Siber saldırılar artmaya ve gelişmeye devam ediyor, ancak bilgisayar korsanlarının erişim sağlamak, bir dayanak elde etmek, kötü amaçlı yazılımlarını gizlemek, yüklerini yürütmek veya verileri sızdırmak için kullandıkları karmaşıklık derecesi ne olursa olsun, saldırıları keşifle başlayacak. Açıkta kalan varlıkları ortaya çıkarmak ve giriş noktaları olarak kullanılabilecek boşluklar için hedeflerinin saldırı yüzeyini araştırmak için ellerinden geleni yapacaklardır.
Bu nedenle, ilk savunma hattı, olası bir saldırganın kullanabileceği potansiyel olarak yararlı bilgileri mümkün olduğunca sınırlamaktır. Her zaman olduğu gibi, tipik olarak kullanılan bilgi türünün daha iyi anlaşılmasını gerektiren, operasyonel gereklilik ile güvenlik endişeleri arasındaki çekişme dikkate alınmalıdır.
Bilgisayar korsanları keşif sırasında hangi bilgileri arıyor?
Bir organizasyon üzerinde keşif yaparken, bilgisayar korsanları – ister beyaz ister siyah şapkalı – “bir eklemi koruyorlar”. Saldırılarını planlamak için, aşağıdakiler hakkında mümkün olduğunca fazla bilgi edinmeye çalışacaklar:
Altyapınız
- Kullandığınız teknoloji türleri – Kusursuz bir teknoloji olmadığı için, altyapınızı oluşturmak ve yönetmek için kullanılanları öğrenmek, bilgisayar korsanlarının ilk adımıdır. Altyapınıza sızmak için güvenlik açıklarını bulmayı ve kendilerini algılamaya karşı korumayı amaçlarlar. Bilgisayar korsanları, teknoloji forumlarındaki konuşmaları dinleyerek teknolojileriniz ve bunların nasıl kullanıldığı hakkında bilgi edinebilir. Bu tür tartışmalara katılan DevOps, gerçek kimliklerini veya kuruluşu tanımlayabilecek bilgileri ifşa etmekten kaçınmalıdır.
- İnternete açık sunucularınız – sunucular, kuruluşunuzun hayati bilgilerini tutar. Bilgisayar korsanları, kullanılmayan veya yama uygulanmamış hizmetlerden açık bağlantı noktalarına kadar değişen güvenlik açıklarını bulmaya çalışacak.
- Herkese açık bir ağda sunucu olarak kullanılan herhangi bir sistem bir hedeftir, bu nedenle sistem yöneticileri şu durumlarda çok dikkatli olmalıdır:
- Tüm hizmetleri güncel tutmak
- Mümkün olduğunda güvenli protokolleri seçme
- Makine başına ağ türünü katı bir minimumla, tercihen makine başına bir taneyle sınırlamak
- Tüm sunucuları şüpheli etkinlik için izleme
- İşletim Sisteminiz (OS) – Her işletim sisteminin kendi güvenlik açıkları vardır. Windows, Linux, Apple ve diğer işletim sistemleri düzenli olarak yeni ortaya çıkarılan güvenlik açıklarını ve yamaları yayınlar. Bu kamuya açık bilgiler, hangi işletim sistemini kullandığınızı öğrendikten sonra siber saldırganlar tarafından kötüye kullanılır.
- Örneğin, muhasebeciniz Joe Blog’un Windows 8 Excel Elektronik Tablosunda bir işlevin nasıl kullanılacağını açıkladığı bir forum sohbeti, bilgisayar korsanına Joe Blog’un Windows kullandığını ve işletim sistemini uzun süredir güncellemediğini söyler.
- Bu bilgi, siber saldırganı, kuruluşunuzun finansal bilgilerine erişimi olan bir çalışanın nadiren güncellenen bir uç nokta üzerinde çalışmasına izin verilirse, çalışanların uç nokta güvenliği gevşek olduğu için daha fazla araştırma yapmaya teşvik eder.
- Güvenlik olgunluğunuz – Bilgisayar korsanları insandır ve bu nedenle tembel olma eğilimindedirler. Bir keşif görevinde olan ve bir XSPM (Genişletilmiş Güvenlik Duruş Yönetimi) platformu kullandığınızı öğrenen bir bilgisayar korsanı, kötüye kullanılabilir bir giriş noktası olsa bile, tırmanmanın her adımda engelleneceğini ve kötü niyetli eylemi gerçekleştirmenin bir üst düzey planlama. Bu, çoğu potansiyel siber saldırganın cesaretini kırıyor.
kimlik bilgileri
- E-mail adresleri – insan zihni, yükseltmesi ve düzeltmesi en zor yazılım olduğundan, kimlik avı, bilgisayar korsanları için bir numaralı sızma vektörü olmaya devam ediyor. Bilgi, destek, satış vb. gibi bazı e-posta adreslerinin herkese açık olması gerekse de, çalışanların kişisel e-postaları, bilgisayar korsanları tarafından genel kimlik avı mesajları ve hedefli kimlik avı için kullanılabilir.
- Kullanıcı adları ve şifreler – Darknet korsanlarının alışveriş merkezleri, gülünç derecede düşük fiyatlarla satılık kimlik bilgileriyle doludur, bu nedenle şifrenizi düzenli olarak değiştirmeniz önerilir.
- Sistem yöneticisi ve yüksek ayrıcalık erişimine sahip diğer kullanıcılar için, mükemmel parola hijyeni ve MFA! – mutlak bir zorunluluktur, çünkü kimlik bilgileri bir bilgisayar korsanının eline geçerse, tüm sistem geri dönüşü olmayan bir şekilde tehlikeye girebilir.
Bir hacker keşfini tespit edebilir misin?
Forewarned önceden silahlıdır, bu yüzden düşmanca keşif faaliyetinin işaretlerini dinlemek akıllıca bir fikir olabilir. Keşif faaliyeti iki kategoriye ayrılabilir:
- Aktif keşif: sisteminize girmek için araçlar veya casus yazılımlar kullanan bilgisayar korsanları. Bu, uygun şekilde yapılandırılmış algılama araçlarından uyarıları tetiklemeli ve güvenlik bilgi ekiplerine bilgisayar korsanlarının onları “gizlediğini” bildirmelidir.
- Bu, potansiyel güvenlik açıklarının yeterince izlenmesini ve öncelikli yama için programlanmasını sağlamak için bir güvenlik doğrulama alıştırmasının başlatılmasını sağlamalıdır.
- Pasif keşif: bilgisayar korsanları, altyapınızın teknolojik ayrıntıları veya e-posta adresleri hakkında herkese açık bilgileri toplayarak sizi “takip eder”. Bu, aslında, tespit edilemez.
Bir Hacker, Keşif Sırasında Toplanan bilgilerle ne yapar?
Siber saldırganların hedefleri dört geniş kategoriye ayrılır:
- Çalınması – sayı bakımından açık ara en büyük kategori olan çalmaya yönelik saldırılar, hırsızlığın amacına uygun olarak daha fazla kategoriye ayrılabilir:
- Veri – veri 21. yüzyılın para birimidir ve sağ eldeki herhangi bir veri değere çevrilebilir. Kredi Kartı bilgilerinden kullanıcıların kişisel bilgilerine, seyahat alışkanlıkları gibi genel verilere kadar tüm veriler ticari, stratejik ve hatta askeri amaçlarla kötüye kullanılabilir.
- Fikri mülkiyet – IP, birçok kuruluşa ve işletmeye avantaj sağlar. Örneğin, rakipler bu bilgiyi elde etmekle hemen ilgilenirler.
- bilgi işlem kaynakları – altyapınızı güçlendirmek için kullanılan kaynaklar maliyetlidir ve bu nedenle çekicidir. Günümüzde çalınan kaynakların ana kullanımı kripto madenciliğidir.
- Gasp – en iyi fidye yazılımı olarak bilinen fidye yazılımı, altyapının bir kısmını veya tamamını ele geçirir, verileri şifreler ve etkilenen verilerin şifresini çözmek için kripto para biriminde ödeme yapılmasını gerektirir. Verileri sızdırmak ve bunları satmakla tehdit etmek de fidye yazılımı tehditlerinin bir parçasıdır.
- Bilgi toplama – uzun süreler boyunca fark edilmeden kalabilecek gizli bir saldırı türü. Tipik olarak, bunlar ulus devletler, siyasi muhalifler veya ticari rakipler tarafından yönetilir.
- Altyapıyı yıkmak / devralmak – ele geçirmeyi veya yok etmeyi amaçlayan saldırılar, tipik olarak, kritik altyapıyı, özellikle agresif rakipler veya bilgisayar korsanlarını hedef alan ulus devletler tarafından yönetilir.
Bir siber saldırıdan kaynaklanabilecek zararların çeşitliliği göz önüne alındığında, siber saldırganları gözlemlemek için keşifleri mümkün olduğunca sonuçsuz veya yıldırıcı hale getirmek iyi bir politikadır. Bu, daha iyiye yönelik mevcut eğilimi açıklar. Saldırı Yüzeyi Yönetimi (ASM).
Not: Bu makale, Cymulate Araştırma Başkan Yardımcısı Sasha Gohman tarafından yazılmıştır.