Siber Öldürme Zinciri Nedir ve Saldırılara Karşı Nasıl Korunabilir?
Siber güvenlik, kuruluşların her gün mücadele ettiği en önemli sorunlardan biridir. Aslında Accenture'a göre iş liderlerinin %68'i siber güvenlik risklerinin arttığını söylüyor.
Siber güvenliği göz ardı etmek, son 5 yılda ortalama siber suç maliyetinde %72'lik bir artışa yol açan en pahalı hatalardan biri olduğunu kanıtlıyor.
Siber güvenlik ile riskleri tamamen ortadan kaldırmak mümkün değildir. Bu nedenle, yerinde savunma stratejilerine sahip olmak, siber güvenlik riskini azaltmak için mümkün olan en iyi çözüm olabilir.
Katmanlı bir güvenlik yaklaşımı kullanılarak riskler en aza indirilebilir. Ancak siber güvenlik sisteminizin kuruluşunuza yönelik herhangi bir saldırıya dayanacak kadar güçlü olduğundan nasıl emin olabilirsiniz? Siber öldürme zincirinin oynayacağı rol buradadır.
Bu yazıda, siber öldürme zincirinin ne olduğunu ve işletmelerin kendilerini saldırılardan korumak için bunu nasıl kullanabileceğini öğrenelim.
Siber Öldürme Zinciri Nedir?
Siber öldürme zinciri, esasen Lockheed Martin tarafından oluşturulan ve bir siber saldırının aşamalarını izleyen, güvenlik açıklarını tespit eden ve güvenlik ekiplerinin zincirin her aşamasında saldırıları durdurmasına yardımcı olan bir siber güvenlik modelidir .
Öldürme zinciri terimi, bir saldırının yapısıyla ilgili olarak bu terimi kullanan ordudan alınmıştır. Bir hedefin belirlenmesi, sevk, karar, düzen ve son olarak hedefin imha edilmesinden oluşur.
Siber Öldürme Zinciri Nasıl Çalışır?
Siber öldürme zinciri 7 farklı adımdan oluşur:
1. keşif
Saldırgan, hedef ve saldırı taktikleri hakkında veri toplar. Bu, e-posta adreslerini toplamayı ve diğer bilgileri toplamayı içerir.
Otomatik tarayıcılar, sistemdeki güvenlik açığı noktalarını bulmak için davetsiz misafirler tarafından kullanılır. Bu, saldırı için bir giriş noktası elde etmek için güvenlik duvarlarını, izinsiz giriş önleme sistemlerini vb. taramayı içerir.
2. Silahlanma
Saldırganlar, güvenlik açıklarından yararlanarak kötü amaçlı yazılım geliştirir. Saldırganlar, ihtiyaçlarına ve saldırının amacına göre kötü amaçlı yazılım tasarlar. Bu süreç aynı zamanda, saldırganların, kuruluşun sahip olduğu güvenlik çözümleri tarafından tespit edilme şansını azaltmaya çalışmasını da içerir.
3. Teslimat
Saldırgan, silahlandırılmış kötü amaçlı yazılımı bir kimlik avı e-postası veya başka bir ortam aracılığıyla gönderir. Silahlı yükler için en yaygın dağıtım vektörleri arasında web siteleri, çıkarılabilir diskler ve e-postalar bulunur. Bu, saldırının güvenlik ekipleri tarafından durdurulabileceği en önemli aşamadır.
4. Sömürü
Kötü amaçlı kod, kuruluşun sistemine teslim edilir. Çevre burada ihlal edildi. Saldırganlar, araçlar yükleyerek, komut dosyaları çalıştırarak ve güvenlik sertifikalarını değiştirerek kuruluşun sistemlerinden yararlanma fırsatı elde eder.
Çoğu zaman, bir uygulama veya işletim sisteminin güvenlik açıkları hedeflenir. İstismar saldırılarına örnek olarak komut dosyası oluşturma, dinamik veri alışverişi ve yerel iş zamanlama verilebilir.
5. Kurulum
Davetsiz misafire erişim sağlayan kötü amaçlı yazılım tarafından bir arka kapı veya uzaktan erişim truva atı yüklenir. Bu aynı zamanda HIPS (Host-based Intrusion Prevention System) gibi sistemler kullanılarak saldırının durdurulabileceği bir diğer önemli aşamadır.
6. Komuta ve Kontrol
Saldırgan, kuruluşun sistemleri ve ağı üzerinde kontrol kazanır. Saldırganlar ayrıcalıklı hesaplara erişim kazanır ve kaba kuvvet saldırılarına girişir, kimlik bilgilerini arar ve kontrolü ele geçirmek için izinleri değiştirir.
7. Amaca Yönelik Eylemler
Saldırgan nihayet verileri sistemden çıkarır. Amaç, kuruluşun ortamından gizli bilgilerin toplanması, şifrelenmesi ve çıkarılmasını içerir.
Bu aşamalara dayanarak, aşağıdaki kontrol uygulama katmanları sağlanır:
- Algıla – Bir kuruluşa sızma girişimlerini belirleyin.
- Reddet - Saldırıları gerçekleştiğinde durdurmak.
- Disrupt – Intervene, saldırgan tarafından yapılan ve daha sonra durdurulan veri iletişimidir.
- Degrade – Bu, kötü etkilerini en aza indirmek için bir siber güvenlik saldırısının etkinliğini sınırlamak içindir.
- Aldatmak – Saldırganı yanlış bilgi vererek veya yanlış yönlendirerek yanıltın.
- Contain – Saldırının kapsamını, organizasyonun yalnızca bir kısmı ile sınırlandırılacak şekilde içerir ve sınırlandırır.
Exabeam'den Orion Cassetto'ya göre , öldürme zincirinin çeşitli aşamalarında cazibeyi kontrol etmek için aşağıdaki güvenlik kontrolleri kullanılabilir :
"Keşif
Algıla: Web Analitiği; Tehdit İstihbaratı; Ağ Saldırı Tespit Sistemi
Reddet: Bilgi Paylaşım Politikası; Güvenlik Duvarı Erişim Kontrol Listeleri
silahlanma
Tespit: Tehdit İstihbaratı; Ağ Saldırı Tespit Sistemi
Reddet: Ağa İzinsiz Girişi Önleme Sistemi
Teslimat
Algıla: Uç Nokta Kötü Amaçlı Yazılım Koruması
Reddet: Değişim Yönetimi; Uygulama Beyaz Listesi; Proxy Filtresi; Ana Bilgisayar Tabanlı Saldırı Önleme Sistemi
Bozma: Satır İçi Anti-Virüs
Düşürme: Kuyruğa Alma
İçerir: Yönlendirici Erişim Kontrol Listeleri; Uygulamaya Duyarlı Güvenlik Duvarı; Güven Bölgeleri; Bölgeler Arası Ağ Saldırı Tespit Sistemi
sömürü
Algıla: Uç Nokta Kötü Amaçlı Yazılım Koruması; Host Tabanlı Saldırı Tespit Sistemi
Reddet: Güvenli Parola; Yama Yönetimi
Disrupt: Veri Yürütme Engellemesi
Şunları içerir: Uygulamaya Duyarlı Güvenlik Duvarı; Güven Bölgeleri; Bölgeler Arası Ağ Saldırı Tespit Sistemi
Kurulum
Algıla: Güvenlik Bilgileri ve Olay Yönetimi (SIEM); Host Tabanlı Saldırı Tespit Sistemi
Reddetme: Ayrıcalık Ayrımı; Güçlü Şifreler; İki Faktörlü Kimlik Doğrulama
Bozun: Yönlendirici Erişim Kontrol Listeleri
Şunları içerir: Uygulamaya Duyarlı Güvenlik Duvarı; Güven Bölgeleri; Bölgeler Arası Ağ Saldırı Tespit Sistemi
Komuta ve Kontrol
Tespit: Ağ Saldırı Tespit Sistemi; Host Tabanlı Saldırı Tespit Sistemi
Reddet: Güvenlik Duvarı Erişim Kontrol Listeleri; Ağ Segmentasyonu
Disrupt: Ana Bilgisayar Tabanlı Saldırı Önleme Sistemi
Bozulma: Tarpit
Aldatmak: Alan Adı Sistemi Yönlendirmesi
İçerir: Güven Bölgeleri; Alan Adı Sistemi Düdenleri
Hedeflere Yönelik Eylemler
Algıla: Uç Nokta Kötü Amaçlı Yazılım Koruması
Reddet: Beklemedeki Veri Şifrelemesi
Disrupt: Uç Nokta Kötü Amaçlı Yazılım Koruması
Bozulma: Hizmet Kalitesi
Aldatmak: Honeypot
İçeren: Olay Müdahalesi
sızma
Algıla: Veri Kaybını Önleme; Güvenlik Bilgileri ve Olay Yönetimi (SIEM)
Reddet: Çıkış Filtreleme
Disrupt: Veri Kaybını Önleme
İçerir: Güvenlik Duvarı Erişim Kontrol Listeleri”
Siber Öldürme Zinciri Saldırılara Karşı Nasıl Korunabilir?
Bir siber öldürme zinciri veya siber saldırı simülasyon platformu , kuruluşlar tarafından sistemlerindeki güvenlik açıklarını saniyeler içinde belirlemek ve gidermek için kullanılabilir.
Siber ölüm zincirini simüle etmenin siber güvenlik saldırılarına karşı nasıl koruyabileceği aşağıda açıklanmıştır:
1. Siber Güvenlik Saldırılarını Simüle Edin
Güvenlik açıklarını ve tehditleri bulmak için gerçek siber güvenlik saldırıları tüm vektörlerde simüle edilebilir. Bu, e-posta ağ geçitleri, web ağ geçitleri, web uygulaması güvenlik duvarı ve benzerleri aracılığıyla siber saldırıları simüle etmeyi içerir.
2. Güvenlik Açıklıklarını Belirlemek İçin Kontrolleri Değerlendirin
Bu, simülasyonları değerlendirmeyi ve risk alanlarını tanımlamayı içerir. Simülasyon platformları size ayrıntılı bir risk puanı verir ve her vektör hakkında rapor verir.
3. Siber Güvenlik Açıklarını Düzeltin ve Düzeltin
Bir sonraki adım, bir önceki adımda tanımlanan güvenlik açıklarını düzeltmektir. Bu, kuruluşun sistemindeki tehditlerin ve güvenlik açıklarının sayısını azaltmak için yamalar yüklemek ve yapılandırmaları değiştirmek gibi adımları içerebilir.
