Ölüm Zincirinin diğer halkaları

Ölüm zinciri konusunda en kapsamlı araştırmayı yapan şirketlerden birisi de F16, F117 ve F35 gibi uçakları üreten Lockheed Martin şirketidir.

Resim 1: Lockheed Martin tarafından üretilen F-35

Resim 2: F-35 üretiminde Türkiye de yer almaktadır

Lockheed Martin'in güvenlik olaylarına müdahale birimi tarafından kritik veya önemli ağ ve sistemlere yönelik saldırıların aşamalarını kapsayan  "Ölüm Zinciri" yaklaşımı, güvenlik ihlalinin amacına ulaşması için gerekli adımları sıralar.

Bu adımlar genellikle aşağıdakileri kapsamaktadır;
  1. Bilgi toplama: Hedef hakkında halka açık bilgilerin toplanması ve hedef sistemler hakkında bilgilere ulaşılması gibi konuları kapsayan bu adımda saldırgan hedefi yakından tanımayı amaçlamaktadır. 
  2. Silahlandırma: Başarılı bir saldırı için gerekli sızma ve arka kapı yazılımlarının hazırlanması.
  3. Teslimat: Hazırlanan saldırı ve istismar kodlarının hedefe gönderilmesi.
  4. İstismar: Saldırı kodunun çalışıtırılması, arka kapının açılması.
  5. Kurulum: Arka kapının ve uzaktan erişim sağlayan diğer yazılımların çalıştırılması.
  6. Komuta ve kontrol: Uzaktan erişim sağlanması.
  7. Hedefe yönelik eylemler: Bilgi sızdırma gibi saldırının gerçek amacının gerçekleştirilmesi.

Yukarıdaki zinciri herhangi bir yerinden kırarak saldırının başarıya ulaşmasının engellenmesi önemli bir konu ve etkili bir savunma yaklaşımıdır.

Tenable güvenlik uzmanlarının ölüm zinciri konusunda yaptıkları araştırmalar önemli bir konuya dikkat çekiyor. Araştırma sonuçlarına göre zinciri kırarak saldırının etkisini ortadan kaldırmanın çeşitli aşamalarda mümkün olmasına rağmen zincirin farklı adımlarında farklı maliyetler söz konusu.
Tahmin edeceğiniz üzere saldırıyı "istismar" seviyesinde engellemek için güvenlik duvarı ve anti virüs gibi proaktif güvenlik çözümleri yeterli olurken, "kurulum" aşamasında engellemek için ağ ve dosya izlemesi yapılıp gerekli hallerde gelişmiş teknikler kullanarak kurulumu yapılan zararlı yazılımları temizlemek gerekecektir. Saldırgan tarafından kurulan yazılımların tespit edilmesi bile başlı başına bir konu iken, bunların temizlenmesi ve temizlendiğinden emin olunması da başka uzmanlıklar gerektiren bir konudur.

Bu durumda ölüm zincirinin mümkün olduğu kadar erken bir evrede kırılması hem savunmayı kolaylaştırmakta, hem de maliyetleri (zaman, personel, uzmanlık, vb.) azaltmaktadır. Diğer taraftan zinciri birden fazla yerden kıracak önlemlerin olması da saldırının başarılı olma ihtimalini daha da azaltacaktır.

Ölüm zincirini kırmak için alınabilecek önlemler arasında en etkili olanlardan birisi zafiyet taramasıdır. İnternete dönük tek bir sunucunuz varsa, zafiyet taraması yapmak kolaydır ama birden fazla sistem varsa ve saldırılara birden fazla adımdan oluşabilecek imkanı sunan bir yapınız varsa zafiyet taraması zorlaşır. Örneğin web sunucunuzun bulunduğu bir DMZ yapısı ve internete çıkabilen istemcileriniz (kullanıcıların bilgisayarlarını düşünün) bunlar 2 önemli saldırı vektörüdür.

Ölüm zincirinin 3 önemli saldırı vektörünün olduğu ve bunları izlemenin savunmada bizlere fayda sağladığı görülmüştür:
İnternetten erişilebilen sistemler: İnternete dönük veya internet üzerinden erişilebilen sistemlerinizin nerede olduğunu bilmeniz önemlidir. Web sunucu ilk akılınıza gelen olabilir ama ağınızın içerisinde dışarıya açık bir sunucu olmadığından emin olunmalıdır.Aklınıza hemen tam sürüm bir web sunucusu gelmesin, dışarıdan güncelleme alan veya destek ekiplerinin uzaktan erişim için açtıkları küçük bir servis de olabilir.

İnternete erişebilen sistemler: İstemciler ve tarayıcıların yanında anlık mesajlaşma çözümleri (Skype, Messenger, vb.), sosyal medya uygulamaları ve hatta forex piyasalarını takip etmek için kullanılan uygulamalar da dikkate alınmalıdır.

İç ağdaki zafiyetler: Yalnızca iç ağdan erişilebilen ancak istismar edilebilir zafiyetler bulunduran sistemlere de dikkat edilmelidir. "Zafiyet var ama bu sisteme/sunucuya dışarıdan erişim yok" demek tehlikeli ve size zarar verebilecek bir varsayım olur.

Bu üç önemli konu dikkate alınarak ölüm zincirinin kopartılması mümkündür, zincirin tek bir halkasının kopması saldırıyı büyük ölçüde etkisiz hale getirirken iki veya daha fazla yerden bölmek saldırıyı tamamen etkisiz hale getirir.

Resim 3: Etkili bir zafiyet yönetimi sistemi ile karşılaşan "Ölüm Zinciri" (temsili)

Firewall ve antivirüs gibi Kurumunuzdaki mevcut güvenlik çözümleri ile birlikte basit de olsa bir zafiyet yönetimi süreci oluşturmak size önemli bir savunma hattı daha kazandıracaktır.
Zafiyet yönetimine kısaca değindiğim bir yazıma http://www.alperbasaran.com/2013/09/zafiyet-yonetimi.html adresinden ulaşabilirsiniz.

Tenable tarafından geliştirilen Security Center çözümü aşağıdaki ekranda görüldüğü üzere saldırganlar tarafından kullanılması mümkün ve muhtemel saldırı vektörlerini ortaya koyduğu için Kamu Kurumları, bankalar ve telekom şirketleri gibi stratejik öneme sahip ve büyük ağları yönetmek zorunda kalınan durumlarda faydalı olabilir.

Resim 4: Tenable Security Center ekran görüntüsü

Etkili bir zafiyet yönetimi programı oluşturmak isteyen Kamu Kurumları benimle iletişime geçebilirler.



Comments