Sıkılaştırma Tedbirleri Kapsamında Makro Güvenliği Nasıl Sağlanır?
Microsoft Office dosyalarına gömülü kötü amaçlı makrolar, analiz edilen tüm kötü amaçlı yazılım dağıtım mekanizmalarının %45'ini oluşturmaktadır. Peki, güvenlik açısından bu konuda neler yapabiliriz? Hep beraber bir göz atalım…
Siber saldırganlar, oltalama (phishing) saldırıları ile insanların e-posta ve internet kullanım alışkanlıkları üzerinden kullanıcıları aldatarak, cihazlarına enjekte ettikleri zararlı kod parçalarıyla kullanıcı bilgilerine erişip amaçları doğrultusunda kurum verilerinin şifrelenmesi/silinmesi/dışarıya sızdırılması gibi birçok zararlı sonuca sebep olabilmektedir.
Günümüzde, özellikle Microsoft Office dosyalarına gömülen kötü amaçlı makrolar yoğun olarak bu amaca hizmet etmek üzere kullanılmaktadır. Öyle ki, Cofense Intelligence tarafından 2018 yılında gerçekleştirilen analize göre, Microsoft Office dosyalarına gömülü kötü amaçlı makrolar, analiz edilen tüm kötü amaçlı yazılım dağıtım mekanizmalarının %45'ini oluşturmaktadır.
Peki faydası kadar zarar potansiyeli de barındıran makro fonksiyonu için Microsoft firmasının yaptığı tanıma bakacak olursak;
“Makrolar, tuş ve fare eylemlerinde zaman kazanmak için sık kullanılan görevleri otomatikleştirir. Pek çok makro, Visual Basic for Applications (VBA) kullanılarak oluşturulmuştur ve yazılım geliştiricileri tarafından yazılırlar. Ancak bazı makrolar olası bir güvenlik riski yaratır. Makrolar çoğunlukla virüs gibi kötü amaçlı yazılımları sessiz bir şekilde bilgisayarınıza veya kuruluş ağınıza yüklemek için kötü amaçlı kişiler tarafından kullanılır.”
açıklaması ile karşılaşmaktayız. Bilinmeyen kişilerden gelen veya şüpheli e-postaların silinmesi, bu tür e-postaların içerisinde yer alan şüpheli eklerin açılmaması ve kötü amaçlı yazılımların ASR (Attack Surface Reduction) kuralları ile engellenmesi bu kapsamda alınacak önlemlerin en başında geliyor.
Peki, makroların yarattığı güvenlik riskini azaltmak için, herhangi bir ürün ve hizmet alma imkanımızın olmadığı bir durumda, kurum bünyesinde başka neler yapılabilir ve sıkılaştırma tedbiri kapsamında nelere odaklanabiliriz? Hadi gelin bu yazımız ile makro güvenliğini sağlayabilecek sıkılaştırmaları inceleyelim:
- Kullandığınız Microsoft Office programlarında “Geliştirici” sekmesine erişen makro yazan/çalıştıran kimler var biliyor musunuz? İş ihtiyaçları doğrultusunda makro kullanması gereken personelin belirlenmesi ve bu ekibin/personelin dışında kalan herkes için makro kullanımının kısıtlanması adımların başında geliyor. Unutmayın ki saldırılar dışarıdan olduğu kadar içeriden de yapılabildiğinden “yetki kısıtlaması” en büyük önlemlerden biridir.
- Makro kullanması gereken personel için talep - onay sürecinin işletilmesi hem yetki kısıtlamasının sağlanması hem de gerekli kontrollerin tesis edilmesi noktasında görünürlük sağlayacaktır. Burada asgari olarak personelin bağlı bulunduğu yönetici ve bilgi güvenliği yöneticisi onayları ile ilerlemek sağlıklı olabilir.
- Makro kullanımını kısıtlayacak/azaltacak çalışmaların yapılması; özellikle internet ortamından edinilen bir makronun son kullanıcı tarafında kontrolsüz ve yetkisiz şekilde kullanılması sebebi ile kurum varlıklarına gelecek zararı ve güvenlik riskini azaltacaktır. Bu nedenle, makrolara bağımlılığı en aza indirecek operasyonel otomasyon çalışmalarının mümkün olduğu ölçüde yapılması ve kullanım öncesinde makroların içerik açısından değerlendirilmesi, saldırı yüzeyinin azaltılmasına kesinlikle fayda sağlayacaktır.
- Makroların yalnızca ilgili kişiler tarafından yazılması/çalıştırılması noktasında yetki kısıtlamasını gerçekleştirmek ve kontrolsüzce makro kullanımının önüne geçmek özellikle iç tehdit faktörlerini kontrol altında tutacaktır. Ancak, kurum dışından gelen e-postalar ya da internet ortamından indirdiğimiz dokümanlar da dış tehdit unsuru olarak güvenliğimizi tehlikeye atmaktadır. Bu nedenle, makro kullanımına ilişkin kısıtlamalar sağlayabilir, güvenilir olmayan makro kullanımını engelleyebilir ve yalnızca dijital olarak imzalanmış makro kullanımına müsade edebilirsiniz.
- Son olarak bildiğiniz gibi, günümüz dünyasında özellikle de oltalama saldırılarına karşı en iyi savunma yöntemimiz personel farkındalık seviyesinin yükseltilmesidir. Bu çerçevede, bilgi güvenliği farkındalık çalışmaları kapsamında oltalama saldırıları konusuna değinilirken, personel tarafından kontrolsüzce makro kullanımının neden olabileceği güvenlik risklerini vurgulayarak makrolu Microsoft Office dokümanlarına şüpheyle yaklaşılması gerektiğini belirten bilgilendirmeler ile personel farkındalığı büyük ölçüde sağlanabilecektir. Bu bilgilendirmelerde bir Microsoft Office dokümanının makro içerip içermediğinin nasıl anlaşılabileceğine dair yöntemlerin de yer alması faydalı olacaktır.
“Kurumsal makro güvenliği” konusunda gerçekten keyif alarak yazdığım bu yazı ile umarım siz okuyucuma bir parça fayda sağlayabilmişimdir. Risk değerlendirme çalışmaları kapsamında detaylı şekilde ele alınması gerektiğini düşündüğüm “makro güvenliğine” ilişkin aldığınız başka önlemler var ise; sıkılaştırma tedbirleri kapsamında paylaşımlarınızı yazıya eklemekten memnuniyet duyarım.
Bir sonraki yazıda görüşmek dileğiyle,
Güvenlik sizinle olsun!
Sevgiler,
Meltem Yapar
