Wednesday, July 8, 2020

Hacker Psikolojisi: Kim Sizi Neden Hacklemeye Çalışır?

Radore’nin CEO’su ve sektörün duayenlerinden Barbaros Özdemir’le LinkedIn’de siber saldırganların motivasyonları hakkında kısa bir yazışmamız oldu. Konu birkaç satıra sığdırılamayacak kadar çetrefilli olduğu için ayrıca bir yazı yazmakta fayda gördüm.  


 Saldırgan motivasyonunu anlamak siber güvenlik duruşumuzu doğrudan etkileyecektir. Daha doğrusu etkilemelidir… Saldırganı düşünmeden savunmayla ilgili bir karar alıyorsak büyük ihtimalle yanlış karardır. Kendilerini yapılan her saldırının doğrudan hedefi olarak görenden “bize kim niye saldırsın?” diyene kadar geniş bir yelpazede kuruluşla çalışma fırsatım oldu. Siber güvenlik yatırımı planlarken saldırgandan yola çıkarak bir planlama yapmak karşılaşmanız muhtemel siber saldırıları doğru öngörmenizi sağlayacağı için yatırım getirisi (frenklerin Return on Investment – ROI dedikleri) en yüksek kararları vermenize imkân sağlıyor. 

Bu noktada önerdiğimiz hizmetler tehdit modellemesi, sızma testi ve MITRE ATT&CK saldırı simülasyonları oluyor. 

Siber saldırganların motivasyonlarına bakacak olursak, Varonis tarafından yayımlanan bir araştırma sonucuna göre saldırıların %90’ı maddi kazanç ve casusluk amacıyla yapılıyor. Şirket olarak son 12 ayda olay müdahalesi desteği verdiğimiz kuruluşların tamamında saldırılar maddi kazanç elde etmeyi amaçlıyordu. Online alışveriş siteniz olmasa veya kredi kartı bilgisi tutmasanız bile Business E-mail Compromise veya fidye yazılım saldırıların hedefi olabilirsiniz. Bu durumda saldırgan yine parasını kazanmış olur.
Sektörde yaygın olarak kabul edilen saldırgan motivasyonlarına bakacak olursak karşımıza aşağıdakiler çıkacaktır;

A.   Maddi kazanç: Saldırgan para kazanmayı amaçlar
B.   Siyasi/ideolojik: Saldırgan belli bir ideolojiyi yaymak/duyurmak için veya bu ideolojinin çıkarlarına hizmet etmek için eylem düzenler.
C.   Duygusal/Kişisel: Saldırgan kişisel sebeplerden veya kişisel tatmin amacıyla hareket eder.
D.   Tanıtım/Reklam: Kişisel reklamını veya bağlantısı/sempatisi olan bir grubun adını duyurmak amacıyla hareket eder. 

Saldırgan profilini çıkartmak zor bir iştir ancak bunu basitçe (bkz. sonucun doğruluğundan bir miktar ödün vermeyi gerektiriyor) yapmanın bir yolu olabilir.
Öncelikle maddi kazanç amacıyla düzenlenen saldırılara hedef olacağımızı kabul etmemiz gerekiyor. Modeli sadeleştirip her saldırgan grubuna 10 puan verebiliriz (gerçekte modeli daha gerçekçi kurguluyoruz elbette). Bir miktar marka değerimiz varsa, örneğin televizyona reklam veriyorsak veya finans, savunma sanayi, Telekom gibi kritik bir sektörde faaliyet gösteriyorsanız b grubundaki saldırganlar için de hedef olabileceğinizi düşünmeniz gerekir. İlaveten yakın zamanda işten çıkartmalar olduysa veya kuruluşunuz toplumda hassas bir konuda bir duruş sergilediyse (örn. LGBT hakları) C grubunun da ilgisini çekmiş olursunuz. Bu durumda toplam 30 puan ile geniş tabanlı ve motivasyonu yüksek saldırgan gruplarıyla mücadele etmeniz gerektiği ortadadır.
Buna karşılık küçük çaplı, suya sabuna dokunmayan, adını duyurmayan bir kuruluşsanız sadece maddi kazanç peşinde olan siber saldırganları düşünerek bazı kararlar almak mümkündür. 

Hizmet dışı bırakma saldırılarının (DoS/DDoS – Denial of Service/Distributed Denial of Service) da maddi kazanç elde etmeye imkan verdiğini görebiliyoruz. 2019 yılının ekim ayında dalga halinde ve dünyanın birçok ülkesinde kuruluşlardan DDoS saldırısı tehdidiyle para istendiğine şahit olmuştuk. DDoS saldırılarının düşük maliyetlerle kiralanabilir olması (DDoS as a Service) nedeniyle de eski çalışanlardan rakiplere kadar değişik saldırganlar tarafından intikam veya iş bozma amacıyla kullanıldığını da görüyoruz. 

Science Publishing Group tarafından psikoloji ve davranış bilimi başlığı altında 2016 yılında yayımlanan bir makalede hackerları 5 temel kişilik özelliğine göre değerlendirilmiş. Çalışmada beyaz şapkalı, siyah şapkalı ve gri şapkalı hackerlar aşağıdaki 5 kişilik özelliğine göre sınıflandırılmış;
  • Dışa dönüklük
  • Karşısındaki tarafından olumlu algılanma
  • Deneyimlere açıklık
  •  Görev bilinci
  • Duygusal istikrar



Kuruluşun siber güvenlik risk seviyesini etkileyen faktörler düşünüldüğünde; saldırganın psikolojik durumundan çok motivasyonunun (başarılı olana kadar hangi miktarda efor harcamaya hazır olduğu) ve teknik beceri düzeyinin değerlendirilmesinde fayda vardır.
Maddi çıkar amaçlı saldıran grubun heterojen yapısı gereği hem teknik olarak becerikli hem de daha temel düzeyde saldırganların bu grupta yer aldığını söyleyebiliriz. Buna karşılık siyasi/ideolojik amaçlarla hareket eden grupların önemli bir kısmının devlet destekli olması nedeniyle bu grubun teknik becerisi genel olarak daha yüksektir. 

Saldırgan motivasyonu ve teknik beceri düzeyine de ayrıca bir puan verilmesi gerekiyor.
Son olarak kuruluşunuz bünyesinde bulunan zafiyetler ve bunların istismar edilme kolaylığı risk seviyesinin belirlenmesini sağlayacaktır. Bu aşamada biz bütün çalışmayı MITRE ATT&CK çatısına yerleştirerek kuruluşun siber güvenlik duruşunda iyileştirilmesi gereken noktaları ortaya çıkartıyoruz. 

Kuruluşunuzda benzer bir çalışma yürüterek hangi noktaların zayıf kaldığı ve daha önemlisi hangi saldırgan profiline karşı daha savunmasız olduğunuzu belirleyebilirsiniz.


No comments:

Post a Comment