"Siber savaş" diyoruz ama askerimiz yok

Babam sayesinde savaş filmleri izleyerek büyüdüm. Aklınıza hemen Rambo türevleri gelmesin, bunlar genellikle ikinci dünya savaşını konu alan, strateji ve taktik yaklaşımlar içeren ve ellili yılarda çekilmiş filmlerdi. “Dirty Dozen” veya “Destination Tokyo” Pazar kahvaltılarımızda sucuklu yumurta ve taze ekmek kadar vazgeçilmezdi. Yıllar sonra bilgi güvenliği işine girdiğimde ve özellikle “siber savaş” söylemleri bu kadar moda olduktan sonra kendimi iyi günlerimde bir Alman Panzer tankı komutanı gibi, diğer günlerde ise siperde beline kadar çamura batmış olarak sabahlayan bir asker gibi hissettim. Siperde sinir bozukluğu içerisinde bekleme günlerinin daha fazla olduğunu meslektaşlarım biliyordur zaten. İşte bu nedenle İngiltere’yi ilk ziyaretimde gittiğim yerlerden birisi “War Rooms” (“savaş odaları” veya komuta merkezi) olarak adlandırılan ve İngiliz Hükümetinin savaşı yönetmek için kullandığı sığınaklar oldu. İngiliz ordularının hareketlerinin yönetilmesi dışında Alman ordusunun da sahadaki davranışlarına ilişkin bilgiler bu merkezde toplanıp değerlendiriliyordu.

“Siber savaş” benzetmesinin beni etkilememesinin ve bu tanımı özünde yanlış bulmamın nedenlerinden birisi bilgi güvenliği sektörünün ve yatırımlarının saldırı öncesi ve sonrasına yoğunlaşmasıdır. Firewall ve IPS gibi cihazlar saldırganın içeri girmesini önlemeyi amaçlarken SIEM çözümleriyle içeri girdikten sonraki davranışlarını tespit etmeye çalışıyoruz. Savaş benzetmesine dönersek; radarımız var, sınıra mayın döşemişiz ve düşmanın topraklarımıza girmesi halinde neler yaptığını gözlemleyebiliyoruz. Peki, kim savaşıyor? İşte o kısım zayıf olduğumuz kısım. Askerimiz yok.

Bu yaklaşımın günümüze kadar sorgulanmadan gelmesinin asıl nedeni siber saldırıların türleriyle ilgili. Örneğin sızma olaylarında saldırganın sızma öncesi ve sonrası eylemlerinin uzun sürmesine karşın sızmanın kendisi en fazla birkaç dakika sürmektedir. Bugün geldiğimiz noktada ise özellikle Anonymous gibi gruplar tarafından yaygın olarak kullanılan DDoS gibi saldırılarda ise durum tam tersidir. Yoğun bir hazırlık gerektirmeyen bu saldırı türünde saldırı sonrasında da genellikle bir çalışma yapılmamaktadır. Diğer saldırıların aksine saldırının yoğunluğu ve süresi etkisini belirler. Savaş benzetmesine girersek bunu yoğun bir bombardımana benzetebiliriz. Bu durumda düşmanın geldiğini görmenin bize pek faydası olmayacaktır, saldırıyı gerçekleştiği sırada yönetmek önemlidir. Fikir olması açısından; 1 ay boyunca sürecek bir DDoS saldırısının pazarlıksız liste fiyatı 1,200 A.B.D. dolarıdır. 1 ay sürecek bir DDoS da pek çok şirketin canını sıkacaktır, özellikle o bir ay boyunca ne yapılması gerektiği belli değilse. Tabii elde bu tür saldırıları yönetecek bir çözüm yoksa durum daha da kötüleşebilir. Beline kadar çamurda bekleme benzetmesi şimdi biraz daha anlamlı gelmiştir.

“Siber savaş” demeyi sevenler bunun asimetrik bir savaş olduğunu kabul edeceklerdir. Gerçek dünyada asimetrik savaşlarda iki taraf arasındaki kaynak miktarının farklı olması kast edilir, “siber savaşta” ise ilginç şekilde kaynak farkı azımsanabilmektedir. Bir tarafın sahip olduğu teknolojiye diğer taraf da kolayca sahip olabilmektedir. Saldırı için kullanılan araçlarının çoğunun ücretsiz olması bir yana, savunma için kullanılan araçların da ücretsiz veya açık kaynak muadilleri vardır. O zaman asimetri nerede? Asimetrik olan şey bilgi, tecrübe ve zamandır. Saldırgan, özellikle kafayı bir nedenle hedefe takmış saldırgan bütün gününü bu işe ayırabilirken bilgi güvenliğinde çalışanlar gün içerisinde birden fazla işle ilgilenmek zorunda kalırlar. Mesai saatlerinin belli olması ise saldırganların faydalanabilecekleri bir rutin anlamına gelir. Rutin işler fiziksel güvenlik konusunda da engellenmeye çalışılır, örneğin korunması gereken bir bürokrat her gün işe aynı yoldan götürülmez.

Savaş odası kurulurken nelere dikkat edilmesi gerektiğine veya nasıl kurulması gerektiğine bu yazıda çok detaylı girmeyeceğim ama önemli olan bazı noktaları hatırlatmakta fayda görüyorum.

Saldırganlar 7/24 çalışıyor: Sizin de savunmanızın 7/24 çalışır durumda olması şarttır. Günümüzde sistemlerin mesai saatleri dışında gerçekleşen güvenlik olayları ile ilgili SMS göndermesini sağlamak zor değildir. Bu tür çözümler düşünülmelidir.

Ateş altında: Güvenlikten sorumlu birimin ateş altında neler yapılması gerektiğiyle ilgili eğitim alması şarttır. İdeali bu konuda en az 2 defa tatbikat yaparak ekibin gerçeğe yakın saha tecrübesi edinmesini sağlamaktır.

Neler olduğunu anlamak: Güvenlikten sorumlu birimin gerçekte neler olduğunu anlayabilmesi için bazı araçlara ihtiyacı vardır. Bunlar ücretli olabileceği gibi ücretsiz araçlar da olabilir ama eğitim almaları ve belli başlı saldırı türlerini tanıyabilmeleri önemlidir.

Ne yapacağını bilmek: Özellikle DDoS gibi yönetilmesi gereken saldırı türleri için ne yapılması gerektiğinin belli olması gerekmektedir. Böylece saldırının etkisi en aza indirgenebilir.



Comments

  1. Siber Savaş, Siber Savunma vb. konular artık bundan sonra en önemli konular arasında yerini alacak. Ve belki de bir 5-10 yıl içerisinde 1 numaralı gündem maddesi olarak tüm gelişmiş milletlerin gündemine oturacak.

    Bu konuya değinmeniz iyi olmuş. Açıkçası ben de kendi blogumda (dumanlutfullah.blogspot.com) benzer konular hakkında okuduklarımı dermeyi istiyordum. Sizin yazınızı görünce tereddütsüz okudum ve istifade ettim. Teşekkür ederim.

    Tekder İstanbul İl Başkanlığı olarak Mart 2013 te bu konu hakkında geniş katılımlı Kamu'da Siber Güvenlik temalı bir Panel düzenleyeceğiz. Ülke güvenliğinde farkındalık oluşturmak adına bir adımda biz atacağız.

    Sizi de bekleriz.

    ReplyDelete

Post a Comment