren son derece korumasızlar.

Cryptolocker olarak tanımlanan fidye yazılımları, kötü amaçlı yazılım geliştiricileri için ana işlerden biri haline gelmeye başladı. 2014 yılı boyunca özellikle ABD’de Yahoo, Match ya da AOL gibi pek çok büyük firma, bu fidye yazılımlarının etkisi altına girdi. Aralarında Türkiye’nin de bulunduğu pek çok ülke, sahte e-fatura uygulamalarıyla bu saldırılara maruz kaldı. Söz konusu bu tehdidin önümüzdeki yıllarda da sürmesi ve daha da gelişmesi bekleniyor.

Akıllı cihazlara saldırılar artacak

Akıllı televizyonlar, buzdolapları, otomobiller, akıllı gözlükler gibi internet bağlantılı pek çok yeni ürün, siber suçluların ilgisini çekiyor. Bu alan, siber suçlar için gelişmekte olan bir alan ve tehditler henüz keşfetme ve gelişme evresinde. Bu nedenle bu cihazlara yönelen tehditlerin 2015’te henüz çok büyük problem haline gelmesi beklenmiyor. Yine de bu yöndeki saldırılar, miktarı yüzünden değil tekliği ve yenilikçi yapısı nedeniyle dikkat çekici olacak.

Geleneksel saldırı yöntemlerinin neredeyse tamamı artık mobil cihazlara uyarlanır hale geldi. Kötü amaçlı yazılımların gelişimi göz önüne alındığında 2015’te mobil cihazlara yapılan saldırıların artarak sürmesi bekleniyor.

Siber güvenlik için ayrılan bütçeler azalıyor

Dünya çapında PwC tarafından yaptırılan bir araştırmaya göre, siber güvenlikle ilgili vakalar her geçen gün artarken şirketler için ortaya çıkardıkları maliyetler de paralellik gösteriyor. Buna rağmen şirketlerin siber güvenlik için ayırdıkları bütçeler azalıyor. CIO’lar siber güvenliği teferruat olarak görmeye devam ediyor. Araştırmaya göre, dünya çapında bilgi güvenliği alanında raporlanan vaka sayısı yüzde 48 artarak, 42,8 milyonu buldu. Araştırma verileri, 2009'dan bu yana tespit edilen güvenlik vakalarının yıldan yıla yüzde 66 artış gösterdiğini ortaya koyuyor.

Güvenlikle ilgili olayların daha sık yaşanmasıyla, söz konusu ihlallerin yönetilmesi ve azaltılmasıyla ilgili maliyetler de artış gösteriyor. Küresel çapta bakıldığında, siber güvenlik vakalarının neden olduğu, tahmini olarak raporlanan ortalama mali zarar, 2013 yılı süresince yüzde 34 artış göstererek, 2,7 milyon dolar oldu. 20 milyon doları aşan maddi kayıp rakamları açıklayan organizasyonların sayısı neredeyse iki katına ulaştığı için büyük çaplı zararlara bu yıl daha fazla tanık olduk.

Artan kaygılara rağmen, araştırma, küresel bilgi güvenliği bütçelerinin 2013 yılına kıyasla yüzde dört düşüş gösterdiğini ortaya koydu. Bilgi teknolojisi harcama bütçelerinin yüzdesi olarak bakıldığında da güvenlik harcamaları, geçtiğimiz beş yıllık süreçte yüzde dört veya daha düşük bir oranda asılı kaldı.

Büyüklük ve sektör fark etmeksizin tüm organizasyonlar, siber güvenlikle ilgili ciddi riskleri biliyor. Bu farkındalığa rağmen, daha büyük ölçeğe sahip şirketler, her yıl daha fazla sayıda saldırıya maruz kalıyor. Yıllık 1 milyar veya daha fazla brüt gelire sahip büyük ölçekli organizasyonlar, bu yıl, yüzde 44 daha fazla vaka tespit ettiler. 100 milyon dolar ile 1 milyar dolar arası gelire sahip orta ölçekli organizasyonlar, tespit edilen vaka sayısı açısından yüzde 64'lük bir artışa tanık oldular. Risk küresel bir zemin kazanırken, araştırma, mali zararların organizasyonun ölçeğine göre büyük oranda değiştiğini de gösteriyor.

Çalışanlar şirket verilerini riske atıyor

Şirket içindekilerin, siber güvenlik olaylarının en fazla bahsi geçen kaynakları haline gelmesine rağmen çoğu durumda, bu kişiler, mobil cihazları kaybederek veya hedeflenen e-dolandırıcılık planlarının bir parçası olarak farkında olmadan verileri tehlikeye atıyor. Katılımcılar, mevcut ve önceki hizmet sağlayıcılarından, danışmanlardan ve yüklenicilerden kaynaklanan vakaların sırasıyla yüzde 15 ve 17 arttığını ifade ederken şu anki çalışanların sebep olduğu vakaların yüzde 10 arttığını belirtiyor.

Etkin güvenlik bilinci, en alt makamdan en üst makama kadar bağlılığı, iletişimi ve araştırmaya göre çoğu organizasyonun sahip olmadığı bir taktiği gerekli kılıyor. Katılımcıların sadece yüzde 49'u, bilgi güvenliği konularında konuşmak, işbirliği yapmak ve haberleşmek amacıyla düzenli olarak bir araya gelen organizasyon çapında bir ekibe sahip olduklarını belirtiyor.

PwC, güvenlik saldırılarının hızlı tespitine odaklanmanın ve etkili, zamanında müdahalede bulunmanın şirketler açısından çok önemli olduğunun altını çiziyor. Günümüzün bağlantılı iş ekosistemine bakıldığında, bu adım, işletmeyle etkileşimde bulunan üçüncü taraflara yönelik politikaların ve süreçlerin oluşturulması kadar önemli.

Devletlere yapılan saldırılar artıyor

Ulus devletlerce gerçekleştirilen yüksek nitelikli saldırılarla birlikte organize suçlar ve rakipler, en az görülen fakat en hızlı büyüme gösteren siber tehditler arasında bulunuyor. Bu yıl, ulus devletlerce yapılan siber saldırıları raporlayan katılımcıların oranı, yüzde 86 artış gösterdi. Üstelik bu vakalar yüksek ihtimalle eksik raporlanıyor. Araştırma ayrıca, bazılarına ulus devletlerin destek sağlayabildiği rakiplerle ilgili yaşanan güvenlik vakalarında yüzde 64'lük çarpıcı bir artışı da ortaya koydu.

Hemen hatırlatalım 2014 yılında aralarında Türkiye’nin de olduğu ülkelere İran tarafından saldırılar düzenlendiği Cylance isimli güvenlik şirketi tarafından açıklandı. Raporda, Türkiye’den akaryakıt ve gaz alanındaki şirketler ve kamu kurumlarına yönelik yapılan saldırıyla veri akışı takip altına alındığı bilgisi verildi. Sızılan sistem içerisinde çalışanların giriş bilgileri, sunucular üzerindeki Windows ve Linux, Cisco Edge yönlendiriciler ve anahtarlar ile sanal özel ağları barındıran Active Directory etki alanı denetleyicisi yer alıyor. İki yıldan bu yana süregelen “Operation Cleaver” adı verilen saldırılarda ortaya çıkanlara göre PayPal ve GoDaddy bilgilerine dahi erişim sağlandığı görülüyor.

Saldırı, bundan 28 ay önce özellikle Suudi Arabistan ve Katar’ı hedefleyen Shamoon zararlı yazılımının 30 binden fazla bilgisayara sızarak tüm verileri silmesinin ardından geldi. Enerji sektörünü hedef alan Shamoon’a yakın zamanlarda Amerika Birleşik Devletleri’nde önemli bankalara yapılan saldırılar ortaya çıktı. Bundan bir yıl önce de DigiNotar’a sızan saldırganlar Gmail ve diğer yüksek profilli sitelerin dijital sertifikalarını ele geçirdiler. Bazı güvenlik uzmanlarına göre, yıllarca İran’ın nükleer programını öğrenmek için ABD ve İsrail tarafından organize edildiği tahmin edilen Stuxnet, Duqu ve Flame zararlı yazılım saldırılarına karşılık İran harekete geçti. Cylance’in raporunda İran’ın siber uzaydaki çalışmalarının hızla artırdığı görüşüne yer veriliyor. Hemen yanı başımızdaki ülkelerden biri olan İran’ın bu faaliyetleri Türkiye’yi de doğrudan etkiliyor.

CIO’lar neler yapmalı?

2015 yılında hem siber saldırganlar hem de devletler düzeyindeki önemli grupların faaliyetleri küreselleşen dünyada hemen her ölçekteki şirket için risk yaratıyor. Zira büyük şirketler göz önünde olsa bile hedefli olmayan ve daha geniş kitlelere doğru yapılan saldırılar özellikle KOBİ ölçeğindeki şirketlerin verilerini kaybetmelerine yol açabilir. CIO’ların yapması gerekenleri ise şu şekilde sıralamak mümkün:

• Veri sızıntılarına mahal vermemek için kurum içerisindeki çalışanlarınıza düzenli eğitimler verin.

• Şirket için politikalarınızı sıkı bir şekilde belirleyerek uygulanması için gerekli düzenlemeleri yapın.

• Çalışanların özgürlüğünü kısıtlamak yerine, özgürlük alanları içerisinde nasıl güvende kalırlar sorusunun yanıtını bulmaya çalışın. Unutmayın ki kendisini zorlanmış hisseden çalışanın hem verimi düşer hem de BT biriminden gizli olarak zorlamaları bir şekilde aşmaya çalışır.

• Şirket dışından gelebilecek saldırıları engellemek için güvenlik yazılımlarına ihtiyaç duyulduğunu atlamayın.

• Sadece bir antivirüs yazılımı ile tüm şirketin güvende olacağını sanarak, yeni nesil tehditleri görmezden gelmeyin.

Hırsızlar “bilgi tacirlerine” dönüşecek

Dev veri sızıntıları, bulutta depolanan verilere yönelik gerçekleştirilen saldırılar ve şirketlere hem maddi hem manevi zarar veren büyük ölçekli sofistike saldırılarla siber güvenlik 2014 yılının en çok konuşulan olayları arasında yer aldı. Güvenlik şirketi Websense’in öngörüleri şu şekilde sıralandı:

1. Sağlık sektöründe veri hırsızlığı saldırıları artacak

2. Saldırılar kullanıcı ürünlerine değil işletmelere odaklanacak

3. Kredi kartı hırsızları “Bilgi Tacirleri”ne dönüşecek

4. Mobil tehditler cihaz içerisindeki verilerden çok kimlik bilgilerini hedef alacak

5. Eski kaynak kodlardan yeni zayıf noktalar ortaya çıkacak

6. E-posta tehditleri kapsam ve hile konusunda yeni bir seviye atlayacak

7. Şirketlerin bulut ve sosyal medyaya erişimi arttıkça, saldırıların komuta ve kontrol yönergeleri hızla bu yöne kayacak

8. Dünya çapında siber savaş ve casusluk alanında yeni oyuncular ortaya çıkacak

Doğrudan bankalar hedef olacak

Kaspersky’nin 2015 öngörülerinde şu maddeler yer aldı:

• Sanal ödeme sistemlerine yapılan saldırılar, yeni Apple Pay'e kadar uzanabilir

• ATM'lere saldırılar

• Doğrudan hedefli siber saldırı oyun kitabından gelen yöntemler kullanılarak bankaların güvenliklerinin ihlal edildiği zararlı yazılım saldırıları

• Daha fazla internete sızma hikayesi: eski kodda görülen tehlikeli güvenlik açıkları İnternet altyapısını kötü niyetli saldırılara karşı korumasız bırakıyor.

• Gelişmiş saldırganların bir kurumsal ağ içinde kalıcı olmasını ve yanal olarak hareket etmesini sağlayan ağ bağlantılı yazıcılar ve diğer bağlı cihazlara karşı halen kullanılmakta olan saldırılar.

• OSX'in torrentler ve korsan yazılım paketleri aracılığıyla yayılması için tasarlanan zararlı yazılımlar

• Yükselen trend, birbirinden bağımsız olarak çalışan küçük birimlere bölünmüş büyük ve gürültülü siber tehdit aktörleri. Bu, daha fazla kaynaktan gelen çok çeşitli saldırılarla daha geniş çaplı bir saldırı tabanıyla sonuçlanacak.