Siber Öldürme Zinciri Nedir ve Saldırılara Karşı Nasıl Korunabilir?

   Siber güvenlik, kuruluşların her gün mücadele ettiği en önemli sorunlardan biridir. Aslında Accenture'a göre iş liderlerinin %68'i siber güvenlik risklerinin arttığını söylüyor.

   Siber güvenliği göz ardı etmek, son 5 yılda ortalama siber suç maliyetinde %72'lik bir artışa yol açan en pahalı hatalardan biri olduğunu kanıtlıyor. 

   Siber güvenlik ile riskleri tamamen ortadan kaldırmak mümkün değildir. Bu nedenle, yerinde savunma stratejilerine sahip olmak, siber güvenlik riskini azaltmak için mümkün olan en iyi çözüm olabilir.

   Katmanlı bir güvenlik yaklaşımı kullanılarak riskler en aza indirilebilir. Ancak siber güvenlik sisteminizin kuruluşunuza yönelik herhangi bir saldırıya dayanacak kadar güçlü olduğundan nasıl emin olabilirsiniz? Siber öldürme zincirinin oynayacağı rol buradadır.

   Bu yazıda, siber öldürme zincirinin ne olduğunu ve işletmelerin kendilerini saldırılardan korumak için bunu nasıl kullanabileceğini öğrenelim.

Siber Öldürme Zinciri Nedir?

   Siber öldürme zinciri, esasen Lockheed Martin tarafından oluşturulan ve bir siber saldırının aşamalarını izleyen, güvenlik açıklarını tespit eden ve güvenlik ekiplerinin zincirin her aşamasında saldırıları durdurmasına yardımcı olan bir siber güvenlik modelidir .

   Öldürme zinciri terimi, bir saldırının yapısıyla ilgili olarak bu terimi kullanan ordudan alınmıştır. Bir hedefin belirlenmesi, sevk, karar, düzen ve son olarak hedefin imha edilmesinden oluşur.

Siber Öldürme Zinciri Nasıl Çalışır?

Siber öldürme zinciri 7 farklı adımdan oluşur:

1. keşif

   Saldırgan, hedef ve saldırı taktikleri hakkında veri toplar. Bu, e-posta adreslerini toplamayı ve diğer bilgileri toplamayı içerir. 

   Otomatik tarayıcılar, sistemdeki güvenlik açığı noktalarını bulmak için davetsiz misafirler tarafından kullanılır. Bu, saldırı için bir giriş noktası elde etmek için güvenlik duvarlarını, izinsiz giriş önleme sistemlerini vb. taramayı içerir.

2. Silahlanma

   Saldırganlar, güvenlik açıklarından yararlanarak kötü amaçlı yazılım geliştirir. Saldırganlar, ihtiyaçlarına ve saldırının amacına göre kötü amaçlı yazılım tasarlar. Bu süreç aynı zamanda, saldırganların, kuruluşun sahip olduğu güvenlik çözümleri tarafından tespit edilme şansını azaltmaya çalışmasını da içerir.

3. Teslimat

   Saldırgan, silahlandırılmış kötü amaçlı yazılımı bir kimlik avı e-postası veya başka bir ortam aracılığıyla gönderir. Silahlı yükler için en yaygın dağıtım vektörleri arasında web siteleri, çıkarılabilir diskler ve e-postalar bulunur. Bu, saldırının güvenlik ekipleri tarafından durdurulabileceği en önemli aşamadır.  

4. Sömürü

   Kötü amaçlı kod, kuruluşun sistemine teslim edilir. Çevre burada ihlal edildi. Saldırganlar, araçlar yükleyerek, komut dosyaları çalıştırarak ve güvenlik sertifikalarını değiştirerek kuruluşun sistemlerinden yararlanma fırsatı elde eder. 

   Çoğu zaman, bir uygulama veya işletim sisteminin güvenlik açıkları hedeflenir. İstismar saldırılarına örnek olarak komut dosyası oluşturma, dinamik veri alışverişi ve yerel iş zamanlama verilebilir.

5. Kurulum

   Davetsiz misafire erişim sağlayan kötü amaçlı yazılım tarafından bir arka kapı veya uzaktan erişim truva atı yüklenir. Bu aynı zamanda HIPS (Host-based Intrusion Prevention System) gibi sistemler kullanılarak saldırının durdurulabileceği bir diğer önemli aşamadır.

6. Komuta ve Kontrol

   Saldırgan, kuruluşun sistemleri ve ağı üzerinde kontrol kazanır. Saldırganlar ayrıcalıklı hesaplara erişim kazanır ve kaba kuvvet saldırılarına girişir, kimlik bilgilerini arar ve kontrolü ele geçirmek için izinleri değiştirir.

7. Amaca Yönelik Eylemler

   Saldırgan nihayet verileri sistemden çıkarır. Amaç, kuruluşun ortamından gizli bilgilerin toplanması, şifrelenmesi ve çıkarılmasını içerir. 

Bu aşamalara dayanarak, aşağıdaki kontrol uygulama katmanları sağlanır:

1. Algıla – Bir kuruluşa sızma girişimlerini belirleyin.
2. Reddet - Saldırıları gerçekleştiğinde durdurmak.
3. Disrupt – Intervene, saldırgan tarafından yapılan ve daha sonra durdurulan veri iletişimidir.
4. Degrade – Bu, kötü etkilerini en aza indirmek için bir siber güvenlik saldırısının etkinliğini sınırlamak içindir.
5. Aldatmak – Saldırganı yanlış bilgi vererek veya yanlış yönlendirerek yanıltın.
6. Contain – Saldırının kapsamını, organizasyonun yalnızca bir kısmı ile sınırlandırılacak şekilde içerir ve sınırlandırır.

    Exabeam'den Orion Cassetto'ya göre , öldürme zincirinin çeşitli aşamalarında cazibeyi kontrol etmek için aşağıdaki güvenlik kontrolleri kullanılabilir :

"Keşif

Algıla: Web Analitiği; Tehdit İstihbaratı; Ağ Saldırı Tespit Sistemi

Reddet: Bilgi Paylaşım Politikası; Güvenlik Duvarı Erişim Kontrol Listeleri

silahlanma

Tespit: Tehdit İstihbaratı; Ağ Saldırı Tespit Sistemi

Reddet: Ağa İzinsiz Girişi Önleme Sistemi

Teslimat

Algıla: Uç Nokta Kötü Amaçlı Yazılım Koruması

Reddet: Değişim Yönetimi; Uygulama Beyaz Listesi; Proxy Filtresi; Ana Bilgisayar Tabanlı Saldırı Önleme Sistemi

Bozma: Satır İçi Anti-Virüs

Düşürme: Kuyruğa Alma

İçerir: Yönlendirici Erişim Kontrol Listeleri; Uygulamaya Duyarlı Güvenlik Duvarı; Güven Bölgeleri; Bölgeler Arası Ağ Saldırı Tespit Sistemi

sömürü

Algıla: Uç Nokta Kötü Amaçlı Yazılım Koruması; Host Tabanlı Saldırı Tespit Sistemi

Reddet: Güvenli Parola; Yama Yönetimi

Disrupt: Veri Yürütme Engellemesi

Şunları içerir: Uygulamaya Duyarlı Güvenlik Duvarı; Güven Bölgeleri; Bölgeler Arası Ağ Saldırı Tespit Sistemi

Kurulum

Algıla: Güvenlik Bilgileri ve Olay Yönetimi (SIEM); Host Tabanlı Saldırı Tespit Sistemi

Reddetme: Ayrıcalık Ayrımı; Güçlü Şifreler; İki Faktörlü Kimlik Doğrulama

Bozun: Yönlendirici Erişim Kontrol Listeleri

Şunları içerir: Uygulamaya Duyarlı Güvenlik Duvarı; Güven Bölgeleri; Bölgeler Arası Ağ Saldırı Tespit Sistemi

Komuta ve Kontrol

Tespit: Ağ Saldırı Tespit Sistemi; Host Tabanlı Saldırı Tespit Sistemi

Reddet: Güvenlik Duvarı Erişim Kontrol Listeleri; Ağ Segmentasyonu

Disrupt: Ana Bilgisayar Tabanlı Saldırı Önleme Sistemi

Bozulma: Tarpit

Aldatmak: Alan Adı Sistemi Yönlendirmesi

İçerir: Güven Bölgeleri; Alan Adı Sistemi Düdenleri

Hedeflere Yönelik Eylemler

Algıla: Uç Nokta Kötü Amaçlı Yazılım Koruması

Reddet: Beklemedeki Veri Şifrelemesi

Disrupt: Uç Nokta Kötü Amaçlı Yazılım Koruması

Bozulma: Hizmet Kalitesi

Aldatmak: Honeypot

İçeren: Olay Müdahalesi

sızma

Algıla: Veri Kaybını Önleme; Güvenlik Bilgileri ve Olay Yönetimi (SIEM)

Reddet: Çıkış Filtreleme

Disrupt: Veri Kaybını Önleme

İçerir: Güvenlik Duvarı Erişim Kontrol Listeleri”

Siber Öldürme Zinciri Saldırılara Karşı Nasıl Korunabilir?

   Bir siber öldürme zinciri veya siber saldırı simülasyon platformu , kuruluşlar tarafından sistemlerindeki güvenlik açıklarını saniyeler içinde belirlemek ve gidermek için kullanılabilir.

Siber ölüm zincirini simüle etmenin siber güvenlik saldırılarına karşı nasıl koruyabileceği aşağıda açıklanmıştır:

1. Siber Güvenlik Saldırılarını Simüle Edin

   Güvenlik açıklarını ve tehditleri bulmak için gerçek siber güvenlik saldırıları tüm vektörlerde simüle edilebilir. Bu, e-posta ağ geçitleri, web ağ geçitleri, web uygulaması güvenlik duvarı ve benzerleri aracılığıyla siber saldırıları simüle etmeyi içerir.

2. Güvenlik Açıklıklarını Belirlemek İçin Kontrolleri Değerlendirin

   Bu, simülasyonları değerlendirmeyi ve risk alanlarını tanımlamayı içerir. Simülasyon platformları size ayrıntılı bir risk puanı verir ve her vektör hakkında rapor verir.

3. Siber Güvenlik Açıklarını Düzeltin ve Düzeltin

   Bir sonraki adım, bir önceki adımda tanımlanan güvenlik açıklarını düzeltmektir. Bu, kuruluşun sistemindeki tehditlerin ve güvenlik açıklarının sayısını azaltmak için yamalar yüklemek ve yapılandırmaları değiştirmek gibi adımları içerebilir.