Ukrayna’da yaşanan trajediyi izlerken, güvenlik uzmanları Rusya’nın devasa bir siber savaş cephaneliği inşa ettiğinin ve bunu algılanan rakiplerine karşı kullanmaya istekli olduğunun fazlasıyla farkındalar.
Mart ayı başlarında, Federal Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) USA Today’e anlattı“ABD’ye yönelik belirli, güvenilir bir güvenlik tehdidi bulunmamakla birlikte, boyutu ne olursa olsun tüm kuruluşları siber güvenliklerini geliştirmek ve kritik varlıklarını korumak için şimdi adımlar atmaya teşvik ediyoruz.”
Siber saldırı tehdidi gerçek ve süreklidir. DDoS saldırılarını takip ediyorum ve BGP kaçırma sivil altyapıya karşı, ancak hem propagandanın ayrıntıları gizlediği hem de ağ trafiğinin neredeyse görünmez olduğu, özellikle de Ukrayna’nın İnterneti Rusya’ya özgü olduğu için, neler olup bittiğini tam olarak bilmek zor.
Yine de almak akıllıca CISA’nın uyarısı “Hazır olun, kuruluşunuzun güvenlik duruşunu iyileştirin ve kurumsal uyanıklığı artırın” tavsiyesini özümseyin ve uygulayın. bunu öğrendiğine memnun olacaksın ABD bankaları şimdiden hazırlanıyor Siber saldırı olasılığı için.
Nelere dikkat etmelisiniz? En kötü siber saldırılar son derece metodik ve cerrahidir, yani durdurulmaları zor olabilir. Bu nedenle, güvenliği artırmak, adli tıp çalışmaları ve proaktif azaltmanın bir kombinasyonunu gerektirir. IP bağlamı her ikisinde de yardımcı olabilir.
Gelişmiş Adli Çabaları ve Yetenekleri Dağıtma
Güvenliği desteklemek, çok sayıda adli tıp gerektirir. Diyelim ki hain bir oyuncu bir krallığın anahtarlarını çalıyor. Bu hırsızlık meydana geldi ve onları çalmak için hiçbir şey yapılamaz. Ancak bizde anahtarların bir kopyası var ve artık hangi anahtarların güvenilmez kişiler tarafından kullanılabileceğini biliyoruz. Tüm kilitleri başarıyla değiştirene kadar, bu anahtarları kullanmaya çalışan herkesi araştırmalıyız. Bu, güvenliğin adli doğasıdır.
Bir siber saldırının kim, ne, ne zaman, nerede ve nasıl olduğunu bilmek, etkisini azaltmanın ve daha fazla hasarı önlemenin ilk adımıdır ve önleyici engelleme kadar önemlidir. Ayrıca, tüm güvenlik profesyonellerinin bildiği gibi, her şeyi engellemek gerçekten çok zor.
Şu anda, endüstri oldukça fazla sayıda “çalıntı anahtar” biliyor, bu da kötü niyetli aktörlerin bunları kullanmaya çalıştığını bildiğimiz anlamına geliyor. Hangi kilitlerin değiştirileceğini de biliyoruz. Bu arada, tam da bu yüzden CISO’nun tavsiyesi kuruluşlar tüm sistemleri yamalar, Bilinen istismar edilen güvenlik açıklarına öncelik vermeve çok faktörlü kimlik doğrulamayı uygulayın.
Adli tıp bağlam gerektirir: Bu kullanıcı nereden geldi? Konumlarını bir proxy veya VPN aracılığıyla mı maskeliyorlar? Trafik bir işletmeden, barındırma sağlayıcısından veya konut IP adresinden mi geliyor? IP verileri, adli araştırmalarınızı yürütmek için gereken bağlamı sağlayabilir. Ayrıca saldırıları proaktif olarak engellemenize yardımcı olabilir.
Saldırıları Proaktif Olarak Engellemeye Yardımcı Olmak için IP Verilerini Kullanma
Bir IP adresinin belirli bir anda bir dizi özelliği vardır – coğrafi konum, ev ve iş kullanımı ve proxy’li mi, maskeli mi veya herhangi bir şekilde atlatılmış mı?
IP adresini bir huni olarak düşünün. Bir kullanıcının altyapınıza eriştiğini ve bunun yasal trafik olup olmadığını öğrenmek istediğinizi varsayalım. Yukarıda bahsedildiği gibi, IP verileri size nereden kaynaklandığını, kullanıcıların konut mu yoksa iş mi olduğunu ve bir VPN’den gelip gelmediklerini söyleyebilir. Diyelim ki bunun ABD içinden bir IP adresi olduğunu keşfettiniz, ancak Rus menşeli bir VPN sağlayıcısına bağlı. Bu, şu soruyu sormanıza yol açan çok önemli ve aydınlatıcı bir içgörüdür: Bu sağlayıcıya başka hangi IP adresleri bağlı?
Bu IP verileri, ilgili potansiyel olarak 10.000 diğer IP adresini belirlemek ve bunlardan herhangi birinin altyapınıza erişmeye çalışıp çalışmadığını görmek için gerçek bir bilgi parçası üzerinde dönmenize olanak tanır. Başka bir deyişle, bağlam, bu binlerce küçük huni arasındaki ortak konuyu belirlemenize, büyük huninin ne olduğunu anlamanıza ve gerektiği gibi araştırmanıza veya engellemenize olanak tanır.
VPN Hizmetlerinin İçeriğini İncelemek
Ağınıza kimlerin erişip erişemeyeceğine ilişkin kararlar alırken VPN verilerinin etkilerini düşünelim. Bir güvenlik uzmanı olarak, muhtemelen VPN sağlayıcısının özelliklerine dayalı olarak birçok politika kararı almak istersiniz.
Örneğin, sağlayıcı Rusya’da mı bulunuyor? ücretsiz mi Pek çok profesyonel, bu tür senaryolarda ürünün bizzat kullanıcıların kendileri olduğunu bildikleri için ücretsiz hizmetlere karşı temkinlidir. Bu, kurumsal VPN’de oturum açmak için kişisel yönlendiriciler kullanan uzak çalışanları olan kuruluşlar için özel bir endişe kaynağıdır. Çalışanlar ayrıca Netflix’e erişebilmeleri için dahili güvenlik korumalarını atlamak için bir VPN kullanıyor mu? Bir VPN, altyapınızın dışına çıkan saldırılar için bir kanal görevi görebilir.
VPN ücretli bir hizmetse, sağlayıcı müşterilerin anonim kripto para birimleri aracılığıyla ödeme yapmasına izin veriyor mu? Kötü aktörler için çekici bir seçenek haline getiren bir özellik olan etkinlik günlüğü yok mu?
Bir VPN ve onun iç işleyişi hakkında ne kadar çok şey bilirseniz, hangi trafiğin işaretleneceği veya engelleneceği konusunda o kadar akıllı kararlar verebilirsiniz. Diğer IP verileriyle birlikte uygularken, ek kimlik doğrulama için trafiği ne zaman işaretleyeceğinize veya hepsini birlikte engelleyeceğiniz zaman karar verebilirsiniz.
Aslında, altyapınıza çarpan kullanıcılar hakkında ne kadar çok arka plan hikayesi bir araya getirirseniz, kuruluşunuzun verilerini ve sistemlerini, nereden geldikleri veya amaçları ne olursa olsun tüm saldırganlardan o kadar fazla koruyabilirsiniz.