Verizon Bilgi Güvenliği Olayları Raporu

Amerikalı telekomünikasyon firması Verizon her sene “Verizon Data Breach Report” adlı bir çalışma yayınlar ve bilgi güvenliği konusunda bir önceki senenin kapsamlı bir analizini yapar.

“Verizon 2014 Data Breach Investigations Report” (DBIR) adıyla yayınlanan rapor dünya genelinde 95 ülke, 50 kuruluş, 63.000’den fazla bilgi güvenliği ihlali ve 1.300’den fazla teyit edilmiş veri sızdırma olayını ele almıştır.

Otelcilik, tarım, inşaat, eğitim, sağlık kuruluşları, kamu kurumları, lojistik şirketleri hatta madencilik firmalarını da kapsayan bu araştırma sonuçları bize dünya genelinde bilgi güvenliği seviyesi hakkında bilgi verdiği için, genel kültür amacıyla da olsa gözden geçirilmesinde fayda var.




DBIR bu sene, aralarında Türkiye’nin de bulunduğu 95 farklı ülkeden güvenlik olaylarını ele almış ve bu sayede dünyanın coğrafi bölgelerinin tümünü kapsar hale gelmiştir.

Toplamda 63.437 olayın ele alındığı raporda 1.367 vakada veri kaybı yaşanmıştır.

Bu senenin raporu aynı zamanda son 10 yıla ilişkin siber saldırı trendlerini de içermektedir.  Bu saldırı trendlerinin raporu oluşturan kurumla veri paylaşan şirketlerin paylaştığı verilerden derlendiğini hatırlamakta fayda var. Bu nedenle genel trend verilerinde bazı “anlamsız” sapmalar görülebildiği için raporun genel “trendler” kısmı ana çok bilimsel gelmiyor. Örneğin aşağıdaki grafikte 2012 yılında görülen ani düşüş perakende sektörüne ilişkin verilerin eksikliğinden kaynaklanmaktadır.

Aşağıdaki grafikte veri kaybına neden olan olayların saldırgan türlerine göre dağılımını görüyoruz.  Saldırganlar temelde “Internal” (iç saldırgan), “Partner” (iş yapılan ortak) ve “External” (dış saldırgan) olmak üzere 3 türe ayrılmıştır.


 Resim 1: Saldırgan türlerinin dağılımı

  
Görüldüğü üzere 2006-2008 yıllarına kadar birbirine yakın olan saldırgan türlerinin dağılımı, özellikle 2009 yılından sonra “dış saldırgan” sayısında ciddi bir artış göstermektedir. Söylediğim gibi 2012 yılındaki düşüşü anlamlandırmamız yanlış olur.

Benzer şekilde aşağıdaki grafikte casusluk amacıyla yapılan saldırıların oranının artıyorken maddi beklentiyle gerçekleştirilen saldırıların sayısında gözlemlenen düşüş, casusluk saldırılarıyla ilgilenen firmalardan gelen verilerin sayısının artmasından kaynaklanmaktadır. Casusluk olaylarının daha fazla ele alınması genel saldırı türleri içerisindeki oranları hakkında bize bilgi vermeyecektir.

Resim 2: Saldırganların amaçlarının yüzdesel dağılımı

Görüldüğü üzere casusluk amacıyla yaşanan olayların oranı artarken maddi kazanç amaçlayan saldırganların sayısında bir azalma görüyoruz. Bu trendin nedeni rapora kaynak olan verilerin alındığı firmaların uzmanlık alanıdır, dikkatli şekilde ele almamız gereken bir sonuçtur.

Raporun yoruma açık ve toplanan verileri sağlayan firmaların satmaya çalıştıkları ürünlerden bağımsız olarak, biraz daha “bilimsel” olan kısımda ise değerli sonuçlar var.

Saldırganlar neyin peşinde?

Resim 3: Hedef cihaza göre saldırıların dağılımı

Görüldüğü gibi sunucular (server) saldırılara en çok hedef olan cihazlardır. Verilerimizi ve uygulamalarımızı bunlarda tuttuğumuz için saldırganların bu sistemleri hedef almaları şaşırtıcı değildir. Kullanıcı cihazlarını (“User Devices” - istemciler) hedef alan saldırılar ikinci sırada gelmektedir.

Güvenlik seviyemiz artıyor mu?
Aşağıdaki resimde saldırganların gün veya daha kısa sürede sistemi ele geçirdikleri saldırıların oranını (kırmızı çizgi) görüyoruz. Bu grafikteki artış saldırganların sistemi ele geçirmek için giderek daha az zamana ihtiyaç duyduklarını göstermektedir. Mavi çizgi ise gün veya daha kısa zaman biriminde tespit edilen olayları göstermektedir.

Resim 4: Saldırganların artan kabiliyetleri net bir biçimde görülüyor

Rapora konu olan 63.000’den fazla güvenlik ihlalinin aslında 9 ana saldırı grubuna giriyor olması bize saldırganların tercih ettikleri ve bize saldırırken (rapor iyi güzel ama derdimiz kendi ağımız korumak) kullanmaları muhtemel yöntemleri göstermektedir.

Raporun genelinde olduğu gibi “siber casusluk” başlığının dikkatli ele alınması gerektiğini tekrar hatırlatmak istiyorum. Veri kaybına neden olan saldırıların aşağıdaki dağılımlarına bakınca bizden veri çalmaya çalışacak kişilerin büyük ihtimalle web uygulamalarımızı hedef alacağını söyleyebiliriz.



 Resim 5: Veri kaybına yol açan saldırıların dağılımı

Yukarıdaki grafik bize veri kaybının yaşandığı 1.300 civarındaki olayın dağılımını vermektedir. Rapora konu 63.000 civarında güvenlik ihlalinin genel dağılımına bakacak olursak tablo değişmektedir.

Resim 5: Güvenlik olaylarının türüne göre dağılımı

Bu tabloya baktığımızda ise güvenlik ihlaline karşı önlem almamız gereken noktalar değişmektedir. Güvende olmak için kullanıcılarımızı eğitmemiz, zararlı yazılımlara ve konfigürasyon hatalarına karşı süreçler oluşturmamız ve hırsızlıklara karşı önlem almamız gerektiğini görüyoruz.

Rapor yukarıdaki saldırı vektörlerinin biraz daha detaylı olarak ele alınmasıyla devam ediyor.

SANS Enstitüsü tarafından belirlenen “kritik güvenlik kontrollerinin” aslında rapora konu olan 9 ana saldırı türünü de adreslediğini görüyoruz. Her fırsatta hatırlatmaya çalıştığım bilgi güvenliği hijyen kuralları, burada da bizi büyük dertlerden kurtaracaktır.

Özellikle üzerinde durmamız gereken kritik güvenlik kontrolleri şunlardır;

Yazılım envanterimizi tutmak: Zararlı yazılımları ve APT olarak da adlandırabileceğimiz “siber casusluk” olaylarını engellemek için.

Standart konfigürasyonlarımızın olması: Web uygulamalarını hedef alacak saldırıların uygulama platformlarında bir açık bulmalarını önlemek için.

Güvenli geliştirme alışkanlıkları: Uygulamayı geliştirirken güvenliği göz önünde bulundurmak daha sonra ortaya çıkabilecek güvenlik açıklıklarını engeller.

Düzenli yedek alma: Fiziksel kayıpları engellemek için.
Admin haklarının kısıtlanması: Admin yetkilerinin kısıtlanması bizi içeriden gelebilecek (personel veya dış saldırganın personel kaynaklarını kullanması) saldırılara karşı korur.

Kademeli güvenlik yaklaşımı: Doğru tasarlanmış ve kurulmuş bir kademeli güvenlik sistemi bizi bu raporda ele alınan saldırılara ve daha gelişmiş (ölüm zinciri, vb.) saldırılara karşı da korur.

Veri Sızdırma Engelleme: İyi çalışan bir DLP (Data Loss Prevention) çözümü saldırganların dışarıya veri sızdırmasını zorlaştıracak ve büyük ölçüde engelleyecektir.

Bunların dışında ağımız üzerinde olup biteni yakından takip etmemizi sağlayacak bir izleme sisteminin kurulması ve işletilmesi güvenlik ihlallerini zamanında tespit etmemizi sağlayacaktır. 
VLAN ayrımlarının, güncellemelerin ve yamaların zamanında yapıldığı süreçlerin oturmuş olması da “güvenlik hijyeninin” önemli bir parçasıdır.


Son olarak bir SOME (“Siber Olaylara Müdahale Ekibi”) kurulması bize olaylara zamanında ve doğru müdahale etme becerisini kazandıracak ve yaşadığımız olaylardan ders çıkartıp savunmamızı güncelleme imkanı verecektir.


Comments