Attack Vectors

How Attacks Actually Happen

Hollywood shows hackers furiously typing green code into a terminal. Reality is less glamorous. Most breaches start with one of a few common attack vectors:

Phishing: Tricking a human into clicking a link, opening an attachment, or entering credentials on a fake site. This is still the number one initial access method. Spear phishing targets a specific person with customized bait.

Malware: Software designed to damage or gain unauthorized access: ransomware encrypts your files and demands payment, trojans disguise themselves as legitimate software, and worms spread automatically across networks.

Supply Chain Attacks: Compromising a trusted vendor or software dependency. The SolarWinds attack in 2020 injected malicious code into a routine software update that was distributed to 18,000 organizations, including US government agencies.

Credential Attacks: Brute forcing passwords, credential stuffing (using leaked passwords from other breaches), or exploiting default credentials that were never changed.

Zero-Day Exploits: Attacking a vulnerability that the software vendor does not yet know about. These are rare but devastating because there is no patch available.

Threat Actors and MITRE

Who Is Behind the Attacks?

Not all attackers are the same. Security professionals categorize them by motivation & capability:

Script Kiddies: Low-skill attackers using pre-built tools. They cause real damage but are not sophisticated.

Hacktivists: Politically or socially motivated. They deface websites, leak data, or launch denial-of-service attacks to make a point.

Cybercriminals: Profit-driven. Ransomware gangs, fraud rings, and data brokers. This is organized crime adapted for the internet.

Devletler-Devlet Aktörleri (APTs): Hükümetler tarafından desteklenen Gelişmiş Sürekli Tehditler. Büyük bütçelere, özel araçlara ve yıllar ölçüsünde sabırlara sahiptirler. Casusluk, altyapı sabotajı ve fikri mülkiyet kaçakçılığı gibi kavramlara düşünebilirsiniz.

İç Saldırgenler: İşçilerin veya sözleşmeli çalışanların meşru erişimlerini kötüye kullanarak, kasıtlı olarak veya dikkatsizlik sonucu.

MITRE ATT&CK Çerçeve Sistemi

MITRE ATT&CK, gerçek dünya saldırı tekniklerini aşamalar olarak düzenleyen ve halka açık bir bilgi deposudur: ilk erişim, yürütme, süreklilik, yetki yükseltme, yatay hareket, kaçaklama ve daha fazlası. Savunucular, her aşama boyunca saldırgenin ne yaptığını anlamak için bunu kullanır ve buna uygun algılamalar oluştururlar.

Yangın duvarları, VPN'ler ve IDS/IPS

Ağ Savunma Katmanları

Ağ güvenliği, ağinize, içinden geçecek olan trafiği nasıl kontrol edeceğinizle ilgilidir. Hiçbir tek cihaz bu görevi tek başına yerine getirmez: katmanlı koruma, birden fazla kontrol katmanında çalışmayı içerir.

Yangın Duvarları: İlk savunma hattı. Yangın duvarları, trafiği inceleyerek ve kurallara göre izin vererek veya reddederek kontrol eder. Temel bir yangın duvarı, IP adresi ve porta göre filtreler. Bir sonraki nesil yangın duvarı (NGFW), trafiğin gerçek içeriğini inceleyebilir ve belirli uygulamaları tanımlayabilir.

VPN'ler (Sanal Özel Ağlar): İki nokta arasındaki trafiği şifreleyerek, güvensiz bir ağ olan genel internet üzerinde güvenli bir tünel oluşturur. Uzak çalışanlar, VPN'ler kullanarak şirket içi kaynaklara, yerindeymiş gibi erişebilirler.

Giriş İzinli/Önleme Sistemleri (IDS/IPS): Bir IDS, trafiği izler ve şüpheli bir şey görürse uyarı gönderir. Bir IPS de aynı şeyi yapar ancak trafiği otomatik olarak engelleyebilir. IDS'yi güvenlik kamerasına, IPS'yi de kapının kilidini açabilen bir güvenlik kamerasına benzetebilirsiniz.

Ağ Bölümlendirme: Bir ağı izole bölgelere bölmek için strateji. Böylece, bir bölümde bir ihlal meydana gelse bile diğerlerine kolayca yayılmaması sağlanır. Pazarlama bölümündeki bir iş istasyonunun finans bölümündeki veri tabanları'na ulaşması engellenmelidir.

Sıfır Güven ve DNS Güvenliği

Sıfır Güven Mimari

Geleneksel ağ güvenliği kalesi ve surlu modeli izlemişti: güçlü bir periferi koruması vardı, ancak içerde olduğunda güvendiğiniz kişi sayılıydınız. Bu, bir saldırganın periferi ötesine geçtiği veya periferinin evden çalışma nedeniyle ortadan kalktığı zaman felaketle sonuçlanır.

Sıfır Güven modeli, her zaman güvendiğiniz, asla güvendiğiniz modelini tersine çevirir: network'den (iç veya dış) gelen her talep, kimlik doğrulaması, yetkilendirme ve şifreleme gerektirir. Ana prensipler:

- Doğrudan doğrulama: Kimlik, konum, cihaz sağlığı, hizmet veya yük, veri sınıflandırmasına göre kimlik doğrulaması ve yetkilendirme.

- En az yetki erişimi: Kullanıcıların ve sistemlerin sadece ihtiyaç duydukları izinleri verin, sadece ihtiyaç duydukları süre boyunca.

- Saldırı varsayımı: Bir saldırganın zaten içerde olduğu şekilde sistemler tasarlayın. Herhangi bir ihlalin etkisini en aza indirin.

DNS Güvenliği

DNS, alan adlarını IP adreslerine çevirir. Saldırıcılar bu durumu birkaç şekilde istismar eder: DNS sahtekarlığı, kullanıcıları kötü niyetli sitelere yönlendirir, DNS tünelişliği, DNS sorguları içinde gizlenen veri kaçaklığını gizler ve alan kaçakçılığı, meşru bir alana sahip olmak. DNSSEC, DNS yanıtlarına kriptografik imza eklemeyi kullanarak sahtekarlığı önler.

Ekleme Saldırıları

Uygulamalar Nerede Saldırı Yüzü Olur

Ağ savunmaları mükemmele ulaşabilir, ancak uygulama itself vulnerabilities varsa, saldırgın doğrudan ana kapıdan girer.

SQL Injection: Saldrıcı, bir girdi alanına kötü niyetli SQL kodunu ekler. Eğer uygulama, kullanıcı girişini birleştirerek veri tabanı sorguları oluşturuyorsa, saldırgın veritabanını okuyabilir, değiştirebilir veya silebilir. Örnek: bir giriş formuna '' OR 1=1 -- girerse, tamamen kimlik doğrulamasını atlayabilir.

Cross-Site Scripting (XSS): Saldrıcı, diğer kullanıcıların görüntüyeceği bir web sayfasına kötü niyetli JavaScript ekler. Bir kurbanın sayfasını yüklediğinde, skrip browserında çalışır ve oturum çöplerini çalar, onları phishing sitelere yönlendirir veya sayfanın görünümünü değiştirebilir.

The OWASP Top 10: Açık Web Uygulama Güvenlik Projesi, en kritik web uygulama güvenlik risklerini içeren düzenli olarak güncellenen bir liste yayınlar. Ekleme ve XSS, on yılın üzerinde listede yer aldı. Diğer girişler arasında hatalı erişim denetimi, güvenlik yanlış yapılandırma ve güvenli tasarım yer alır.

Ekleme saldırılarının düzelmesi, sadece giriş filtresi değildir: parametreli sorgular (ayrıca hazır ifadeler olarak adlandırılır). Veri tabanı stringleri kullanıcı girişiyle oluşturmaktan kaçınarak, girişi ayrı bir parametreye geçirir ve veri tabanı bunu asla kod olarak ele alır.

Kimlik Doğrulaması ve Güvenli Geliştirme

Kimlik Doğrulaması Doğru Yöntemle

Kimlik doğrulaması, kendinizin kim olduğunu kanıtlamanızdır. Yetkilendirme, ne yapabileceğinizi belirlemendir. İki kavramı karıştırma, yaygın bir kaynak riskidir.

Mülit-Faktor Kimlik Doğrulaması (MFA): İki veya daha fazla faktörü gerektirir: bilgisini (şifre), elinde olanı (telefon veya donanım anahtarı), kimliğini (parmağı). MFA, yalnızca bir şifre çalınması durumunda büyük çoğunluğu engelleyen saldırıları bloker. MFA, bir şifre çalınması durumunda büyük çoğunluğu engelleyen saldırıları bloker.

OAuth 2.0 ve OpenID Connect: Yetkilendirme ve kimlik doğrulama için standartlar. "Google ile giriş" düğmesine bastığınızda, OAuth uygulamanızın kimliğinizi Google aracılığıyla doğrulamasına olanak tanır, ancak asla Google şifrenizi görmeyin.

Güvenli Yazılım Geliştirme Döngüsü (SDLC)

Güvenlik, geliştirme sonrası eklenemez. Güvenli SDLC, her aşamada güvenlik entegre eder:

- Dizayn: Tehlike modellemesi: neyin yanlış olabilir?

- Geliştirme: Güvenli kodlama standartları, kod gözden geçirme, statik analiz araçları

- Test: Dinamik analiz, penetrasyon testi, bulanık test

- Dağıtım: Kalkınmış yapılandırmalar, gizli bilgilerin yönetimi

- Bakım: Patching, güvenlik açığı taraması, bağımlılık güncellemeleri

Olay Yönetimi Döngüsü

Koruma Yokken

Hiçbir savunma mükemmel değildir. Bir ihlal meydana geldiğinde, hızlı ve etkili bir şekilde yanıt verme arasındaki farkı belirler.

Standart olay yanıt döngüsü altı aşamadan oluşur:

1. Hazırlık: Takım oluşturun, roller tanımlayın, playbooklar oluşturun, masaüstü egzersizleri yapın. Bu, herhangi bir olay olmadan önce gerçekleşir. Hazırlıksız bir takım, kimin neyi yapacağını belirlemeyi kritik saatler kaybeder.

2. Tespit ve Analiz: Olayın meydana geldiğini belirleyin ve kapsamını belirleyin. Bu, SIEM (Güvenlik Bilgi ve Eylem Yönetimi) sistemlerinin, ortamdan tüm logları toplamasını ve şüpheli modeller üzerinde uyarı göndermesini sağlar. SOC (Güvenlik Operasyonları Merkezi) analistleri, bu uyarları 7/24 triaj yapar.

3. Kontrol: Kanıt akışını durdurun. Kısa vadeli kontrol, enfekte makinenin ağdan izolasyonunu sağlayabilir. Uzun vadeli kontrol, araştırmayı yaparken temiz bir paralel ortam oluşturmayı içerebilir.

4. Eradikasyon: Saldırganın tüm varlığını tamamen kaldırın: kötü amaçlı yazılımlar, geribildirim yolları, kötü niyetli hesaplar ve süreklilik mekanizmaları.

5. Geri Dönüş: Sistemleri normal işleyişe geri getirin. Çevrenin temiz olup olmadığını doğrulayın. Saldırganın hala mevcut olup olmadığını izlemek için dikkatli olun.

6. Ders Öğrenme: En ihmal edilen aşama. Sorumsuz bir post-mortem düzenleyin: ne olduğunu, nasıl tespit edildiğini, ne işe yaradığını, ne işe yaramadığını ve tekrarlanmasını önlemek için ne tür değişiklikler yapılması gerektiğini.

Kırılma Cevapları Senaryosu

Senaryo: 2 AM'de Şifreleme

Gündüz görevli güvenlik analisti olduğunuzda, SIEM'iniz 2:14'te bir uyarı gönderir: birkaç dosya sunucusunun olağandışı şifreleme faaliyetleri gösteriyor. Avrupa ofisinde çalışanlar, dosyalarının 50 Bitcoin talep eden korsan notlarla değiştirildiğini bildirmeye başlar.

Kırılma yanıt planınızın IR takım liderine yükseltmeyi ve ransomware playbok'u izlemeyi söylemesi. CEO arıyor. Hukuki departman, bildirim yükümlülükleri hakkında bilgi istiyor. IT direktörü, yedeklerin temiz olup olmadığını istiyor.

Ders Öğrenme

Atlıntı Faz

Acil durum hemen çözüldükten sonra, öğrenilen dersler phase, organizasyonun gerçekten iyileştirebildiği belirler. Bir blameless post-mortem şu soruları sorar:

- İlk erişim vektörü neydi?

- Saldırgaın, algılanmadan önce ortamda ne kadar süreyle kalmış (dwell time)?

- Hangi kontroller başarısız oldu ve neden?

- Hangi kontroller işe yaradı?

- Belirli, ölçülebilir değişiklikler, tekrarlanmasının önlenmesi için ne olacak?

Kelime blameless önemli. Eğer insanlar ceza korkuyorlarsa, hataları gizlerler. Eğer hataları gizlerlerse, organizasyon asla öğrenemez. Hedef, sistemleri düzeltmek değil, bireyleri cezalandırmaktır.

Son yıllarda ransomware saldırılarının ortalama dwell time'i azalmış olsa da, diğer saldırı türleri için, saldırgaın genellikle haftalar veya aylar boyunca algılanmadan kalmaktadır. Güvenlik operasyonlarında en önemli metriklerden biri algılama hızıdır.

Siber Güvenlik Kariyer Yolları

Bu Bilginin Nereye Gittiği

Siber güvenlik, dünya çapında milyonlarca boş pozisyonla büyük bir yeteneksizlik sorunu yaşadı. Alan, farklı kişilikler ve yetenekler için birden fazla kariyer yolları sunar:

SOC Analisti: Ön hat. SOC analistleri, uyarıları izler, olayları triaj yapar ve tehditler yükseltir. En yaygın giriş noktasıdır. Şifte çalışma ve uyarı yorgunluğu bekleyin, ancak derin pratik bilgiyi hızlı bir şekilde inşa edin.

Penetration Tester (Pentester): Ona izin verilen organizasyonlara sızarak para kazanırsınız. Zararlıların yapamadan önce açıklarını bulursunuz. Derin teknik beceriler gerektirir: ağlar, web uygulamaları ve işletim sistemleri. Kreatif sorun çözme önemlidir.

Güvenlik Mühendisi: Savunmacı altyapıyı tasarlar ve inşa eder: duvarlar, SIEM sistemleri, kimlik platformları, şifreleme sistemleri. Bu, yapımcı rolüdür. DevOps ve bulut mühendisliği ile güçlü bir çakışma vardır.

Dijital Forensik ve Olay Yanıtımı (DFIR): Araştırmacılar. Bir ihlal meydana geldiğinde, DFIR profesyonelleri ne olduğunu, nasıl ve ne zaman olduğunu yeniden yapılandırırlar. Dikkatli bir şekilde çalışmak ve yasal süreçlerle delil işleme ile rahat olmak gerektirir.

Sertifikalar

Sertifikalar gereklidir değil, ama kapılar açar:

- CompTIA Security+: Endüstri standartlarındaki giriş seviyesi sertifikası. Temel güvenlik kavramlarını kapsar. İyi bir başlangıç ​​noktasıdır.

- OSCP (Offensive Security Certified Professional): El sıkma penetrasyon testi sertifikası. 24 saat içinde laboratuardaki birçok makineyi kırmalısınız. Çok saygınlı ve gerçekten zor.

- CISSP (Certified Information Systems Security Professional): Güvenlik stratejisi, risk yönetimi ve yönetimini kapsayan yönetim seviyesi sertifikası. Beş yıl deneyime ihtiyaç duyulur. Üst düzey ve liderlik rollerinde yaygın olarak gereklidir.

Güvenlik Algısı

Sonuç

Birçok konuyu ele aldınız: CIA üçgeni, tehdit aktörleri ve saldırı yolları, ağ savunması ve sıfır güven, uygulama güvenliği ve ekleme saldırıları, olay yanıtı, algılama, dersler ve kariyer yolları bu tümü işin içine koyar.

Güvenlik katmanlı prensibinin temel taşı, tek bir kontrolün yeterli olmadığıdır. Yangınlı duvarları segmentasyonla, segmentasyonu izlemle, izlemeyi olay yanıtıyla, tüm bunları bilen ve her şeyin başarısız olacağı zaman ne yapacakları bilen eğitilmiş insanlarla birleştirin.

Saldiranların sadece bir delik bulması gerekiyor. Savunma yapanlar ise hepsini kapatmak zorundalar. Bu alanın hem zor, hem de önemli olduğu şey bu asimetridir.