BugHunters Companies Targets Bug Reports Blog About
TR
BugHuntersCompaniesTargetsBug ReportsBlogAbout
TRLogin Sign Up
Hacklendikten sonra ne yapmamız lazım?

Hacklendikten sonra ne yapmamız lazım?

221

Hacker saldırısına uğradığımızda ne yapmalıyız ve ne yapmamalıyız? Saldırı sırasında atılması gereken adımlar kaç kategoriye ayrılır? Saldırılardan önce hangi konular üzerine düşünüp bunlara nasıl hazırlanabiliriz?

Bu blog yazısında okuyacaklarınız:

Kurumsal saldırılar hakkında birkaç noktayı çeşitli açılardan ele alabiliriz. Teknik önlemler

  • Saldırı sonrası

  • Saldırı öncesi

İnsan kaynaklarıyla ilgili önlemler 7 basit adım

Kurumsal saldırılar hakkında birkaç noktayı çeşitli açılardan ele alabiliriz.

Teknik önlemler

  • Saldırı Sonrası:

  1. Siber bir olay gerçekleştiğinde, çoğu durumda işletmeler ne olduğundan emin olamadıkları için yanlış yöntemlerle servisi geri kazanmaya çalışırlar. Bu, durumu daha da kötüleştirir. Neden? Çünkü bu şekilde olay sonrası toplanıp analiz edilebilecek en önemli veriler, BT uzmanları tarafından yok edilir. Bu nedenle, böyle bir müdahaleden kaçınılmalıdır. Maalesef birçok durumda, önce kurumun uzmanları kendi çabalarıyla sorunu çözmeye çalışır ve ancak bundan sonra dış hizmet sağlayıcılara başvururlar. Aslında, birkaç gün geçip kritik veriler kaybolduktan sonra adli bilişim ekiplerine haber verilir.

  2. Kurum uzmanıysanız, en iyi tepki, enfekte olmuş sistemi mavi ekran durumuna getirmektir (bu işlemi gerçekleştirebilmek için hazır bir script mevcuttur). Bu işlemden sonra sistem donar ve hiçbir süreç çalışmaz. Ya da enfekte olmuş sistemi tespit etmek zor olduğunda, fiziksel ya da sanal olarak ağ bağlantısını kesmeniz önerilir. Bu, adli bilişim ekibinin belleği dump alarak içindeki önemli bilgileri kullanmasına olanak tanır

  3. Kesinlikle sistemi kapatmayın veya yeniden başlatmayın. Ancak fidye yazılımı dosyaları şifreliyorsa, bu durumda sistemi halt modunda kapatın. Bu, sabit diskin yanma olasılığını artırır, ancak dosyaların şifrelenmesinden daha iyidir.

  4. Eğer bir izleme sisteminiz yoksa veya olayın kaynağını belirleyemiyorsanız, tam tersi şekilde hareket edin. Önce internet bağlantısını kesin. Ardından kurumun kritik hizmetlerine yönelip ağ bağlantısını kesin. Daha sonra diğer önemli hizmetlere geçin ve mümkün olduğunca hizmetleri izole edin. İlk anlarda olaya dair bir bilgiye sahip değilsek, fiziksel bağlantıyı kesmek, sanal bağlantıyı kesmekten daha güvenlidir, çünkü bu durumda ağlar arasında kesinlikle bir bağlantı olmadığından emin oluruz. Mümkün olan en kısa sürede kritik depolama birimlerini ve önemli sabit diskleri devre dışı bırakın. Fidye yazılımı saldırılarında birkaç saniye bile erken harekete geçmek, yüzlerce gigabayt veriyi kurtarabilir.

  5. Dosya sunucularını ve paylaşılan dosyaları, şubeler ve diğer binalar arasındaki ağ bağlantılarını kesmek ve enfekte olduğundan emin olduğunuz sistemleri ayırmak, başlangıç aşamasında olumlu etkiye sahip yöntemlerdir.

  6. Eğer internet çıkış bant genişliğini izleyebilecek bir araç veya log kayıtlarınız varsa, olayı izlemeye (olay anından en az 6 ay öncesine kadar) dikkat edin. Mesai dışı saatlerde alışılmadık bir indirme veya yükleme görürseniz, saatini not alın.

  7. Öncelikle yedeklemelere yönelin. Yedeklemeleri ağdan fiziksel olarak ayırın. Hacker’ın tüm ekipmanlara yönetici (admin) erişimine sahip olduğunu varsayın. Saldırının kaynağını bulmak çok önemlidir. Geçmiş dönemlerde yapılan olayları veya değişiklikleri adli bilişim ekibiyle paylaşın ve tahminlerinizi diğer ekip üyeleriyle tartışın. Bu, adli bilişim ekibinin saldırının kaynağını daha hızlı bulmasına yardımcı olur

  8. Şu önemli noktayı her zaman aklınızda bulundurun: Hiçbir ağ (İntranet, kurumlar arası bağlantılar, özel ağlar dahil) tamamen güvenli değildir. Birçok durumda saldırının kaynağı iç ağ veya intranet olmuştur.

Genel olarak aşağıdaki hususlara dikkat etmelisiniz:

  • Diğer ağ bölümleriyle yalnızca beyaz liste (yalnızca izin verilenler) prensibiyle iletişim kurun.

  • Zero Trust ilkesini her zaman göz önünde bulundurun.

  • Kurum içinde USB, harici disk, CD, flash bellek ve internet erişimlerini devre dışı bırakmaya çalışın.

Yukarıdaki erişimlerin kesilmesine karşı personelin tepkilerini yönetmek için kurum içi bir konferans düzenleyin. Bu adımı neden attığınızı teknik olarak açıklayın ve riskleri vurgulayın. Bir uzmandan, çalışanlara pratik olarak bir saldırı sürecini göstermesini isteyebilirsiniz. (Bu, personelin durumun ciddiyetini görmelerine ve tehlikeyi anlamalarına yardımcı olacaktır!)

  • Saldırı Öncesi:

  1. Bugüne kadar gördüğümüz birçok kurum, dijital varlıklarının (donanımlar, ağ ekipmanları ve sunucular) merkezi bir belgesine sahip değildir. Kurumun ağ haritası, veri akış haritası ve ağ segmentasyonu bulunabilirse, genellikle eski ve güvenilir değildir. Kurumda ağ topolojisini açıklayabilecek bağımsız ve sorumlu bir kişi nadiren bulunur. Adli bilişim ekibi, genellikle birkaç uzmanın söylediklerinden bir araya getirilen bilgilerden kurumda neler olup bittiğini anlamaya çalışır. Birçok kurumda bu tür bilgilerin bile dış hizmet sağlayıcılardan sorulduğunu görüyoruz. Bu yüzden eğer kurumda bir sorumluluğunuz varsa, en kısa zamanda varlık belgelerinin, ağ segmentasyonu ve ağ bağlantıları haritalarının güncel olduğundan emin olmanızı öneririz. Bu belgelerin fiziksel kopyalarının da bulunması güven vericidir. Çünkü bazen durum o kadar kötüleşir ki, hiçbir dijital veri erişilebilir olmaz.

  2. Adli bilişim ekibine çok büyük yardım sağlayabilecek bir diğer önemli konu, ağ cihazları ve sunucuların saatlerinin senkronize olmasıdır. Eğer sunucular ve cihazlar farklı saatlerde çalışıyorsa, hemen bu saatleri senkronize edin.

  3. İnternet erişimini mümkün olduğunca kesin veya sınırlayın. Tüm erişimleri beyaz liste prensibine göre yönetin. (Yani, tanımlanmamış hiçbir erişime izin vermeyin.)

  4. Kesinlikle doğrudan ve gözetimsiz uzaktan erişim kullanmayın. Ağın güvenlik ekipmanlarında (firewall) Telnet, RDP, SSH gibi portların kapalı olduğundan emin olun. Gerekli durumlarda, bağlantıyı belirli bir IP adresine sınırlayın ve yalnızca güvenli bir VPN bağlantısıyla iç ağa erişim izni verin.

  5. Kritik varlıklarınızı ve hizmetlerinizi belirleyin ve şu soruyu yanıtlayın: Eğer bir gün tüm verileriniz ve hizmetleriniz erişilemez hale gelirse, kurumunuzun çalışmaya devam etmesi için hangi veriler hayati öneme sahiptir? Bu veriler için bir yedekleme oluşturun. Yedekleme sisteminizin çevrimdışı (offline) çalıştığından emin olun.

  6. Güncelleyin. İşletim sistemi ve yazılım güncellemelerini ertelemeyin.

İnsan Kaynaklarıyla İlgili Önlemler:

  1. Çoğu durumda, uzmanlar sorunu çözmek yerine olayları gizlemeye çalışırlar ve iş işten geçene kadar hiçbir şey yapılmaz. BT veya ağ yönetim birimi de aynı şekilde hareket etmeye devam eder. Birçok durumda, güvenlik, BT veya diğer departmanlar arasında yaşanan tartışmalar durumu daha da kötüleştirir. Hiçbir birim işbirliği yapmaz ve teknik incelemeler yerine kişisel hesaplaşmalar başlar. Bu da verilerin hatalı hale gelmesine neden olarak durumu daha karmaşık hale getirir. Hatta bir olayda, BT uzmanı, inceleme yapmak üzere gelen bir uzman ekibini fark ettiğinde, dizüstü bilgisayarını koltuğunun altına alıp kurumdan kaçmıştır! Bazı durumlarda ise, BT ekibi, kendi sorumluluklarından kaçmak için masum yükleniciyi kurban eder. Oysa, benim adli bilişim uzmanı olarak çalıştığım tüm olaylarda, yalnızca teknik kanıt ve delillere dayanarak olayın nedenlerini, hataları ve ihmalleri raporladım. Ancak birçok kez, bir yüklenici ya da tecrübesiz bir uzmanı suçlayarak kurumun olayı çözdüğüne tanık oldum. Bu da tam anlamıyla bir felakettir, büyük bir felaket

  2. Siber saldırıyla karşı karşıya kalma deneyimi, uyanıp kendimizi bir boks ringinin ortasında bulmaya benzer. Profesyonel bir rakip sağlı sollu yumruklar atarken biz sersemlemiş bir halde düşünmek ve oyunu bitirmek zorundayız. Öyle durumlar oldu ki, kurum müdürü işin stresi ve baskısı altında gözyaşlarına boğuldu. Stres yönetimi, uzman ekip için de çok önemlidir.

  3. Olay sırasında genellikle BT ofisi aşırı kalabalık olur. İlk iş, ortamı sakinleştirmek olmalıdır, böylece uzmanlar odaklanabilir. Bulduğunuz her yeni bilgiyi hızla ekip üyeleriyle paylaşın. Kurumdaki diğer çalışanların ve ziyaretçilerin telefonlarına cevap vermeyi bir kişiye bırakın. Bu durumlarda kesinlikle aceleci davranmamak gerekir.

  4. Kurumdaki diğer çalışanlara sistem kesintisi yaşandığını bildirin ve bir kişiyi, çalışanlardan bilgi toplamak ve onlara yanıt vermekle görevlendirin (Bir önceki gün en son çalışan kişi veya sistemdeki ilk bozulmayı fark eden kişiyi incelemek, olayın kaynağını belirlemeye yardımcı olabilir).

  5. DDOS/DOS saldırıları ve fidye yazılımlarının zararlı dosyalarının çalıştırılması gibi saldırılar haricinde, diğer saldırılarda saldırganın önceden sisteme erişim sağladığı kesindir. Hatta bazı fidye yazılımı saldırılarında bile saldırganın en az bir ay önce erişim sağladığı ve ardından saldırıyı titizlikle planladığı görülmüştür. Bu nedenle saldırı anında suçlu aramak yerine, önceliği daha fazla hasarı önlemeye vermek gerekir

  6. Çoğu siber olay deneyimimizde, kurum uzmanları sıklıkla sıfır gün zafiyetleri veya APT saldırıları gibi Hollywood senaryolarının peşine düşerler. Ancak gerçek şu ki, APT saldırıları genellikle iz bırakmamak ve erişimlerini sürdürmek için ellerinden geleni yaparlar. Kasten zarar verme eylemleri çok nadir görülür. Eğer zarar vermeye karar verirlerse, bunu öyle bir şekilde yaparlar ki, kurum adeta mektup göndermek için güvercin kullanmaya geri döner

7 basit adım:

  • Beyaz listeye (maksimum kısıtlama) göre güvenlik duvarı ayarlama

  • Uzaktan sisteme erişimi kısıtlama

  • Crack araçları veya crackli yazılım sürümleri kullanmama

  • EDR kullanımı ve antivirüs güncelleme

  • Şifreleri düzenli olarak değiştirme ve karmaşık şifre politikaları uygulama

  • Ağları segmentlere ayırma ve erişim yönetimi

  • Çalışanların internet erişimini kesme veya en aza indirme

Son Söz:

Eğer "hack" ve "siber güvenlik" konusuna deneyim odaklı bir bakış açısıyla yaklaşmak istiyorsak, birçok iş yerinin bu konuya ilişkin yanlış ve orantısız bir bakış açısına sahip olduğunu belirtmemiz gerekiyor. "Biz güvendeyiz" ve "Biz her şeyi biliyoruz!" şeklindeki iddialar, birçok sorunun kaynağı olabilir ve bir kurumun en büyük zafiyetidir.

Maalesef, çoğu kurumun güvenlik biriminin olmadığı gerçeğiyle karşı karşıyayız. Yani, güvenlik konusunda uzman bir kişinin olmadığı anlamına geliyor. En iyi tecrübe sahibi BT yöneticileri bu görevi derv alarak yönetmeye çalışıyorlar ancak BT yöneticileri ve BT çalışanları yoğun çalışma saatleri içerisinde bu konularla ilgilenmeleri pek mümkün değildir. Dolayısı ile BT takımları hackerların kötü niyetli davranışları hakkında çalışma yapma fırsatı bulamıyor ve bu bir felaket ve tehlike arz eder. Yani, kurumlar teknik anlamda siber güvenlikte neyle karşı karşıya kalabileceklerini anlatan BT çalışanlarına gereken yatırımı yapmıyorlar. Genellikle iyi uzmanlar, düşük maaşlar ve işlerinin öneminin anlaşılmaması nedeniyle kurumlarda çalışmayı tercih etmiyorlar.

Deneyimlerimizde karşılaştığımız baazı kurumlar firewall satın alıp düzgün yapılandırmayan veya firewall cihazını hiç kullanmayan kurumlarla karşılaştık. Bu tür organizasyonlar son derece savunmasızdır. Varlıklarını doğru bir şekilde kullanmıyorlar. Çok basit birkaç işlemle birçok felaketi önlemek mümkündür. Deneyimler ve meydana gelen siber saldırıların incelenmesi, birçok organizasyonun hacklenmesinin aslında pek zor olmadığını göstermektedir. En ulaşılabilir araçlarla, aklımıza bile gelmeyecek şekilde saldırılar gerçekleşmiştir. Örneğin, bir hacker'ın mimikatz ismini bile değiştirmeden sunucuda çalıştırdığı bir olayda, saldırının basitliği karşısında şaşırmamak elde değil.

Strecan

Strecan, eski ingilizcede avcı anlamına gelir. Biz, Strecan’da işletmelerin siber güvenlikteki endişelerini gidermek için sağlıklı bir ortamda siber güvenlik uzmanları ve beyaz şapkalı hackerlar ile buluşturup İşletmelerin, iş güvenliklerinin iyileştirilmesi konusunda bize güvenebilmeleri ve işlerini büyütme yolundaki diğer zorlukları çözmeye odaklanabilmeleri koşullarını sağlıyoruz.

Subscription

To receive latest Strecan's newsletter

Links
BugHunter
Company
Be Secure ;)© All Rights Reserved.