Uzun yıllardır siber güvenlik sektöründe çalışıyorum. Bu mesleği icra ederken öğrendiğim en önemli düsturlardan biri, mesleğin icrasında her türlü olumlu ya da olumsuz varsayımı bir kenara bırakmanın zarureti oldu. Aksini acı sonuçlarla tecrübe ettiğim kadar, bir bilim insanının laboratuvardaki titizliği ile sistemlere yaklaşmanın, tüm olasılıkları üşenmeden test etmenin faydasını da bir o kadar gördüm.
Bu sahada istifade ettiğim, güvenliğin ehemmiyetine vurgu yapmak üzere kullandığım ikinci bir bakış açısı daha var ki mutlaka her fırsatta müracaat ederim: Biz evimizin bütün kapı ve pencerelerini kilitleme mecburiyetinde iken, hırsız yalnızca bir açık kapı ve pencereden içeri girebilir. Biz bütün kilitlerin güvenliğinden mesulken, hırsız bir küçük boşluktan içeriye sızar.
Ya da Murphy’nin savaş kanunlarında harikulade bir şekilde ifade edildiği gibi düşman iki koşul gerçekleştiğinde ölümcül vuruşu gerçekleştirir, kendisi hazır fakat siz hazır olmadığınızda!
Siber güvenlik terminolojisinde muhafaza etmemiz, sıkı sıkıya kapatmamız; saldırganların kötü senaryolarını üzerine bina ettiği kapılarımız saldırı yüzeyleri, yani attack surface olarak adlandırılıyor.
İyi bir güvenlik analizinin hem savunma hem de saldırı açısından en önemli aşaması da bu açık kapıların, hırsızların, saldırganların zorlayacakları kapıların hangileri olacağına karar vermek. Bu kapıların kırılarak mı yoksa başka bir yolla mı açılacağı tehdit modellemesi, threat modelling olarak adlandırıyoruz.
Bu haftanın yazısına karar verme sürecinde SOCRadar’ın 2021 yılına ait Türkiye Saldırı Yüzeyi raporunu posta kutumda buldum.*
Araştırmada özellikle dikkatimi çeken hususları bu köşede sizlerle paylaşmak istedim: Sanal dünyanın yeraltı dünyasında Türkçe forumların sayısındaki artış.
Rapora göre yeraltı forumlarında sadece Türkiye’deki kurum ve kuruluşlardan çalındığı iddia edilen verilerin satışı yapılmıyor. Üstelik buradaki pazarlık vb. süreçler de her gün daha fazla Türkçe olarak yapılıyor. Bu daha fazla yerli tehdit aktörü demek. Bu tehdit aktörlerinin değişik motivasyonları olabilir. Bu motivasyonların neler olduğunun tespiti, buna dair önlem alınıp politikalar geliştirilmesi bu yazının kapsamını aşıyor.
Rapora göre “Türkçe paylaşımların bulunduğu yeraltı bilgisayar korsanlığı/dolandırıcılık forumları, siber tehdit unsurlarının anonim olarak yeni kişilerle iletişim kurmaları ve reklam vermeleri için olanak sağlıyor. Tehdit aktörleri, bu forumlar ve mesajlaşma uygulamaları aracılığıyla kimlik bilgileri doldurma dahil olmak üzere çeşitli saldırılar için bilgisayar korsanlığı araçlarını değiş tokuş ve takas etme imkanı buluyor.”
Rakiplerin işlerini aksatmak için hizmet kesintisi (DoS) saldırıları, kredi kartı kopyalama yazılımları, Türk vatandaşlarına ait olduğu iddia edilen kişisel bilgiler bu yeraltı forumlarında, kanallarında alınıp, satılan hizmetlerden.
Yine rapora göre “E-Ticaret, Bankacılık & Finans ve Sigortacılık, Türkiye’de siber tehditlerden en çok etkilenen sektörler arasında yer alıyor.”
SOCRadar’ın 16 sayfalık tehdit raporu araştırmaya konu olan yeraltı forumlarındaki mesajlardan ekran görüntüleri de dahil olmak üzere, saldırı yüzeyi değerlendirmelerine kanıt oluşturacak pek çok veri içeriyor.
Ücretsiz olarak yayınlanan bu tarz araştırmalardan istifade etmek, kapatmamız, güvenli kılmamız gereken kapıların farkında olmamızı sağlayabilir.
Kapatmamız, güvenli hale getirmemiz gereken kapıların tespiti önemli bir adım. Sonraki kritik adım ise bu kapıları güvenli hale getirmek bu güvenliği belirli aralıklarla yeni testlere tabi tutup, sağlamlığını sınamak.
(*) https://socradar.io/wp-content/uploads/2022/02/2021-Turkey-Threat-Landscape-Report-TR-2.pdf
