Orduların ve bilgisayar korsanlarının ortak noktası nedir? Her ikisi de hedeflerine ulaşmak için yapılandırılmış teknikler kullanır. Generaller savaş planları hazırlarken, siber saldırganlar da hedeflerine ulaşmak için gereken adımları takip eder. Endüstride bu, siber öldürme zinciri (CKC) olarak bilinir ve hem dijital davetsiz misafirler hem de onları durdurmaya çalışanlar için bir plan haline geldi.
Askeri müteahhit Lockheed Martin, CKC’yi 2011 yılında, ordunun kinetik savaşa uyguladığı uzun süredir devam eden bir konsepte dayanarak geliştirdi.
CKC, bu modeli birkaç adımda siber saldırılara uygular:
- Keşif: Saldırganlar, bir saldırı başlatmalarına yardımcı olabilecek bilgileri arar. Bu, bir şirketin kullandığı teknolojiyi, çalışanlarının e-posta adres düzenini ve adreslerini, liderliğini ve tedarikçilerini içerir. Azaltıcı önlemler arasında, gereksiz ağ bağlantı noktalarını ve web sayfalarını kilitleme, çalışanları hassas şirket bilgilerini çevrimiçi yayınlama konusunda uyarma ve çalışanların ve liderlerin kişisel bilgilerini koruma yer alır.
- silahlandırma: Saldırgan, zayıf noktalardan yararlanmak için dijital bir silah kullanır. Bu, genellikle dijital bir yük ile birlikte bir güvenlik açığını hedefleyen bir açıktan yararlanmayı içerir.
- Teslimat: Saldırgan silahı yerleştirir. Teslimat kanalları, e-posta, çıkarılabilir depolama, açık bir RDP bağlantı noktası veya bir Web uygulaması güvenlik açığı içerebilir. Kimlik avı bu aşamada popülerdir.
- Sömürü: Dijital silah patlıyor. Bu genellikle kullanıcının bir eke tıklamasını içerir. Bazı durumlarda, kötü amaçlı yazılım, teslimat aşamasında bir “iniş noktası” bulduğunda kullanıcı etkileşimi olmadan patlayabilir.
- Kurulum: İlk açıklardan yararlanmalar genellikle, kötü amaçlı yazılım yüklemek için ayrıcalık yükseltme gibi teknikler aracılığıyla erişim elde eden bir damlalık içerir. Bu, fidye yazılımını ve/veya bir saldırganın, uzaktan erişim Truva Atı (RAT) veya Cobalt Strike gibi silahlı meşru bir araç gibi kurbanın makinesini uzaktan kontrol etmesini sağlayan yazılımları içerebilir.
- Komuta ve kontrol (C2): Burası C2 aşamasının devreye girdiği yerdir. Araç, bir saldırganın sunucusuna “eve telefon eder”, ağ bilgilerini geri gönderir ve talimatları uygular. Saldırgan, aradıklarını bulana kadar daha fazla varlığa erişim sağlayarak ağda yanlamasına hareket etmek için aracı kullanır. Saldırgan bu aşamada aylarca sessiz kalabilir.
- Alınan önlemler: Bir noktada, suçlu yüklerini yürütür. Manşetler sonrasında yaşananlarla dolu: şifreli veriler, çalınan müşteri kayıtları ve durdurulan kontrol sistemleri. Öldürme zinciri tamamlandıktan sonra, itibar kaybı, düzenleyici inceleme, yasal zorluklar, iş kesintisi ve mali kayıp dahil olmak üzere kurban üzerindeki etkiler genellikle korkunç olur. bazen kurban hayatta kalamaz.
Öldürme Zinciri Boyunca Karmaşıklık ve Maliyetler Artıyor
Saldırı bu adımlar boyunca geliştikçe, öldürme zincirini bozmanın zorluğu ve maliyeti artar. Bir siber silahı altyapınıza girerken durdurmak, patlattıktan sonra onu kontrol altına alıp kaldırmaktan daha kolaydır.
Savunmacılar, erken aşamalarda saldırıları bastırmak için mücadele ederken mükemmel bir fırtınayla karşı karşıya. Yetersiz araçlar, beceri eksikliğiyle birleştiğinde pek çok kişi bu saldırıları durdurmak için hazırlıksız hale geldi.
Birçok şirket, öldürme zincirinin erken ve orta aşamalarında ana savunma olarak güvenlik bilgileri ve olay yönetimini (SIEM) kullanır. Bu araç, ağ olaylarını yakalar ve ilişkilendirir ve ortaya çıkan olayları potansiyel saldırılar olarak işaretleyebilir. Ancak, bu araçlar hala güvenlik analistlerinin saldırıları manuel olarak durdurmasını gerektiriyor.
A kötüleşen siber güvenlik becerileri eksikliği kuruluşların %57’sinin siber güvenlik operasyonları üzerinde doğrudan bir etki bildirdiği bu manuel çalışmayı zorlaştırıyor. Artan iş yükü, etki bildirenlerin %62’sini etkileyen en büyük etkiydi ve bunu, doldurulmamış açık iş talepleri ve tükenmişlik izledi. Bu gibi risklerle güvenlik operasyon merkezlerinin (SOC’ler) çalışanlarını mümkün olduğu kadar genişletmesi gerekir.
Savunucuların üstesinden gelmek için mücadele ederken, rakipler daha sofistike hale geliyor. Saldırganlar çeşitli öldürme zinciri adımlarını otomatikleştirdikçe saldırı hacmi ve hızı artıyor. Yalnızca izlemeye odaklanmak, güvenlik uzmanlarını bir adım geride bırakır. Olay yanıtını otomatikleştirerek bu zorluğun üstesinden gelmenin zamanı geldi.
Yönetilen algılama ve yanıt (MDR) dahil uygun araçlar ve hizmetler, bilinen saldırıları otomatik olarak tespit edebilir ve öldürme zincirinin başlarında etkisiz hale getirebilir. Benzer şekilde, günümüzde e-posta savunması, büyük ölçüde, algılama doğruluğunu artıran makine öğrenimi tabanlı tekniklerde bir alıştırmadır.
Bu otomasyon, saldırıları erken etkisiz hale getirerek zamandan ve paradan tasarruf sağlar. Ayrıca, analistleri daha karmaşık saldırılarla başa çıkmak için serbest bırakır ve ekibinizden maksimum düzeyde faydalanır.
MDR ve 7/24 uzman hizmetler bu saldırılara da yardımcı olur. Hem erken hem de gelişmiş saldırıları tespit etmek ve azaltmak için manuel beyin gücüyle otomatik algılama ve yanıt karışımı kullanırlar. [Editor’s note: The author’s company is one of many that offers such services.]
Bu savunmaları her zaman çalıştırmak çok önemlidir çünkü siz yaptığınızda siber saldırganlar çalışmayı bırakmazlar. Tam savunma, saldırı farkındalığı, otomasyon ve her zaman açık yanıtın bir kombinasyonunu içerir. Ayrıca, öldürme zinciri boyunca mümkün olduğunca çok sayıda saldırı vektörünü kapatmak için siber hijyen gerektirir. Çalışan güvenliği farkındalığından yazılım düzeltme ekine ve sıkı kimlik ve erişim kontrolüne kadar her önlem, ilerlemenize ve izinsiz girişleri erken engellemenize yardımcı olacaktır. Siber saldırıların gelişen dünyasında hazırlıklı olmak çok önemlidir.
