Yapay Zeka (AI) ve Makine Öğrenimi (ML) teknolojileri daha yaygın hale geldikçe, siber suçlular bunları benimsemeye başlayacak ve bunları işletmelerin kullandıkları gelişmiş siber güvenlik araçlarını atlatmak için kullanacaklardır. Aynı zamanda, kurumlar ve şirketler savunmalarını desteklemek ve varlıklarını korumak için AI ve ML’yi de kucaklamak zorundadırlar. Bu, hem tehditler hem de savunmalar karmaşıklıkta suçlular ve örgütler arasında devam eden bir silahlanma yarışını da arttıracaktır. Organizasyonlar siber güvenliği desteklemek ve sofistike korsanlara karşı daha fazla koruma sunmak için AI’yı kullanmaya başlıyor. AI, saldırıları tespit etmek ve ihlallere tepki vermek için karmaşık süreçleri otomatikleştirerek yardımcı olabilmektedir. Bu uygulamalar, AI güvenlik sistemleri için konuşlandırıldıkça gittikçe daha karmaşık hale gelmektedir. Veri aldatma teknolojisi ürünleri, saldırganları proaktif olarak algılayarak ve kandırmak suretiyle gelişmiş saldırılara karşı otomatik olarak tespit, analiz ve savunma yapabilmektedir. Bu nedenle, çok akıllı güvenlik personelini, zaman içinde değişmeye ve daha akıllı olmaya devam eden uyarlamalı teknolojiyle birleştirdiğinizde, bu, çoğu siber güvenlik teknolojisinden bugüne kadar çoğunlukla bulunmayan savunuculara rekabet avantajı sağlayabilir. Öte yandan, AI, özellikle de “kötü aktörler” veya itibarsız aktörler tarafından erişim için fırsat yaratan kurumların içindeki ve dışındaki arayüzlere bağlı olduğunda da çeşitli zafiyetlere yol açabilir. Saldırganlar da AI’yı kullanmaya başlıyor ve bu sistemler saldırganlara fayda sağlayacak ciddi kararlar verebiliyor. Özellikle siber ordu kuran ülkeler, yavaş yavaş, hedefledikleri sistemleri incelemek ve öğrenmek ve savunmasızlıkları tanımlamak için kullanabilen otomatik “hacking” algoritmaları geliştirmektedirler.
Saldırganlar, yenilikçi teknolojiyle artan yöntemi teknik bilgi ve becerileri sayesinde çok büyük çevrimiçi kod depolarını ve kritik öneme sahip uygulamaları barındıran bulut veri sistemlerini giderek daha fazla hedeflemektedir. Saldırganlar suistimal etmek amacıyla şifreler, kripto anahtarları, erişim belirteçleri ve diğer hassas verileri aramaktadırlar. Kuantum bilgisayarların gelişmesiyle birlikte mevcut şifreleme algoritmalarının ki klasik bilgisayarlarda çözümlenmesi onyıllar alırken, Kuantum bilgisayarlarla çok kısa sürede çözümlenebildiği bilinmektedir. Atomun etrafında elektronların dönüş hızına göre çok hızlı çalışan bu bilgisayarların henüz ticarileşmemiş olmakla birlikte önümüzdeki on yıl içerisinde ticarileşerek yaygınlaşacağı dikkate alındığında şifreleme mekanizmalarının bertaraf edilebileceği riski de siber alandaki risklerin etki ve olasılığını arttırmaktadır. Bu da mevcut şifreleme algoritmalarının yetersiz kalmasıyla mahremiyetin ciddi bi şekilde sarsılabileceği ihtimalini güçlendirmektedir.
Siber suçlular, verileri kontrol altına almak veya rehin durumuna koyarak haksız kazanç elde etmek amacıyla “ransomware” adında özel şifreleme mekanizmaları da geliştirmektedirler. Bunun yanı sıra, saldırganlar, kripto madencilerini, kendileri için önemli bir yatırım yapmaya gerek kalmadan “cryptojaking” denilen yöntemle madencilik çabalarını arttırmak için tehlikeye girmiş sistemlerin kolektif hesaplama gücünü sömürmek için kullanabiliyorlar. Başkalarının bilgisayarlarını ve sunucularını kripto madencilik için köle olarak kullanan zararlı yazılımlar giderek artma eğilimi göstermektedir.
Siber güvenlik açısından kuşkusuz donanım yazılımdan daha az karmaşık değildir ve yazılım geliştirirken olduğu gibi donanım geliştirmede de bir takım hatalar yapılabilmektedir. Gömülü sistem donanım yamaları, yama yazılımlarından çok daha zordur ve çoğu zaman, tüm donanım sistemlerini değiştirmeden veya önemli performans kayıplarına maruz kalmadan yama yapmak mümkün olmayabilir. Bu nedenle, geliştiricilerin, güvenlik sorunlarını azaltmak için donanıma güvenmeden yazılım oluşturmayı öğrenmeleri gerekir. Bazen donanımlarda üretimde mevcut zafiyetler de bulunabilmektedir.
Tek noktalı arıza (single point of failure) sistemlerinin ve ağların korunması, tanım gereği işlevlerinin onlarsız sürdürülememesi nedeniyle derinlemesine bir savunma gerektirir. İkinci durumda, “rasyonel” bir saldırgan saldırmaya karşı caydırılacaktır. Belirlenmiş bir saldırgan tarafından daha ucuz bir şekilde ele geçirilemeyen mükemmel bir savunma ya da savunma yapılamıyorsa, kritik altyapı ile ilişkili olanlar da dahil olmak üzere yönetimine ciddi önem verilmesi gerektiği anlaşılmaktadır. Bu, bir saldırganın göreceli olarak daha savunmasız bir hedefe çarpması umuduyla diğer benzer hedefleri koruyanlara göre yeterince sağlam olan savunmaları uygulamaya çalışmakla ilgilidir. Alternatif olarak, bir savunmacı başarılı bir saldırıdan (ya da başarılı bir seri saldırılarından) kurtulmanın maliyetini aşmamak için savunma yolunda yeterince yatırım yapmaya çalışabilir.
Kurumsal bilgisayar korsanları, sosyal medya sitesi ile şirket ağı arasında paylaşılabilecek şifrelere yönelik kurumsal sosyal medya hesaplarından yararlanmayı severler. Günümüzün en kötü korsanlarının çoğu, basit bir sosyal medya korsanlığı ile başlamıştır. En hafife alınan hususta ciddi zafiyetlerin meydana gelmesi muhtemeldir. Çevrimiçi dünyamız, Facebook, Twitter, LinkedIn veya ülke çapındaki muadilleri tarafından yönetilen sosyal bir dünyadır. Sosyal medya tehditleri genellikle sahte bir arkadaş veya uygulama yükleme talebi olarak gelir. Bu isteği kabul edemeyecek kadar şanssızsanız, genellikle sosyal medya hesabınıza, sizin için pazarlık ettiğinizden daha fazla erişim vermiş olursunuz. Sadece bu yolla değil, sosyal medya ortamındaki davranışları kişiliğinizi, özel, mesleki ve siyasi tercihlerinize dair verileri içerebildiğinden dolayı pazarlanabilmekte veya aleyhinize kullanılabilmektedir. Sosyal medya tehditleriyle ilgili son kullanıcı eğitimi çok önemlidir. Ayrıca, kullanıcıların kurumsal şifrelerini başka bir yabancı web sitesiyle paylaşmamayı bildiğinden emin olunması gerekir. Daha sofistike 2FA oturumlarının kullanılması da burada yardımcı olabilir. İki faktör erişim kontrolü daha çok bildiğiniz (şifre gibi) bir şeyden sonra elinizde olan (e-imza tokeni gibi) veya olduğunuz (retina, parmak izi vb. gibi) ikincil kontrollerin kullanılmasını gerektirir.
Entelektüel mülkiyeti çalınan gelişmiş bir ısrarlı tehdit (APT) nedeniyle büyük kayıplar yaşamış pek çok şirket ve kurum örneği vardır. APT’ler genellikle sosyal olarak tasarlanmış Truva atları veya kimlik avı saldırılarını kullanarak üstünlük kazanırlar. Çok popüler bir yöntem, APT saldırganlarının çoklu çalışan e-posta adreslerine “spearphishing” olarak bilinen belirli bir yemleme kampanyası göndermesidir. Kimlik avı e-postası, en az bir çalışanın çalıştırılması için yerleştirilen bir Truva Atı içerir. İlk çalıştırma ve ilk bilgisayar devralma işleminden sonra APT saldırganları bütün bir işletmeyi birkaç saat içinde tehlikeye atabilirler. Bunu tespit etmek kolay olabilir ama temizlemek ve kurtarmak çok zordur. Bir APT’nin tespit edilmesi ve engellenmesi, özellikle belirli bir rakip karşısında zor olabilir. Bir APT, bir sunucudan büyük miktarlarda veriyi, bu sunucunun normal olarak iletişim kurmadığı başka bir bilgisayara kopyalamaya çalışır. Normalde ağ trafiği yakından takip edildiğinde anormal durumları yakalayabilmek mümkündür.
Bu yukarıda belirtilen tehdit, risk ve zafiyetler ile ilgili olarak kişiler, kurumlar ve devletler sürekli önlem almaya çalışmaktadırlar. Son zamanlarda ön plana çıkan yeni bir savunma yöntemi de saldırgan güvenlik (offensive security) olarak adlandırılmaktadır. Bu yöntemler etkin bir şekilde zararı defetmek için “en iyi savunma saldırıdır” mantığına dayanmaktadır. Çünkü tahrip kolay ancak tamir zordur. Bir kişinin tek başına bir binayı tahrip etmesiyle yüz kişinin sürekli tamir etmeye çalışması durumunda bile tahrip sürekli ve katlanılmaz olacaktır. Tahripçilerin sayı, nitelik ve motivasyon olarak sürekli önde olduğu bir ortamda tamirci güvenlik elemanlarının da bu ölçüde etkili olabilmeleri için kurumsal süreçlerin olgunlaştırılması, stratejik yönetim ve insan kaynağı kapasitelerinin geliştirilmesi ayrı önem arz etmektedir. Bu nedenle pasif tamir yapan siber koruma sistemlerinden ziyade, tahripçi saldırganların durdurulması veya saldıramaz hale getirilmesi için karşı saldırıda bulunulması bazen en iyi çözüm olarak karşımıza çıkmaktadır. Ancak bu durumda ceza hukuku, bilişim hukuku ve uluslararası hukuk gibi sınırlamalarla da karşılaşılabilmektedir.
Saldırgan güvenlik araçları genellikle bilgisayar korsanlarının kullandığı araçlardır. Korsanlar bu araçları kötü amaçlı nedenlerle kullanırken siber güvenlik uzmanları bunları güvenlik açıklarını bulmak ve önceden tedbir almak için kullanıyor. Güvenlik açığı bulunduğunda, ağın kullanımını önlemek için bir savunma devreye sokulur. Penetrasyon testi, bir sistemin veya ağın zayıf noktalarını belirlemek ve bu sayede güvenlik sistemi ve yöntemlerini güçlendirmek için kullanılır. Hiçbir zaman tam güvence olmamakla birlikte makul ölçüde ve yapılacak risk analizine göre katlanılabilir bir maliyete uygun tedbirler alınması gerekir.
Dr. Ahmet EFE, CISA-CRISC-PMP
Ankara Kalkınma Ajansı İç Denetçisi
ISACA 2018 Küresel Başarı ödül sahibi