Güvenlik riskleri evrilerek gelişmeye devam ediyor

Mobilite, internetin yaygınlaşması ve bulutla birlikte saldırıların boyutu ve saldırganların nitelikleri de değişti. Hedef odaklı tehditler son kullanıcının bilgi güvenliğini tehdit ederken, kurumlar da veri hırsızlığı tehlikesiyle karşı karşıya.

Solucanlar, zıpkınlar, yemlemeler ve odaklı saldırılar. Sayısallaşma ile hayatımıza giren yenilikler bir dizi farklı ve karmaşık, yeni ve teknolojik olarak bambaşka güvenlik problemlerini beraberinde getirdi.
Siber saldırılara maruz kalan sistem ve kullanıcıların sayısı her geçen gün geçmiş yıllara oranla çok daha hızla artıyor. Günde ortalama 10 bin civarında web sitesi raporlanıyor ve her 1 saniyede 14 yetişkin siber ataklara maruz kalıyor. Günümüz güvenlik teknolojileri sürekli yenilenen, gelişen ve organize siber ataklarla başa çıkmaya çalışıyor.
2000’li yılların başlarına kadar Virüs/Solucan olarak adlandırdığımız zararlılar, daha çok sistemlere zarar vermeye yönelik olarak karşımıza çıkarken, günümüz saldırı teknikleri sofistike ve çok daha başarılı. Saldırganlar yeni teknikleri ve silahları ile tehlikenin boyutlarını gün geçtikçe daha da ileriye taşırken, çok yönlü olarak tasarlanan siber ataklar, ulus devletleri hedef alabiliyor ve aynı anda birden çok hedefe odaklanabiliyor.
“Her yeni gün sistemlerimize eklenen taşınabilir akıllı sistemlerin de etkisi ile saldırı zemini de genişleyerek tehditlerin çeşitlenmesine, yeni güvenlik problemlerinden kaynaklanan güvenlik zafiyetlerinin de her gün gündemimizi daha fazla meşgul etmeye başlamasına sebep oluyor” diyen 4S Güvenlik Grup Yöneticisi Evren Bilgiç, saldırgan profilindeki değişimden de bahsetti: “Hayatımıza giren her yeni cihaz ve sistem saldırıya açık bir hedef ya da farkında olmadan saldırı yapan bir kaynak haline geldi. Saldırgan profilindeki değişim de bunun en doğal sonucu oldu. Öncesinde saldırganlar, hedef gözetmeksizin sistemleri istismar etmeye çalışırken artık saldırıları geniş zaman dilimleri içinde planlayan, hedef gözeterek sistemlere sızmaya çalışan ve en önemlisi kritik altyapıları hedef alarak ciddi hasar vermeye çalışan kişiler durumuna gelmişlerdir.”

“Web tabanlı uygulamalara saldırılar arttı”
Biznet Bilişim Güvenlik Testleri Yöneticisi Deniz Çevik, “Bilgiden para kazanma, büyük veri araştırması gibi konulara yönelik eğilimlerin artması bilginin saldırganlar tarafından ele geçirilmesine yönelik aktiviteleri artırmış saldırı motivasyonunu bu yöne kaydırmıştır” dedi ve ekledi: “Kurumların internet üzerinden erişime açtıkları servislerin yaklaşık yüzde 70’ini web tabanlı servisler oluşturmaktadır. Web tabanlı uygulamaların hızla yaygınlaşması, çok sayıda farklı bileşen ve teknolojinin bir arada kullanılabilmesi, karmaşıklıktan kaynaklanan pek çok sorunun bulunması saldırıların daha çok uygulama katmanına doğru kaymasına neden olmaktadır.”
Son kullanıcının bilgi güvenliği tehdit altında
Ayrıca son zamanlarda kullanıcılara yönelik saldırılarda da artışın gözlemlendiğini belirten Çevik, “Özellikle kurum ağına sızmak için sosyal mühendislik adı verilen saldırılar ile kullanıcının bilgi güvenliği farkındalığı eksikliğinden yararlanmaya yönelik saldırılar ile sıklıkla karşılaşılmaya başlanmıştır. Kullanıcı sistemlerinde yaygın olarak kullanılan yazılımlardaki açıkları bularak hedef sistemi ele geçirmek gittikçe daha kolay hale gelmektedir. Bu da sayısallaşma sürecinde çalışanlardan kaynaklanan risklerin de önem kazanmaya başlamasına neden olmaktadır” dedi. “Siber güvenlik araçları ise tehditlerin gerisinde kalıyor, verilerin hacmi ve artış hızı ise büyük bir baskı unsuru yaratıyor. Veri kaybı ve veri hırsızlığı ise hiç olmadığı kadar yüksek seviyelere ulaşmış durumda” diyen IBM Türk Güvenlik Ürünleri Satış Müdürü Pelin Konakçı, IBM X-Force Araştırma ve Geliştirme ekibinin tehditleri şu şekilde kategorilendirdiğini belirtti: “İş ve özel yaşamımızda yoğun olarak kullandığımız sosyal medya araçları saldırıların önemli bir hedefi haline geldi. Android cihazlarının hızlı artışı kötü amaçlı yazılımları cezbediyor. Merkezi stratejik hedefler daha büyük risk altında. Saldırganlar DDoS saldırılarını başka sistemleri ihlal için bir oyalama taktiği olarak kullanıyorlar. Veri merkezlerinde artan karmaşıklık eski açıkların tekrar saldırganlar tarafından kullanılmasına zemin hazırlıyor.”
“Daha organize tehditlerle karşı karşıyayız”
Itway VAD Türkiye Müdürü Korman Akman zaman içinde güvenlik riskleri de başkalaşım geçirdiğini şöyle açıkladı: “Örneğin eskiden virüsler, Truva atları, solucanlardan bahsederken artık çok daha gelişmiş, organize tehditler ile karşılaşıyoruz. Kurum bilgilerimizi ilgili tehditlerden koruyabilmek adına hem ağ (network) seviyesinde hem de kullanıcı tarafında ilgili zararlıları (malware) tanımak/engellemek adına birçok iyileştirme çalışması yapmamız gerekiyor. Önümüzdeki senelerde zararlı yazılımlar, APT (Advanced Persistent Threat) gibi kavramları eskisinden çok daha fazla tartışacağız.”
Zararlı mobil uygulamalar geliştirilmeye devam edecek
“2013 yılında, tehditlerin karmaşıklığı ve miktarı açısından yeni bir olgunluk seviyesiyle birlikte, mobil cihazlarla ilgili güvenlik sorunlarında da önemli bir artış görüldü” diyen Kaspersky Lab Türkiye Genel Müdürü Sertan Selçuk, şu detayları paylaştı: “Zararlı mobil uygulamaların çoğu, öncelikli olarak para ve kişisel bilgileri çalmaya yönelik gerçekleşti. Android halen bilinen zararlı yazılımların yüzde 98’inin ana hedefi olmayı sürdürüyor. Özellikle Android için zararlı uygulamaların gelişiminde yavaşlama görülmesi beklenmiyor. Şimdiye kadar, zararlı yazılımların çoğu cihazlara erişim sağlamak için tasarlanıyordu. Gelecekte, ilk büyük Android solucanının görülmesi yüksek bir olasılık olarak kabul ediliyor. Android, uygulama geliştiricileri için olduğu kadar, zararlı yazılım üreticileri için de kullanımı kolay ve geniş çapta kullanılan bir işletim sistemi olarak, siber suçlular için bütün kolaylıkları sağlıyor.”
“Tüm cihazlar güvenlik altında olmalı”
Kobil Türkiye Ülke Müdürü Ümit Yaşar Usta, cihazların güvenliğinin önemine şu sözlerle dikkat çekti: “Sayısallaşma süreci başta bankacılık ve finans olmak üzere kurum-müşteri ilişkilerini köklü bir değişime uğrattı. Müşteriler artık her an, her yerden hizmetlere ulaşmak istiyor. Tabletler, akıllı telefonlar ve mobil bilgisayarlar artık hemen her bireyin yanında, gündelik işlemleri kolaylaştırma adına önemli roller üstleniyor. Dolayısıyla söz konusu cihazların kişisel verilerin çalınması, hırsızlık ve benzeri suçlara karşı 7 gün 24 saat güvenli ve denetlenebilir olması gerekiyor. Mobil cihazların bu kadar yaygın olmadığı dönemlerde siber suçlar da çeşitlilik yönünden bugüne kıyasla daha az türe sahipti. ATM kartınız kopyalanabiliyor ya da masaüstü bilgisayarlarınızdan girdiğiniz banka internet sitelerindeki hesaplarınızdan para çalınıyordu. Oysa şimdi güvenlik altına almak zorunda olduğumuz çok daha fazla cihaz, yaptığımız daha çok işlem ve kullandığımız daha fazla teknoloji var.”

Komtera Teknoloji Müdürü Ozan Özkara, “Son yıllarda en önemsediğim konu siber savaş konusu ve bunun alt kırılımlarıdır, çünkü bu konu tüm kamusal alanları, kurumları, hükümetleri ve bireyleri kapsayan daha büyük bir evrendir” dedi ve ekledi: “Kimlik Hırsızlığı popülerliği hiç bitmemiş olan diğer konudur, sadece 2012 yılında kişisel kimlik hırsızlığı konusunda 320 milyon tekil olay gözlemlenmiştir. Ancak en önemli konu sayısallaşan bununla beraber sayısal kamusal servislerin oluşturduğu sayısal devlet durumudur. (Government 2.0) Tüm bu oluşum tekil olarak ufak ancak bir araya geldiklerinde genel bir güvenlik probleminin ana konusunu oluşturmaktadır. Tüm bu açılardan bakıldığında durum daha organize daha hedefsel, devletlerden kişilere indirgenen ve güvenlik risklerinin iç içe olduğu bir durumu ortaya koymaktadır.”
Microsoft Ortadoğu ve Afrika Kamu – Özel İşbirliği Projeleri Direktörü Buğra Karabey, Truva atları ve solucanlara dikkat çekti: “Kötücül yazılımlar (malware) bağlamında Türkiye’de en ağırlıklı görülen kategoriler Truva atları (yüzde 30) ve solucanlar (yüzde 21). Gamarue, ülkemizde en sık görülen solucan kategorisi, Obfuscator, Truva atlarında, Sality ve Ramnit de virüslerde ülkemizde en sık rastlanan kötücül yazılımlar. Bununla birlikte Phishing (yemleme) olarak adlandırılan güvenlik saldırılarında, son dönem belli bir kişiye odaklanan Harpooning (zıpkınlama) ve de önemli, anahtar kişilere odaklanan whaling (balina avcılığı) saldırılarına yönelik bir değişim olduğunu gözlemliyoruz.”
Karabey, şu sözlerle devam etti: “Yine, Advanced Persistent Threat (Odaklı Saldırılar – APT) dediğimiz kategori, ciddi uzmanlık, zaman ve kaynaklar harcanarak kurumlara veya ülkelere yönelik odaklı saldırıların icrasını gündeme getirmekte. Tüm bu gelişmelere baktığımızda, zaman içinde bilgi güvenliği risklerindeki değişimin saldırıların profesyonelliğiyle, hedefe odaklılığıyla ve harcanan emek, kaynak ve uzmanlıkla ilişkili olduğunu söyleyebiliriz. Bu konu ciddi bir endüstri halini almış durumda ve ülkeler seviyesinde ciddi bir ulusal güvenlik sorunu oluşturuyor.”
“Sayısallaşmayla beraber bir güvenlik sarmalı yaratamadık”
Eylül ayında yayınladıkları bir rapora göre, Türkiye’de siber suç mağdurlarının kişi başı mali kaybı geçen sene 54 dolarken, 2013 yılında bu rakam neredeyse 6 kat artarak 309 dolara ulaştığını belirten Symantec Bölge Satış Yöneticisi Aydın Aslantaş, siber saldırıların en çok sayısal kanallardan olduğuna dikkat çekti: “Sayısallaşmaya paralel bir güvenlik sarmalı yaratılamadı. Hal böyle olunca saldırganlar da amaçlarını en çok sayısal kanallar üzerinden gerçekleştiriyor. Örneğin Facebook, Twitter, Yahoo, Google, Amazon, American Express ve PayPal siber suçluların ana hedefleri arasında yer alıyor. Bunlar veya bir e-posta hizmeti, internet bankacılığı web sitesi veya sosyal ağ sitesi gibi bir sitenin sahte bir kopyasını yaparak kullanıcıları bu web sayfalarına yöneltmek ve tuzağa düşürmek diye tanımladığımız kimlik hırsızlığı saldırıları çok yaygın. Mobil cihazlara yapılan saldırılar ise 2011 yılından beri artış göstermeye devam ediyor. Türkiye’de kullanıcıların yüzde 30’su akıllı telefonlarında yüzde 49’u ise tabletlerinde herhangi bir güvenlik yazılımı kullanmıyorlar. Halka açık kablosuz ağ (Wi-Fi) kullanmak en çok yapılan fakat en riskli davranışlardan biri. Türkiye’de kullanıcıların yüzde 64’ü halka açık güvenli olmayan Wi-Fi ağlarını kullanıyor. Halka açık ağa bağlıyken cep telefonlarından veya tabletlerden sosyal ağlara, hatta banka hesaplarına giriş yapmak saldırganların kullanıcı adı, şifreleri ve dolayısıyla en önemli kişisel bilgilere veya şirket verilerine ulaşmalarını sağlıyor.”
“Saldırılar iş akışlarını sekteye uğratma amacında”
Trendmicro Akdeniz Bölgesi Kıdemli Satış Mühendisi ve Güvenlik Danışmanı Murat Songür, “Varlık olarak geleneksel doküman ve değerli kağıtlar kullanıldığından sayısal dünyaya yapılan saldırılar iş akışlarının sekteye uğratılması kaynaklıydı. Bir bilişim sistemini işlevsiz hale getiren ve virüs olarak tarif ettiğimiz zararlı yazılımlar aslında bu tarz zararlılardı” dedi ve ekledi: “Günümüzde bunlara ek olarak DoS tarzı servis engelleyici saldırılar da aynı kategoride sayılabilir. Verilerin silinmesi, sahte verilerin oluşturulması, var olan verilerin tahrif edilmesi ve yetkisiz kişilere bu verilerin kopyalarının eriştirilmesi gibi güvenlik sorunları günümüzde daha ön plana çıkmış durumda. Sayısal iş akışlarını engellemek, istisnai birkaç senaryo haricinde tatmin dışında bir kazanç sağlamazken, siber saldırılar ile ele geçirilen veriler yeraltı piyasasında satışa sürülerek kazanca dönüşebiliyor.”

Hedefe odaklı saldırılar en büyük tehdit

McAfee Kurumsal Müşteri Yöneticisi Alper Erbaşı, hedef odaklı saldırılara dikkat çekti: “Belirli bir hedefe yönelik, sadece odaklanan bu hedefe zarar verecek ya da bilgiyi bu hedeften çalacak zararlılardan oluşan tehditler hızla büyüyor. Tüm internete bağlı kullanıcılara yönelik jenerik bir saldırı aracı yerine, seçilmiş bir hedefin detaylı analiz edilmesi ve zafiyetlerinin belirlenerek sadece bu hedefe yönelik hazırlanmış saldırılar geliyor. Bu hedef bazen bir elektronik ticaret sitesinin kredi kartı veritabanı sistemiyken, bir başka örnekte ise önemli bir kurumun üst düzey yöneticileri ya da uzman seviyesindeki bir finans bölümü çalışanı olabiliyor. Bir tarafta hedefe yönelik tehditler, bulutta bulunan veriyi hedefleyen saldırılar ve diğer yanda da birlikte hareket ederek, birden fazla saldırı tipini karmaşık şekilde birleştirerek kullanıldığı bir tehditler bütünüyle karşı karşıya kalmış durumdayız.”
Erbaşı, saldırılarla ilgili şu detayları paylaştı: “Tehditler ağ kaynaklarını, mobil cihazları, sunucuları ve insanları eş zamanlı olarak saldırı altına alıyor. Uzun izleme ve öğrenme sürelerini içerebilen tehditler fark edilmeden yıllarca kurumların ağında saklanabiliyor. Zamanı geldiğinde eş zamanlı olarak hedeflediği kaynakların tespit ettiği ortak zafiyetini yakaladığı noktadan veri çalınmasını ya da veri kaybına neden olacak eylemi gerçekleştirecek metodları, sisteme ulaştıktan çok uzun bir süre sonra çalıştırabilecek karmaşık metodlarla ilerleyebiliyorlar.”
Erbaşı, kurumların yapması gerekenlerle ilgili ise şunları söyledi: “Artık tüm güvenlik vektörlerinin birbiriyle haberleşebilmesi, bir güvenlik çözümünün fark ettiği en ufak bir risk seviyesini diğer çözümlerle paylaşarak analiz sürecini başlatması ve bu analiz sürecinin de bir tedbir eylemini tetikleyerek sonuçlandırılması gibi oldukça karmaşık bir yapıya ihtiyaç var. Bu ihtiyaç kurumlar içerisinde güvenlik operasyon merkezleri kurulmasını, tüm güvenlik çözümlerinin bu merkezler tarafından izlenmesi ve yönetilmesini zorunlu hale getiriyor.

En yaygın saldırı yöntemi DDoS

Arbor Networks Güneydoğu Avrupa Bölge Müdürü Ivan Straneiro da DDos saldırılara dikkat çekti: “Günümüzün en yaygın saldırı yöntemi DDoS, yani bir hedefe birçok noktadan aynı anda çok yüksek miktarda trafik ve bağlantı yollanılarak, hedefin var olan kapasitesini tüketmeye yönelik saldırılardır. Günümüzde DDoS saldırıları iki şekilde yapılmaktadır: Hem uygulama katmanını, hem de var olan kapasiteleri tüketmeye yönelik olarak. Bu durumda da ancak kademeli koruma ile tam anlamıyla bir koruma sağlanabilmektedir.”

“Bilgilere en kolay elektronik ortamda ulaşılıyor”

Securist Genel Müdürü Erhan Görmen, “Şu anda hangi şartta olursa olsun, bilgilere en kolay ulaşım şekli olan ortam, elektronik ortam olarak karşımıza çıkıyor. Bu bağlamda en önemli güvenlik riski de, bilgilerimize yetkisiz kişilerin erişip ifşa olması, değiştirilmesi ya da komple ulaşılamaz hale gelmesi olarak bakabiliriz. Bu 3 özellik her varlığımız ya da hizmetimiz için göz önüne alınmalı demektir. Saldırılar iletişim ağı ile başlayıp, yazılım ile devam ettikten sonra, şu anda sosyal medya ya da mühendislik şeklinde devam ediyor” dedi.

‘Tehditler mobilden geliyor”

Eset Türkiye Teknik Müdürü Erkan Tuğral, ise mobil güvenliğe dikkat çekti: “Eset olarak dünyadaki sayısal tehditleri dikkatli izliyor ve analiz ediyoruz. Son iki yıldır da ‘geleceğin tehditleri mobilden gelecek” diyoruz. Ancak bu konudaki gelecek, geldi bile. Son iki yıldır hızla kullanımı artan tablet ve akıllı telefonlar gibi taşınabilir cihazlarda kişisel verilerin yanı sıra en az masaüstü bilgisayarlar kadar önemli şirket bilgileri yer alabiliyor. İnternet bağlantılı cep telefonu iş hayatının vazgeçilmez unsuru arasında yerini aldı. Doğal olarak siber suçlular, çoktan bu ürünleri ve bu ürünlerin ağırlıklı olarak kullandığı Android platformunu hedef almaya başladı bile. Bu alanda sürekli yeni zararlı yazılımlarla karşılaşıyoruz. Temel hedef, yine bilgisayarlara yönelik saldırılardakilerle aynı. Hackerler, giderek yaygınlaşan bu platformdaki açıkları, kendi lehlerine çevirip, şirketlerin kritik verilerine ulaşarak gelir elde etmeye çalışıyorlar.”

En büyük tehdit DDos

Labris Genel Müdür Yardımcısı Baran Erdoğan, en büyük tehditin DOS veya DDos saldırıları olduğunu belirtti: “Siber saldırılar içinde en büyük tehdit, servisi yavaşlatma veya kesmeyi hedefleyen DOS (Denial of Service) veya DDoS (Distributed Denial of Service) saldırılarıdır. DOS ve DDoS saldırılarını bu kadar kritik yapan en önemli şey ise bu saldırıları bilgi seviyesi çok düşük saldırganların dahi yapabilmesi ve bu yüzden şirketlere milyonlarca dolar kaybettirmesidir. Burada yaşanan maddi kaybın ilk göstergesi servisin bir süre kullanılamaması olsa da uzun vadede kurum ve kuruluşun prestij kaybı nedeniyle ortaya çıkan kayıp çok daha büyüktür. DOS ve DDoS saldırılarının tek hedefi ticari kurumlar da değil. Çalıştığı şirkete sinirlenen bir şirket çalışanı, hastanede fazla sıra bekleyen bir hasta yakını ya da bilgisayarını keşfetmeye çalışan bir genç de hedeflerine yönelik saldırılar gerçekleştirebiliyor. 2011 yılında yapılan bir araştırmaya göre Türkiye DDoS saldırılarında dünya genelinde ilk on ülke arasındadır. Öte yandan bu saldırılardan korunan şirket sayısı ise son derece azdır.”
Erdoğan şöyle devam etti: “Önceden bu saldırılar “sel” tipi dediğimiz çok büyük paket boyutlarında geliyordu. Bunların oranı ilgili önlemlerin operatörlerde alınmasından dolayı düştü. Artık çok daha küçük trafiklerde, belirli sistemlere, servislere hatta katman 7 de yer alan uygulamalara ve uygulamalardaki kod açıklarına odaklanmış, uzun süreli, değişken saldırılar görüyoruz. Biz DDoS saldırılarındaki tehditleri de APT(Advanced Persistent Threat) olarak adlandırıyoruz. Çünkü artık DDoS saldırılarında karşınızdaki akıllı saldırganlar sizin zayıf noktalarınızı analiz edip oraya odaklanıyor, saldırıyı bırakmıyor ve yöntemlerini değiştiriyor ve size farklı nedenlerle zarar vermeyi hedefliyor.”

Kurumlar mobil güvenlik ve bulutu esas alıyor

Kurumların bulut güvenliği ve mobil cihaz güvenliği alanlarına odaklandıklarını belirten Dataserv Bilgi Güvenliği Satış Müdürü Erdem Mengeş, “Bulut güvenliği ile ilgili yeni nesil çözümlerle verilerin saklanma, paylaşım ve iletim esnasında ayrıntılı yetkilendirme ile şifrelemesi sağlanır. Bu da kurumsal yapılarda izlenebilirlik ve raporlamanın yanı sıra verimliliğin de artmasını sağlar” dedi. Mengeşi şöyle devam etti: “Mobil cihaz güvenliği çözümleriyle kurumlara veya çalışanlara ait mobil cihazlardaki kurumsal verilerin şifrelenmesi, korunmasının yanı sıra mobil cihazların uzaktan yönetimi ve kaybolması halinde üzerindeki verilerin silinmesi de sağlanabilir. Mobil güvenlik, bulut bilişim, sanallaştırma gibi yeni kavramlar güvenliğin daha esnek sağlanabilmesi için yenilikçi fikirleri çıkarırken kurumların güvenlik maliyetlerini düşürebilecek yeni çözümler de yaratılmasını sağladı.”