5. Türkiye ve Kuzey Kıbrıs Türk Cumhuriyetindeki
DDOS Saldırı örnekleri:
▪ Agustos 2012’de Hacker gruplarından olan
Anonymous Turkey grubu, THY'yi "DDoS"
yöntemini kullanarak hackledi.
http://www.milliyet.com.tr/thy-6-saatte-400-bin-lira-zarar-
etti/ekonomi/ekonomidetay/26.08.2012/1586632/default.ht
m
▪ Aralık 2015 Türkiye'ye karşı dünya literatürüne
girecek yoğun saldırı yapıldı. Detaylı Bilgi:
http://www.milliyet.com.tr/turkiye-ya-karsi-dunya-gundem-
2168806/
▪ Kuzey Kıbrıs Türk Cumhuriyetini etkiyen DDOS
saldırısıda yakın geçimişte düzenlenmiştir.
DDOS Kronolojisi:
Dünya’daki DDOS saldırı Örnekleri:
▪ 2007 Estonya DDOS Saldırısı: Bir siber savaş olarak
nitelendirlilebilir. Detaylı bilgi:
https://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia
▪ 2008 Rusya Gürcistan DDOS Saldırısı :Detaylı Bilgi :
http://www.hurriyet.com.tr/savunma-sanayii-mustesarliginin-
bagli-sirketi-siber-saldirilarin-arkasinda-rusya-olabilir-40030800
▪ 2010 Wikileaks DDoS saldırıları(Paypal, Amazon,
Visa..) Detaylı Bilgi:
http://www.theguardian.com/media/2010/dec/07/wikileaks-under-
attack-definitive-timeline
▪ 2014 Ukrayna DDOS Saldırısı : Detaylı Bilgi:
http://www.hurriyet.com.tr/savunma-sanayii-mustesarliginin-bagli-
sirketi-siber-saldirilarin-arkasinda-rusya-olabilir-40030800
▪ 2016 Rusya ve Çin kaynaklı DDoS saldırısı nedeniyle
Amerika'nın yüzde 78’e yakın bir kısmı internetsiz
kaldı, Detaylı Bilgi: http://www.cnnturk.com/bilim-
teknoloji/internet/twitter-spotify-gibi-devleri-vuran-ddos-saldirisi
6. DDOS Saldırılarına karşı ne kadar koruma altındayız ?
▪ Yapılan bir araştırmada Türkiye ve Kuzey Kıbrıs taki sistemlerin %90’nın DDOS saldırılarına
karşı dayanıksız olduğu tesbit edilmiştir.
▪ Genele bakıldığında Türkiye ve Kuzey Kıbrıs da DDOS saldırılarını engellemek adına
kurumlar farklı farklı ürünler tercih etmektedirler. Tercih edilen ürünler arasında Güvenlik
Duvaru (Firewall) %57 lik oranla birinci sırada ve Saldırı Tesbit Sistemleri (IPS) %30 luk
oranla ikinci sırada yer almaktadır.
▪ Çok düşük bir oranda da DDOS engeleme ye yönelik özel ürünler kullanılmaktadır. Bu
ürünlerin hiç biri tek başına yeterli çözüm olamamaktadır.
13. Bilgi Sızıntısını Neden Engellemek Gerekir?
▪ Stratejik gereksinimler
▪ İş gizliliği
▪ Veri gizliliği
▪ Hukuki yükümlülükler, Örn. Kişisel verilerin korunması kanunu
▪ Uluslararası bilgi güvenliği standart ve akreditasyonlarına
uyum
▪ HIPAA, GLBA, BASEL II, Sarbanes-Oxley, DSS
15. Son yıllardaki veri sızıntısı örnek vakalar:
▪ JPMorgan Chase: 2014’ün 3. çeyreğinde yapılan bir siber
saldırıda 83 milyon müşteri verisi çalındı.
▪ Anthem Sigorta: 2015’in başında şirketin IT sistemlerine
yapılan bir hedefli saldırıda 78.8 milyon müşteri verisi çalındı.
▪ Türkiye Cumhuriyeti Devleti: Kimliği belirsiz Rus hacker’lar
devlete ve birimlerine ait sunuculardan 54 milyon seçmen
vatandaşın bilgileri çaldığını duyurdu.
▪ Yahoo!: 2013 Mayıs’ta Japonya sitesinden 22 milyon
kullanıcının e-posta kullanıcı bilgileri çalındı.
▪ Kore Kredi Bürosu: 2014’ün başında şirketin bir IT çalışanının
104 milyon müşterinin bilgilerini bir USB diske atarak çaldığı
söylendi.
18. Kurumsal Önlemler:
Networkun analiz edilip gözlemlenmesi
gerekiyor. Mevcut sistemin normal
zamanda ne kadar trafik altında olduğunu
bilmek önemlidir.
Uygulamanızı çalıştırırken konfigürasyon
limitlerinizi dikkatli belirlemeniz gerekir.
Gerek duymadıkça kullanmadığınız
protokolleri (Portları) kapatmanınız sistem
sağlığı için önemli olacaktır.
Tüm Network güvenlik cihazlarınızı
(Firewall, Router, Switch, IPS, Load Balancer
vb.) güncel tutmanız gerekmektedir.
Burdaki bir güvenlik açığı DDOS atağına
açık kapı bırakabilir.
19. Kurumsal Önlemler:
Yapılan saldırılarda yetkili kullanıcı şifresi
ele geçirilerek saldırı gerçekleşmektedir. Bu
nedenle yetki kullanıcı yönetimi etkili
korunma yöntemleri arasında yer
almaktadır.
Son kullanıcı makinelerinde mutlaka uç
nokta güvenlik çözümü olması ve
güncelliğinin kontrol ediliyor olması
gerekmektedir.
Sistem üzerindeki açıklıkları kontrol
edebilmek adına bir zaafiyet kontrol
uygulaması kullanımı önerilmektedir.
20. Kurumsal Önlemler:
Sistemde tespit edilen
zaafiyetlerin giderilebilmesi adına
bir yama yükleme uygulaması
kullanılması önerilmektedir
Phishing ve Spam maillerden
korunmak adına mutlaka bir
Eposta koruma çözümü
kullanılması gerekmektedir.
Özellikle Gelişmiş İnatçı Tehditlere
karşı koruma altında olmak adına
mutlaka bir ATP cihazı kullanılması
önerilmektedir.
21. Kurumsal Önlemler:
Internet Kullanımını kontrol altına
almak adına Proxy kullanımı
önerilmektedir.
Veri sızıntısını engelemek için ortamda
bir veri sızıntısı uygulaması
kullanılmalıdır.
Kullanıcıları bilgilendirmek için
farkındalık eğitimleri düzenlenmeli
22. Bireysel Önlemler:
▪ Tanımadığınız kişilerden gelen, spam olduğunu düşündüğünüz
mailleri açmayın. Bazen bu tarz mailleri sadece açmak bile
bilgisayarınıza virüsün bulaşması için yeterli olabiliyor,
▪ Tanıdığınız kişilerden gelen maillerinde de doğal olmayan bir
şeyler hissediyorsanız Bu maili açmadan önce; diğer iletişim
kanallarıyla arkadaşınızla iletişime geçerek size mail atıp
atmadığını sorabilirsiniz,
▪ İşletim sistemi güncellemerini mutlaka yükleyiniz,
▪ Bilgisayarınıza mutlaka bir antivirüs programı kurun ve belirli
aralıklarla güncelleyin,
▪ Kullandığınız yazılımların mutlaka en güncel sürümünü kullanın,
▪ Bilmediğiniz, şüpheli ve güvensiz görünen sitelerden dosya
indirmeyin.
23. Güvenlik zincirinin en zayıf
halkası insan faktörüdür.
Bilgi farkındalık demektir ve
farkındalık da eğitim ile oluşur.
Bilgi sistemlerini bir zincir gibi düşündüğümüzde bu zincirin en zayıf halkası çoğunlukla kurumun kullanıcılarıdır. Unutulmamalıdır ki bir zincir en zayıf halkası kadar sağlamdır. Güvenlik açıklıklarının çoğu kullanıcı hatalarından kaynaklanmakta, bilinçli ya da bilinçsiz olarak yapılan yanlışlar bilgi kaybına neden olmaktadır.
DDoS (Distributed Denial of Service) (Dağıtık Hizmet Engelleme) ve DOS (Denial of Service) (Hizmet Engelleme) adında da barındığı gibi hizmeti/servisi engellemeye yönelik yapılan sandırı türleridir. Hizmetin erişilebilirliğini engellemek asıl hedefleridir. DDOS ve DOS birer bilişim suçudur.
DoS/DDoS saldırılarında, sistemin kaldırabileceği yükün çok üzerinde anlık istek, anlık kullanıcı sayısı ile sistem yorulur ve cevap veremez hale getirilir. Aslında hackleme olarak da tabir edilen DDOS saldırısı tam da bu oluyor. Milyonlarca zombi makina güçlerini birleştirip tek bir hedefe doğru saldırı gerçekleştiriyorlar. Zombi makina olarak tabir edilen bilgisayarlar, yazılımcılar tarafından üretilen sanal makinalar olabileceği gibi, kişisel bilgisayarlarımıza bulaşmış trojan ve virüs benzeri programlar da olabilir.
ZARAR 400 BİN LİRAYA ULAŞTITHY yaz sezonunda internetten online olarak ortalama saatte yaklaşık 50-70 bin liralık bilet satıyor. Sitenin tam 6 saat devredışı kalmasıyla bu hesaplamaya göre zarar, 400 bin liraya ulaştı. Haberin detayı :
Phishing, “Password” (şifre) ve “Fishing” (balık avlamak) sözcüklerinin birleştirilmesiyle oluşturulan ve Türkçe’ye oltalama (yemleme) saldırısı olarak çevirilen bir internet saldırı çeşidi. Bu saldırı, genelde sanal dolandırıcılar tarafından gönderilen e-posta veya oluşturulan web sayfası yoluyla gerçekleştiriliyor.
CryptoLocker tüm Windows sürümlerini hedefleyen Eylül 2013 başlarında yayımlanan bir ransomware programdır. Bu program, RSA ve AES şifreleme yöntemlerinin karışımını kullanarak bulaştığı makinedeki dosyaları şifrelemektedir.
ABD'nin istihbarat kuruluşlarından Ulusal Güvenlik Ajansı'nın (NSA) geliştirdiği araçlarla üretildiği düşünülen ve en bilinen adı 'WannaCry' olan fidye yazılımı, aralarında Türkiye'nin ve Kuzey Kıbrıs Türk Cumhuriyeti’nin de bulunduğu 99 ülkede, binlerce bilgisayarı etkiledi.
WannaCry şu zaman kadar yapılmış en büyük atak olarak karşımıza çıkıyor. Atağın çıkış noktası yine mail yolu ile gelen ransomeware mailleri ancak bu kadar çok yayılması na neden olan SMB açlığını kullanması.
Kurumun bilişim teknolojileri ile kullandığı, işlediği ya da ürettiği verilerin bilinçli ya da bilinçsiz bir şekilde kurum dışına taşınarak, belirlenmiş “bilgi güvenliği” politikalarının ihlalidir.
SIEM üzerinde bir kullanım senaryosu oluşturmak demek, yönetilmesi gereken güvenlik tehditleri sayesinde oluşan güvenlik gereksinimlerinin kök nedenlerinin ve veri algılama kaynaklarının ilişkilendirilerek dökümante edilmesi demektir. Örnek olarak günümüz yaygın tehditlerinden olan, dosyaları şifreleyerek tekrar kullanıma açılması için fidye talep edilen Ransomware türevleri üzerinden ilerlenerek konu daha da netleştirilebilir.
Güvenlik Tehdidi: Kurumsal ağımızda bulunan önemli dosya ve dökümanlar üzerinde potansiyel risk olan Ransomware türevleri
Güvenlik Gereksinimi: Ağımızdaki güvenlik katmanlarımız Ransomware kurulumlarını ve Ransomware komuta kontrol sunucuları ile olan iletişim hareketlerini tespit etmelidir.
Gerçek hayat kullanım senaryolarını üst seviye analiz olarak nitelendirirsek, güvenlik olaylarını alt seviye analizler ve detaylar olarak görülebilir. Güvenlik olayları, gerçek hayat kullanım senaryosuna uygun belirti detaylarıdır ve kullanım senaryoları onlarca güvenlik olayını içerebilir. Yine Ransomware örneklerinden ilerlenecek olursa;
Güvenlik Olayı 1: CyrptoWall (Bir Ransomware türevi)
Tespit Gereksinimi 1: CyrptoWall binary gönderimlerinin ve CyrptoWall komuta kontrol iletişiminin tespit edilmesiGüvenlik Olayı 2: BitCrypt (Bir Ransomware türevi)
Tespit Gereksinimi 2: FAREIT Trojan binary (BitCrypt dağıtımı yapan malware mekanizması) gönderiminin ve FAREIT komuta kontrol iletişiminin tespit edilmesi
vb…
Görüldüğü üzere bir senaryo için birçok detaylı güvenlik olayı, dolayısıyla da tespit gereksinimi oluşmakta ve zararlı çeşitliliği arttıkça liste uzayıp gitmektedir.
Öncelikle kişisel bilgisayarlarınızı zombi bilgisayar olmaktan koruyarak önlem almaya başlayabilirsiniz.