Güvenliğimizi Tehdit Eden Siber Saldırı Yöntemleri

Kavramların iç içe geçtiği ve birbirinin yerine kullanıldığı modern dünyada siber kavramı, oldukça karmaşık bir yapıya sahip olmasının yanında bilişim ve iletişim ağlarının oluşturduğu uzayı tanımlamak için kullanılmaktadır. Güvenlik ihtiyacı kavramı ise Abraham Maslow’un insan ihtiyaç hiyerarşileri içerisinde, yeme ve barınma ihtiyacından sonra ikinci önemli basamak olarak görülmektedir.

Son yıllarda siyasi veya tamamen hobi amaçlı olduğuna inanılan, kişilerin veya kurumların zayıf yönleri kullanılarak gerçekleştiren istihbarat toplama faaliyetleri, fikri mülkiyet hırsızlığı ve farklı türlerde siber güvenlik olayı yaşanmıştır. İngiliz hükümeti, çoğunlukla siber casusluk ve fikri mülkiyet hırsızlığından kaynaklı siber saldırıların sebep olduğu zararın yıllık yaklaşık 44 milyon dolar olduğunu tahmin etmektedir.

Uluslararası Telekomünikasyon Birliği (ITU) verilerine göre 2019 yılı sonu itibarıyla dünya nüfusunun yaklaşık %53,6’sının dahil olduğu siber dünyada, bireylerin, işletmelerin, devletlerin ve siber güvenlik uzmanlarının dahi kendilerini ve kendi bilgi işlem servislerini korumalarını sağlayan pek çok yol ve eğitim bulunmaktadır. Siber saldırı tekniklerini kullanan kişiler sızdıkları bilgisayar sistemlerini değiştirilebilir, sunulan hizmeti aksatabilir, verileri silebilir veya erişilemez hale getirebilir. Bu saldırılar sonunda zarar gören kişi, işletmelere veya kamu kurumuna maddi zararları olabileceği gibi itibarının azaltılması şeklinde manevi zararları da olmaktadır. Siber saldırı tekniklerini aşağıdaki gibi sıralamak mümkündür:

 · Oltalama Saldırıları (Phishing): Oltalama saldırıları, sahte e-posta veya kopya web sitesi kullanılarak tanınmış ve güvenilir bir kurumu taklit ederek; sistemi kullanan kişilerin adını, parolasını, banka hesap numarasını veya kredi kartı numarasını ele geçirme faaliyetleridir. Bu bilgiler hassas bilgiler olarak değerlendirilir ve söz konusu eylemler adli olarak suç unsuru taşıyan aldatıcı hareketlerdir. Phishing saldırısı, Türk Ceza Hukukunda tanımlanan bir suç türüdür.

 · Kötücül Yazılım (Malware): Kötücül yazılım, bilgisayar kullanıcılarının haberi olmaksızın, kullandıkları bilgisayarlara sızmak ve bu bilgisayarlara zarar vermek amacıyla kodlanmış yazılımların genel adıdır.

· Truva Atı (Trojan): Truva atları, bilgisayarları kullanıcıların isteğinin dışında yönetmek ve bilgisayarlara dışarıdan erişim sağlamak için arka kapı açan programlardır.

· Virüs: Virüsler, en eski ve en tehlikeli kötücül yazılım olarak bilinmektedir. Nitekim bilgisayar belleğine ulaşabilen, ulaştığı zaman ise kullanılan programlara zarar veren, programları değiştiren ve en önemlisi kendi kendileri çoğaltarak tüm sistemi ele geçiren zararlı yazılımlardır.

· Solucan: Solucan, truva atına ve virüslere göre daha komplike olan zararlı yazılımdır. Solucanlar çoğunlukla e-posta yoluyla gönderilen mail ekleri, sahte internet siteleri veya doğrudan bağlı bulunan ağ ile paylaşılan dosyalarla bulaşmaktadır. Solucanlar, bir sisteme bulaştıklarında, kullanıcının başka hiçbir eylemine ihtiyaç duymadan, sistemdeki verilere ulaşır ve söz konusu verileri kullanır.

· Reklam İçerikli ve Casus Yazılımlar: Reklam içerikli (adware) ve casus yazılımlar (spyware) bilgisayar kullanıcılarının istekleri dışında, sürekli reklam içerikli mail gelmesini ve bilgisayarlara yerleştirilen yazılımlar aracılığı ile kullanıcı bilgilerinin saldırganın eline geçmesini ifade etmektedir.

· Botnet: Kullanıcısının iradesi dışında kötücül yazılım bulaşmış olan bilgisayarlar terminolojide zombi olarak da nitelendirilmektedir. Botnet, çok sayıda kötücül yazılım bulaştırılmış bilgisayarlar kümesini, “zombi ordusunu”ifade etmektedir.

· Hizmeti Engelleme (DoS/DDoS) Saldırıları: DoS/DDoS saldırılarındaki temel amaç, resmi bir kuruluşun ya da şirketin bilgi iletişim ağlarını kilitlemek ve verdiği hizmeti engellemeye çalışmaktır.

 · Sosyal Mühendislik Saldırıları: Sosyal mühendislik (social engineering), insanlar arasındaki iletişimdeki ve davranışlardaki modelleri “zafiyetler” olarak tanımlayıp, bu zafiyetlerden faydalanılarak güvenlik süreçlerini atlatma yöntemine dayanan eylemlere verilen isimdir. Sosyal mühendislikte kullanılan yöntemler olarak karşımıza hedefe güvenilir bir kaynak olduğunu hissettirmek, ortak tanıdıklar üzerinden yakınlık kurmak, özellikle iletişim araçları ile başkasını taklit etmek, gizlice zor bir durum oluşturarak yardım ediyormuş izlenimi vermek, hedef sistemin çöp olarak attığı kişisel bilgileri karıştırmak örnek olarak verilebilir.

· APT (Advanced Persistent Threat/Gelişmiş Kalıcı Tehdit) Saldırıları: APT, yetkisiz bir ağa erişildikten sonra orada tespit edilmeden erişilen ağda uzun süre kalınan saldırı çeşididir. Esas amaç verilerin çalınması ya da ele geçirilmesi değil, erişilen ağda uzun süre kalınarak bu ağa veya kuruluşa zarar vermektir.

Avrupa'da Siber Güvenlik Önlemleri

AB Komisyonu verilerine göre, son yıllarda siber tehditler hızla artış gösteriyor. Geçen yıl dünya genelinde her gün 4 binin üzerinde kişiye fidye tutarı ödeyene kadar kullanıcının bilgisayarını etkisiz hale getiren kötü niyetli yazılımlar kullanılarak siber saldırılar gerçekleştirilmiş. Avrupa'da faaliyet gösteren şirketlerin yüzde 80'inin 2016'da en az 1 siber saldırıya uğradığı, siber saldırıların ekonomik maliyetlerinin hızla arttığı belirtiliyor. 2011 yılında Almanya’da Kaspersky şirket çalışanları, bilgisayarlarda farkettikleri bir casus yazılımın kodlarını incelediklerinde elde ettikleri bilgileri basınla paylaştılar. Casus yazılımın İsrail tarafından geliştirildiği ve hedef olarak da İran’ın Nükleer Geliştirme Tesisi Natanz olduğu ve saldırının yapıldığı teknik bölümün ise büyük ölçüde zarara uğratıldığı anlaşıldı.

AB’de alınan önlemlerle birlikte atılan ilk adım, Avrupa Siber Güvenlik Ajansının (ENISA) yetkilerinin ve olaylara müdahale kapsamının genişletilmesi oluyor. Bir diğer maddede ise IoT başta olmak üzere IP adresi ile internete bağlanan her cihaz için güvenlik açıklarının kapatılarak bu cihazların zombileştirilmesinin önüne geçilmesi ve bu cihazlarla yapılan dünya çapında daha önce görülen Ddos veya başka siber ataklar için ihtimallerin azaltılması amaçlanıyor.  Yani özetle, alınan kararlar geçmiş tecrübelerden büyük dersler çıkartıp siber saldırıların yıkıcı etkisini daha en başından önünü kesmeyi hedefliyor. Siber saldırılar karşısında hukuki boşlukların etkili bir biçimde doldurulması, bu suçluların takipleri, yakalanmaları ve yargılanmalarının etkin biçimde sağlanması da alınan önlemler arasında dikkat çekiyor.

Ülkemizde Yılın 2. Siber Raporu 

Ülkemizde ise güncel nitelikte olan Eylem Planı’nın, kamuoyuyla paylaşılan stratejik amaçları şu şekildedir;

1. • Kritik Altyapıların Korunması ve Mukavemetin Artırılması
2. • Ulusal Kapasitenin Geliştirilmesi
3. • Organik Siber Güvenlik Ağı
4. • Yeni Nesil Teknolojilerin Güvenliği
5. • Siber Suçlarla Mücadele
6. • Yerli ve Milli Teknolojilerin Geliştirilmesi ve Desteklenmesi
7. • Siber Güvenliğin Milli Güvenliğe Entegrasyonu
8.  • Uluslararası İş Birliğinin Güçlendirilmesi
9. 
   

Gelecekte Bizi Hangi Siber Tehditler Bekliyor?

Fidye yazılımı ve DDoS saldırıları gibi klasik hale gelen siber saldırı çeşitlerinin yanı sıra IoT cihazlarına ve kişisel verilere yönelik tehditlerin artacağı bu tehditlere karşı yapay zeka destekli siber savunma stratejilerinin kullanılacağı tahmin ediliyor. Dünyada 500 milyondan fazla kullanıcıyı koruyan Bitdefender Antivirüs uzmanlarının, önümüzdeki senelerde bizleri bekleyen 10 siber güvenlik tahmini;

1. 1. Yapay zekanın siber güvenlikteki payı artacak. Veri güvenliği ve Wi-Fi ağlarına yönelik saldırıları engellemek adına siber güvenlik önlemlerinde yapay zekadan fazlasıyla yararlanılacak. Siber güvenlik pazarında yapay zekanın pazar payının 2026 yılına kadar 38,2 milyar doları bulacağı öngörülüyor. Pazarın büyümesinin temel itici gücü olarak ise IoT cihazlarının sayılarının artması ve siber güvenlikteki gelişmiş tehditler öne çıkıyor.
2. 2. DDoS saldırıları artış gösterecek.
3. 3. 5G teknolojisi, faydalarının yanında tehditleri de barındıracak. 
4. 4. Hedefli fidye yazılımı saldırıları devam edecek
5. 5. Kötü amaçlı yazılım saldırıları mobil cihazlara yönelecek
6. 6. Sosyal mühendislikle geliştirilen oltalama saldırıları tehdit saçacak. Kullanıcıları çeşitli tuzaklarla ağlarına çekmeyi hedefleyen hackerler, e-postalar, SMS’ler ve sosyal ağlardan çarpıcı girişimlerde bulunmaya devam ediyor. Amaçları paradan ziyade erişilmesi mümkün olmayan sistemlerden verileri almak olan hackerlerin uzun uğraşlarla gerçekleştirdiği bilgiye dayalı sosyal mühendislik çalışmaları birçok kullanıcı için ciddi tehditler saçmaya devam edecek.
7. 7. IoT cihazlarına yönelik siber saldırılar artış gösterecek. 
8. 8. Kişisel verilerin korunması kilit rol oynayacak. Avrupa’da GDPR ve Türkiye’de KVKK gibi kişisel verilerin korunmasına yönelik kanunlar, şirketlere çok fazla sorumluluk yüklüyor. Özellikle verinin işlenmesi ve korunmasında alınmayan önlemler ve karşılaşılan siber saldırılar, hem maddi açıdan hem de itibar açısından şirketleri epey zorlayacak.
9. 9. Siber sigorta yükselişe geçecek. 
10. 10. Ulusal siber güvenlik kaygıları ön plana çıkacak. 
11. 
    

Bilgi Güvenliği Eğitimi (Ethical Hacking) Nedir?

Bilgisayar korsanlarının sistemlere sızmada kullandığı yöntemlerin ve araçların detaylı ve uygulamalı bir şekilde anlatılarak proaktif güvenlik anlayışı kazandırma amaçlı bir eğitimdir. Benzeri eğitimlerden farkı eğitim içeriğinde gerçek dünyaya uygun uygulamaların kullanılması ve pratiğe önem verilmesidir.

Demo eğitime katılım formu için tıklayınız.