Cyber Kill Chain
Cyber Kill Chain Nedir?
Aslında herbirimizin son zamanlarda sıkca duyduğu belkide zaman zaman yaşadığımız siber saldırıların bir yaşam döngüsü bulunmaktadır. Bu döngüyü anlamak buna göre kullanmış olduğumuz cihazlarda tedbirler almak kendmizi ve yakınlarımızı bu tarz atakların doğuracağı acı sonuçlardan korumamızı sağlayabilir.
Tabiki çoğumuz laptopunda veya cep telefonunda gerekli koruma yazılımlarını kullanıyordur. Burada bir parantez açıp biliçli bir kullanıcının bir antivirus’e ihtiyaç duymadan sadece windows defender gibi bir yazılım ile bile güvende olabileceğini savunanlardanım. Ama tabiki bir şirket yapısı içinde çalışıyorsak o şirketin güvenlik kurallarına uyulması sorgulanamaz.
Gelelim konumuza Cyber Kill Chain bir atak yaşandığı anda veya sistemler bir şekilde ele geçirildiğinde bunun arkaplanında bir sürecin işlemsidir. Bu süreç ile alakalı olarak aşağıdaki görsel olayı daha iyi anlamamıza yardımcı olacaktır.
Bu aşamalar Locheed-Martin firması tarafındangerçekleşen siber saldırıları analiz edebilmek amacı ile oluşturulmuştur.
Daha önce kaşılaştığım şirketlerin başına gelen bu tarz atakların temeli tamamen bu sıralamada ilerlemektedir.
Tabi şirketlerde tüm Donanım & Yazılım altyapısının güncel olması ve ilgili ekiplerce sürekli olarak denetleniyor olması çok önemli bir koruma sağlamaktadır. Sistemlerin düzenli backup’nın alınıyor olması ve bu backup sistem dışında bir yerde de tutuluyor olması olası saldırının etkilerini en az seviye’ye indirecektir. Çünkü bir siber saldırı sırasında sisteme sızan hacker ilk olarak sistemin backuplarını bloke etmeye veya yok etmeğe çalışır. Sonrasında kendi crypto yazılımı ile tüm bilgileri şifreleyerek tüm sistemi durdurur.
Burada Adımları tek tek ele almak gerekir ise,
Hacker hedefi hakkında bilgileri toplamak için Sosyal Mühendislik, Ağ tafaması, Pasif ve Aktif Bilgi toplama yöntemlerini kullanır.
Pasif Bilgi Toplama : whois sorguları, archieve.org, theHarvester, recon-ng, maltego, shodan, sosyal medya platformları tercih edilebiliyor.
Aktif Bilgi Toplama: nmap, dirb, dmitry gibi araçlar kullanılarak hedef sistem (sunucu veya sistem) ile direkt olarak iletişime geçilerek yapılan bilgi toplama yöntemidir.
Zafiyete uygun Phishing(oltalama), trojan, malware gibi kullanılabilecek payloadlar olabileceği gibi zararlı dosyalar ve dokümanlar, oltalama saldırısında kullanılabilecek sahte epostalar gibi birçok yöntem kullanılarak sızma işlemi gerçekleştirilebilir
Hazırlanan zararlının ve belirlenen yöntemle hedefe iletilmesi bu aşamadadır.Çeşitli açık kaynak kodlu yazılımlar, phishing, sosyal networkler veya tünellemeler gibi yöntemler kullanılabileceği gibi, güvenlik olarak çalışanların sosyal mühendisliklere veya phishing saldırılarına karşı farkındalıkları, çalışanların hangi donanımların kurum ağına bağlanabildiği veya bağlanamadığı konusunda bilgilendirmesi, bilinen zararlı veya şüpheli web sitelerinin erişim bloklarının kontrol edilmesi bu aşamayı önleyebilir.
Exploit hazırlanıp hedefe iletildikten sonra bu aşamada zararlı kod çalıştırılır. Bunu önlemek amacıyla yazılımlar ne sıklıkla güncellendiği , sistemdeki zafiyetlerin tespit edilmesi için güvenlik denetimleri yapılıp yapılmadığı kontrol edilebilir.
Sistemin hacklenmesinin ardından, kalıcı bir tehdit haline gelmek, güvenlik sisteminin ötesinde sistem başarılı bir şekilde kontrol edilebilmesi için hedefe asıl zararlı yazılımın indirilmesi, Yükleme aşamasının en önemli amacı, zararlı yazılımın sistemde kalacağı süreyi mümkün oldukça arttırmaktır. Zararlı yazılım kendine sistemde bir yer edinerek sisteme kurar. Böylece kontrol saldırganın eline geçer.
Sisteme yerleşmiş olan zararlının çalışması uzaktan kontrol edilebildiği ve sistemin ele geçirildiği aşamadır. Bu aşama için saldırıyı engelelyebilircek firewall ve ips‘in devrede olup olmadığı iyi konfigüre edilip edilmediği ve güvenlik cihazlarının monitör edilebiliriliği bu aşamayı aksatmak için önemli unsur taşımakta.Artık sistemde kendine yer etmiş olan zararlı yazılım sayesinde saldırgan, tünelleme gibi yöntemlerle uzaktan kontrol etmeye, sistem üzerinde veri göndermeye ve sistem hakkında daha önemli bilgileri öğrenmeye başlar. Saldırgan bu sayede arkasında bıraktığı izleri de silebilir. En yaygın erişim kanalları web, dns ve e-posta protokolleridir.
Bütün aşamaları gerçekleştiren saldırgan kuruma erişim sağlamıştır ve bu aşamada, veri çalma, veri değiştirme , veri silme , veri şifreleme, sisteme zarar verme gibi eylemleri gerçekleştirebilir. Bu süreçte tehdit altındaki verilerin yedeklerinin önceden alınması, bir sistem devre dışı kaldığında hizmet verebilecek yedek sistemin olması bu saldırının etkilerini azaltabilir.
Bazen firmalarda sistem ve güvenlik için yapılan harcamaların artması nedeniyle bazı güvenlik sistemlerin yapıya eklenmesi ertelenmektedir. Bunun sonucu tabiki zamanında yapılacak sistem güvenliğini arttıran harcamlardan kat kat fazlasına mal olmaktadır. Umarım faydalı olmuştur.
