İster üst düzey bir şirket yöneticisi olun, isterseniz günlük yaşam rutinleri belli bir vatandaş. Dijital çağda yüzleşmek zorunda kaldığımız siber tehditler, herkes için aynı sorunu eşit ölçüde ihtiva ediyor. Bu yazımızda Siber Saldırgan, Siber Suçlu, Hacker veya Bilgisayar Korsanı olarak bin bir çeşit adla tanımlanan kişilerinin suç potansiyellerini ve motivasyonlarını inceleyeceğiz.
Saldırgan motivasyonunu anlamak siber güvenlik duruşumuzu doğrudan etkileyecek bir etken. Saldırganı düşünmeden veya analiz etmeden siber savunmayla ilgili bir karar alıyorsak büyük ihtimalle alacağımız karar yanlış bir karar olacak. Kendilerini yapılan her saldırının doğrudan hedefi olarak görenden “bize kim niye saldırsın?” diyene kadar geniş bir yelpazede siber saldırı mağduru ile tanışmak da mümkün.
Siber güvenlik yatırımları planlanırken de saldırgandan yola çıkarak bir planlama yapmak, karşılaşmanız muhtemel siber saldırıları doğru öngörmenizi sağlayacağı için yatırım getirisi (frenklerin Return on Investment – ROI dedikleri) en yüksek kararları vermenize imkân sağlıyor.
Bu noktada önerdiğimiz hizmetler tehdit modellemesi, sızma testi ve MITRE ATT&CK saldırı simülasyonları oluyor.
Siber saldırganların motivasyonlarına bakacak olursak, Varonis tarafından yayımlanan bir araştırma sonucuna göre saldırıların %90’ı maddi kazanç ve casusluk amacıyla yapılıyor. Online alışveriş siteniz olmasa veya kredi kartı bilgisi tutmasanız bile Business E-mail Compromise veya fidye yazılım saldırıların hedefi olabilirsiniz. Bu durumda saldırgan yine parasını kazanmış olur.
Sektörde yaygın olarak kabul edilen saldırgan motivasyonlarına bakacak olursak karşımıza aşağıdakiler çıkacaktır;
- Maddi kazanç: Saldırgan para kazanmayı amaçlar
- Siyasi/ideolojik: Saldırgan belli bir ideolojiyi yaymak/duyurmak için veya bu ideolojinin çıkarlarına hizmet etmek için eylem düzenler.
- Duygusal/Kişisel: Saldırgan kişisel sebeplerden veya kişisel tatmin amacıyla hareket eder.
- Tanıtım/Reklam: Kişisel reklamını veya bağlantısı/sempatisi olan bir grubun adını duyurmak amacıyla hareket eder.
Saldırgan Profili Nasıl Çıkartılır ?
Öncelikle maddi kazanç amacıyla düzenlenen saldırılara hedef olacağımızı kabul etmemiz gerekiyor. Modeli sadeleştirip her saldırgan grubuna 10 puan verebiliriz (gerçekte modeli daha gerçekçi kurguluyoruz elbette). Bir miktar marka değerimiz varsa, örneğin televizyona reklam veriyorsak veya finans, savunma sanayi, Telekom gibi kritik bir sektörde faaliyet gösteriyorsanız B grubundaki saldırganlar için de hedef olabileceğinizi düşünmeniz gerekir. İlaveten yakın zamanda işten çıkartmalar olduysa veya kuruluşunuz toplumda hassas bir konuda bir duruş sergilediyse (örn. LGBT hakları) C grubunun da ilgisini çekmiş olursunuz. Bu durumda toplam 30 puan ile geniş tabanlı ve motivasyonu yüksek saldırgan gruplarıyla mücadele etmeniz gerektiği ortadadır.
Buna karşılık küçük çaplı, sansayona neden olacak karar ve eylemlere imza atmayan kısaca adını duyurmayan bir kuruluşsanız sadece maddi kazanç peşinde olan siber saldırganları düşünerek bazı kararlar almak mümkündür.
Hizmet dışı bırakma saldırılarının (DoS/DDoS – Denial of Service/Distributed Denial of Service) da maddi kazanç elde etmeye imkan verdiğini görebiliyoruz. 2019 yılının ekim ayında dalga halinde ve dünyanın birçok ülkesinde kuruluşlardan DDoS saldırısı tehdidiyle para istendiğine şahit olmuştuk. DDoS saldırılarının düşük maliyetlerle kiralanabilir olması (DDoS as a Service) nedeniyle de eski çalışanlardan rakiplere kadar değişik saldırganlar tarafından intikam veya iş bozma amacıyla kullanıldığını da görüyoruz.
Hackerlar Nasıl Sınıflandırılıyor ?
Science Publishing Group tarafından psikoloji ve davranış bilimi başlığı altında 2016 yılında yayımlanan bir makalede hacker’lar 5 temel kişilik özelliğine göre değerlendirilmiş. Çalışmada beyaz şapkalı, siyah şapkalı ve gri şapkalı hackerlar aşağıdaki 5 kişilik özelliğine göre sınıflandırılmış;
- Dışa dönüklük
- Karşısındaki tarafından olumlu algılanma
- Deneyimlere açıklık
- Görev bilinci
- Duygusal istikrar
Kuruluşun siber güvenlik risk seviyesini etkileyen faktörler düşünüldüğünde; saldırganın psikolojik durumundan çok motivasyonunun (başarılı olana kadar hangi miktarda efor harcamaya hazır olduğu) ve teknik beceri düzeyinin değerlendirilmesinde fayda vardır.
Maddi çıkar amaçlı saldıran grubun heterojen yapısı gereği hem teknik olarak becerikli hem de daha temel düzeyde saldırganların bu grupta yer aldığını söyleyebiliriz. Buna karşılık siyasi/ideolojik amaçlarla hareket eden grupların önemli bir kısmının devlet destekli olması nedeniyle bu grubun teknik becerisi genel olarak daha yüksektir.
Saldırgan motivasyonu ve teknik beceri düzeyine de ayrıca bir puan verilmesi gerekiyor.
Son olarak kuruluşunuz bünyesinde bulunan zafiyetler ve bunların istismar edilme kolaylığı risk seviyesinin belirlenmesini sağlayacaktır. Bu aşamada biz bütün çalışmayı MITRE ATT&CK çatısına yerleştirerek kuruluşun siber güvenlik duruşunda iyileştirilmesi gereken noktaları ortaya çıkartıyoruz.
Kuruluşunuzda benzer bir çalışma yürüterek hangi noktaların zayıf kaldığı ve daha önemlisi hangi saldırgan profiline karşı daha savunmasız olduğunuzu belirleyebilirsiniz.
İlk yorum yapan olun