12 October 2020

SİBER GÜVENLİKTE YENİ NORMAL DÖNEMİ RED TEAM İLE BAŞLADI

/media/blog/8faf9191-ccfb-46ea-a268-c6964afbcf61.jpg

Yazar: Tuğçe Çotuk

Bir önceki yazımızda siber güvenlik önlemlerinin neden şirketler için alternatif olmanın uzağında olduğundan bahsetmiştik. Yazıyı yayımlandığımızdan bu güne geçen sürede yeni veri ihlali haberleri aldık. Üstelik bu haberler dikeyde pekçok sektörden geldi. Felece olarak dünyaca kabul görmüş sızma(penetrasyon) testi metadolojilerine ek olarak yeni bir siber güvenlik argümanı ortaya koymaya karar verdik. Bu yeni yaklaşımda bilişim altyapılarına yapılan yatırımların ürün üzerine kurgulanmış olmasının artık geçerli olmadığı gerçeği olmadığı sonucuna vardık.  Yapılan yatırım stratejisinin sosyal mühendislik süreçlerinden uzakta olması ise yapılan siber güvenlik yatırımlarından günler sonra bile yeni veri ihlallerinin ortaya çıkmasına yol açtığını söyleyebiliriz.

Sosyal mühendislik nedir?

Sosyal mühendislik bir manipülasyon sanatıdır. En basit anlatımıyla, kullanıcıların güvenlik hataları yapmaları ve hassas bilgileri elde etmek için yapılan bir düşünme yaklaşımıdır. Sosyal mühendislik saldırıları bilgi toplama ile başlar. Saldırıya geçme fazı, sisteme potansiyel giriş noktaları ve zayıf güvenlik protokolleri gibi gerekli arka plan bilgilerini toplamak için amaçlanan kurbanı izlenme sürecini başlatılır. Saldırgan, kurbanın güvenini kazanmak ve hassas bilgileri ifşa etmek veya kritik kaynaklara erişim sağlamak gibi güvenlik uygulamalarını bozan sonraki eylemler için harekete geçer. Davranışsal psikoloji ile bağlantılanan sosyal mühendislik sadece siber suçlarda değil, psikoloji ve pazarlama gibi geniş bir alanda kullanılan bir eylem biçimidir.

Bu yazımızda sızma (penetrasyon) testinin insan faktörü ile başka bir dönemi ve çalışma şekline dönüşmesinden bahsedeceğiz.

 ISO 27001, KVKK, TSE, BDDK, PCI DSS standartlarına uyumluluk gibi konuların dışında şirketlerin siber saldırılara özellikle kripto para devrinin yükselişi ile çok daha kolay hedef haline geldiğini gözlemliyoruz. Bu öyle bir hal aldı ki, veri ihlalini KVKK’ya bildiren bir şirketin pazarlama adına yaptığı veri güvenirliği reklamı bile, saatler içinde bir saldırıya dönüşebiliyor.

Sızma (Penetrasyon) testinin kökeni 1960’lara dayanmaktadır. Merkezi olmayan bir tasarıma sahip olan internetin 1960’larda ortaya çıkması ve akabinde askeri iletişimde kullanılmasının ardından, güvenliğin sağlanması söz konusu olmuştur.  ABD’deki İleri Araştırma Projeleri Ajansı’nın güvenlik önlemleri üzerine politika ve teknik konuların ele alınması için iş birliği yapılmış ve konuyla ilgili bir rapor yayınlanmıştır.

Bu rapor üzerine, kurum ve kuruluşlar, bilgisayar sistemlerini etik olmayan bilgisayar korsanlıklarından veya sızmalardan korumak için bilgisayar ağları ve sistemlerinde güvenlik açıklarını bulmaya çalışan ekipler oluşturulmasının gerekliliği aktarılmıştır. Bilgisayar ağlarının saldırıya direnme yeteneğini test etmek için 1960'ların sonlarında özel askeri ekipler tarafından “Tiger Team” olarak adlandırılan takımlar kurulmuştur.  ARPA tarafından gerçekleştirilen sızma testleri sonucunda  birkaç kritik nokta ortaya çıkmıştır. Bunlardan en öne çıkanı ise, sistemlerin sızılabilir olduğu ve sistemlerde, ağlarda, donanımlarda ve yazılımlardaki güvenlik açıklarını belirlemek için sızma testi metodolojilerinin kullanılması gerekliliğini ortaya koymuştur.

(resources.infosecinstitute.com/the-history-of-penetration-testing, Erişim Tarihi: 17 Aralık 2018)

“Penetrasyon testi, bir sisteme, ağa, ekipmana ya da başka bir tesise yapılan saldırıların, sistemin ya da "hedefin" gerçek bir saldırıya ne kadar savunmasız olduğunu kanıtlamak amacıyla yapılan saldırı simülasyonudur.” ( Kevin Henry, 2012)

Sızma testi, herhangi bir bilişim sisteminin saldırgan bakış açısı ile zafiyet tespitinin yapılmasının ardından sisteme tam erişimin hedeflenmesi ile testlerin gerçekleştirilmesi ve durumun analiz edilip raporlanması işlemidir.
Saldırganlar sızma girişiminde hedef odaklı çalışırken 
Sızma testi uzmanları, bütün kapsamları denetlemekle yükümlü olup yaptıkları testleri ilgili hizmet alıcısından yasal düzlemde yetki alarak işlemlerini gerçekleştirmektedir.

Sızma testinin literatürdeki diğer isimlendirmeleri Penetrasyon Testi, Offensive Security, Ethical Hacking olarak sıralanabilir. İşte tam bu noktada dünyada siber güvenlik önlemlerinde yeni bir yaklaşım doğmuştur. Red Team.

Red Team, sızma testinin olabildiğince çok güvenlik açığı ve yapılandırma sorununu bulmaya, bunlardan yararlanmaya ve risk seviyelerini belirlemeye başlamasından sonraki insan faktörünü devreye sokar. Bu faktör ise demin yukarıda bahsettiğimiz sosyal mühendislik yaklaşımının sızma testindeki en hayati bölümünü planlanmasına olanak verir. Hacker gibi düşünmek.

Red Team hizmeti verebilmek için gerekli olan şartnameler nelerdir?

Red Team üyelerinin öncelikli şartı siber güvenlik alanındaki eğitim seviyesidir. Red Team üyelerin özellikle uluslararası bilinen markaların güvenlik açıklarını bulmuş ve bundan ödül kazanmış olmalıdırlar.

Red Team güvenlik zafiyeti testi ile bildiğimiz penetrasyon testi arasındaki farklılıklar nelerdir?

Penetrasyon testleri dünyaca kabul edilmiş pek çok metodoloji ile belirli yazılımlar yardımıyla yapılır. Red Team, güvenlik zafiyeti testleri ise bir hacker’ın gözünden şirkete dışarıdan nasıl zarar verilebileceğinin birer simülasyonu şeklinde tasarlanır. Klasik sızma testlerinin ortalama süreleri şirket ölçeğine göre değişkenlik göstermesiyle beraber ortalama 1-3 hafta sürerken, insan faktörünün işin içerisine giren Red Team testi 4- 8 hafta arasında tamamlanır.

Siber güvenliğin hızlı değişen dünyasında ortaya çıkan son güvenlik zafiyetleri elbette Red Team’in çalışma şeklini de doğrudan etkiliyor. Ortalama bir Red Team 8 ila 15 kişiden oluştuğunu düşünürsek, siber dünyaya sızan son zafiyetlerin ekip üyelerince önceden çalışılmış olması kaçınılmazdır. Devletlerin şirketlere zorunluluk olarak getirdiği yılda 1 defa penetrasyon testi kuralı ise günümüz itibariyle geçerliliğini yitirmiştir. Artık yılda 1 penetrasyon testi, şirket çalışanlarının eylemlerinin loglarının izlenmesi ( SIEM ) ve aralıklarla güvenlik zafiyeti  testlerinin yapılması ise siber güvenlik dünyasının yeni normali diyebiliriz.