Son yıllarda siber güvenliğe daha fazla odaklanılmasına rağmen, veri ihlallerinin sayısı artmaya devam ediyor. İşletmeler güvenliğe daha fazla odaklandıkça (ve daha fazla harcama yaptıkça), siber suçlular da çabalarını artırıyor. Bunu özellikle Nesnelerin İnterneti cihazlarına yönelik gelişmiş kalıcı tehditler (APT'ler) alanında görüyoruz.
Günümüz siber suçlularını harekete geçiren hem finansal hem de başka türlü büyük teşvikler vardır.
Fidye yazılım paketleri Dark Web'de kolayca bulunabiliyor ve fidye yazılımlar suçlular için güçlü bir finansal motivasyon sağlıyor. Ulus-devlet tehdit aktörleri de tehdit ortamına girmiş ve siyasi amaçlı saldırılar gerçekleştirmektedir.
Bu nedenlerin yanı sıra diğer nedenlerden dolayı kötü amaçlı yazılım türlerinin sayısı artmakta ve şirketler siber savunma çabalarını artırdıkça üretilen kötü amaçlı yazılımlar daha gelişmiş hale gelmektedir.
Kötü adamlar için çok fazla teşvik olduğu için bu eğilim yakın zamanda sona erecek gibi görünmüyor.
Nesnelerin İnternetindeki Güvenlik Açıkları
Nesnelerin İnterneti (IoT), hem tüketiciler hem de işletmeler tarafından kullanılan internet özellikli cihazlar ağını ifade eder. Ağa bağlı bir kalp pilinden Nest duman dedektörüne ve sürücüsüz bir Tesla'ya kadar her şey bir IoT cihazıdır.
IoT cihazlarının popülaritesi giderek artıyor. Ne yazık ki IoT siber saldırılarının da popülaritesi artıyor. IoT saldırıları:
- Hem Dark Web'de hem de GitHub gibi kod depolarında herkese açık kod sayesinde başlamak kolaydır
- Yüksek başarı oranına sahip olmak
- Tespit edilmesi ve düzeltilmesi zor olduğundan APT'lere olanak sağlar
- Bir saldırganın bir kuruluşun ağında yer edinmesini sağlamak
- Saldırganın botnetine daha fazla cihaz eklemesine olanak tanır (botnetler DDoS saldırıları, spam gönderme vb. için kullanılabilir)
Güvenlik açıklarının sayısı genel olarak artıyor ve Nesnelerin İnterneti cihazlarına yönelik saldırılar özellikle yükselişte.
Nesnelerin İnterneti Saldırı Yüzeyleri
Saldırganlar, savunmasız IoT cihazlarını arayarak ve onları tehlikeye atmaya çalışarak işe başlar. Saldırganlar bunu toplu olarak yapabilirler. Cihazları tekrar tekrar ele geçirmeyi göze alabilirler, ancak IoT cihazlarının ele geçirilmesi için yalnızca bir kez saldırıya maruz kalması gerekir.
Daha da kötüsü, IoT cihazları genellikle hem bilinen hem de bilinmeyen bir dizi güvenlik açığına sahiptir. IoT güvenlik açıklarının sayısı artıyor ve kullanıcılar genellikle yamaları uygulamakta veya güncellemeleri zamanında yüklemekte başarısız oluyor, bu da saldırganların cihazları tehlikeye atmasını çok daha kolay hale getiriyor.
Bir başka endişe alanı da IoT cihazlarının genellikle hiç güncellenmeyen varsayılan kimlik bilgileriyle birlikte gelmesidir. Bu durum, güvenlik açıkları ve yama konusunu pratikte tartışmalı hale getirmektedir: Bir saldırgan kimlik bilgilerini kaba kuvvetle elde edebiliyorsa veya herkese açık bir listeden elde edebiliyorsa, cihaz zaten tehlikede olabilir.
IoT Gelişmiş Kalıcı Tehditlerin Bazı Özellikleri
Kaçınma Teknikleri
Gelişmiş kalıcı tehditler genellikle kod gizleme, sanal ortam tespiti ve diğer birçok yöntemle tespitten kaçmak için tasarlanmıştır.
Gizleme Teknikleri
Siber suçlular, bir sisteme bulaşan kötü amaçlı yazılımları gizleme konusunda daha iyi hale geliyor.
Kendi Kendine Yayılan
Birçok APT, bir sistemde ısrarla kalmanın yanı sıra, bulaşmak için başka sistemler de arar.
Kaynak Verimliliği
Bu, IoT APT'lerini normal bir bilgisayardaki geleneksel APT'den ayıran bir faktördür. IoT APT'leri çalışmak için ortalama bir cihazın işlem gücünün %5'inden daha azına ihtiyaç duyar ve bazen kötü amaçlı yazılım cihazın bellek kapasitesini tespit ettikten sonra kendini ayarlayacak kadar akıllıdır.
Yeni IoT Siber Ölüm Zinciri
Siber ölüm zinciri, tehdit aktörleri tarafından gerçekleştirilen bir dizi adımdır. Her adım teorik olarak siber savunmalar tarafından tespit edilebilir ve engellenebilir. Lockheed Martin APT'ler için "Siber Ölüm Zinciri "ni şu şekilde tanımlamıştır:
Ancak IoT cihazları için, öldürme zincirinde IoT APT'lerini daha da tehdit edici hale getiren ek adımlar vardır. Yeni IoT ölüm zinciri şu şekildedir:
IoT APT'leri yalnızca tek bir cihaza veya ağa bulaşmayı hedeflemez; diğer cihazlara da yayılır ve kalıcı olabilmek için kendilerini gizlerler.
IoT Savunma Stratejileri
Sistem yükseltmeleri güvenlik açıklarını yamamak için gereklidir, ancak genellikle ya mümkün değildir ya da başka nedenlerle gerçekleştirilmezler. Yama yayınlandıktan sonra, saldırganlar tersine mühendislik uygulayarak güvenlik açığından faydalanabilir ve güncellenmemiş cihazları savunmasız hale getirebilir. Ayrıca, satıcılar genellikle ürünlerinde keşfedilen tüm güvenlik açıklarını yamalamaya yetişemez veya yetişemezler.
Enfeksiyonlar ortaya çıktığında karantinaya almak olası bir çözümdür. Ancak gerçek dünyadaki kısıtlamalar nedeniyle cihazları karantinaya almak imkansız veya pratik olmayabilir. Örneğin, tehlikeye girme belirtileri gösteren ancak bina güvenliğini izlemek için gerekli olan bir güvenlik kamerasını karantinaya almak zor olabilir.
IoT APT: OPSWAT'un Önerdiği Savunma Stratejileri
IoT APT'lerini durdurmak için verilerde gizlenmiş tüm tehditleri engellemek gerekir. Yine, siber suçlular kolayca başarısız olmayı göze alabilirler, ancak siber savunmalar her zaman başarılı olmak zorundadır.
Tespit tabanlı savunmalar kötü amaçlı yazılım gizleme tekniklerine karşı savunmasızdır. Gelişmiş tehditler rastgele çalışarak ya da çalışmadan önce sanal ortamda olup olmadığını tespit ederek sandbox 'ları bile kandırabilir. Ayrıca, en iyi kötü amaçlı yazılım tespit teknolojisi bile sıfırıncı gün tehdidinin geldiğini göremeyebilir.
OPSWAT tespit tabanlı stratejileri gelişmiş tehdit önleme ile birleştirmeye inanmaktadır. Veri temizleme (CDR) teknolojimiz, bir ağa giren herhangi bir belge veya görüntüdeki tehditleri, dosyaları potansiyel olarak kötü amaçlı içerik kaldırılmış olarak etkisiz hale getirip yeniden yapılandırarak etkisiz hale getirir. Bir tehdit tespit edilsin ya da edilmesin, her dosya bu süreçten geçebilir ve geçmelidir.
Veri temizlemeden (CDR) yararlanmanın yanı sıra, IoT cihazları kullanan kuruluşlar, cihazları düzenli olarak güncelleyerek ve varsayılan oturum açma kimlik bilgilerini sıfırlayarak mümkün olduğunca en iyi güvenlik uygulamalarını takip etmelidir. Son olarak, ağ özellikli cihazlar yalnızca kesinlikle gerekliyse daha büyük internete bağlanmalıdır.
