Bize Ulaşın: +90 212 371 8668 info@sibertis.com.tr

Saldırı önleme sistemim (IPS), antivirüsüm, antispam çözümüm, WEB Filtreleme, içerik filtreleme çözümlerim, en iyisinden güvenlik duvarı cihazım ve saymakla bitiremediğim önlemler, kurallar var ama yine de içeri sızmışlar. Bu mümkün mü, nasıl olur? 

Hemen cevabı verelim; evet mümkün. Muhtemelen IP itibarı fena sayılmayan bir siteden kullanıcılarınızdan birisine basit bir oltalama salsırısı yapılmıştır ve içeri sızılmıştır; ama öncelikle senaryoya bakalım sonrasında da bu olayın olmaması için yapılması gerekeni ele alalım.

Adım-1:

Saldırgan kurbanını seçmiş, içerisinde zararlı bağlantı ya da dosya olarak e-postasını gayet güzel bir şekilde hazırlamış ve hedefine göndermiş olsun. Tam bu noktada Anti-Spam ya da Anti-Oltalama çözümünüz devreye girer ve e-postayı bloklar, ama devreye giremezse, e-posta hedefine ulaşır ve kurbanın zararlı linke tıklaması için bekler.

Adım-2:

Kurban linki tıklarsa, içerisinde kötü niyetli bir yazılımın (ki aklınıza gelebilecek her şey olabilir) olduğu web sitesi ile iletişim kurulur. Tam bu noktada WEB Filtreniz devreye girer ve trafiği bloklar; ama bloklayamazsa zararlı web-sitesi işletmenize saldırmaya başlar.

Adım-3:

Zararlı web siteleri genellikle sisteme ulaşmak için en zayıf halkaları yani teknoloji bilgisi göreceli olarak zayıf olan işi başından aşkın kullanıcıları seçer. Sisteme ulaşmak için bu kullanıcı kendisinin haberi dahi olmadan kullanılır, tüm trafik de bu kullanıcı üzerinden yapılır. Tam da saldırı önleme sisteminizin (IPS) devreye girdiği ya da girmesi gerektiği yer burasıdır; ama ya giremezse ya da saldırıyı önleyemezse saldırı gerçekleşir.

Adım-4:

Aslında bu aşamada zararlı siteden gelmesi beklenilen zararlı yazılım Anti-Malware çözümünüz tarafından bertaraf edilir ve garantinaya alınır; ama alamazsa yazılım .exe uzantılı kodu sisteminize bırakır.

Adım-5:

Zararlı kod çalışır çalışmaz kullanıcı erişim/hesap bilgilerine ulaşmaya çalışır, hassas verileri toplar, ama bunun için verinin esas kaynağına yani depolama sistemine ya da sunucuya girmeye çalışır. Tam da bu noktada uygulama kontrol çözümünüz, IP itibarınız, botnet çözümünüz ve diğer güvenlik önlemlerinizin devreye girmesi beklenir; ama bu önlemlerin hiçbirisi yeterli gelmezse sonuç olarak saldırı başarıya ulaşmıştır diyebiliriz.

Tüm olan biteni aşağıda özetlemeye çalışabiliriz;

Dünya kadar para ödedik benim çözümlerim önler demeyin, çünkü hepsini atlatmak için belli başlı yollar var. Ayrıca saldırgan karşılaştığı her engelden gelen geri-bildirimle ya engeli aşmak için başka bir planı devreye sokar ya da engeli aştıysa farkedilmemesi için arkasını toplar. Buradaki ana nokta saldırganın hedef olarak gerçekten sizin işletmenize gözünü dikmiş olmasıdır. Bunun için öncelikle kendisine kurban seçer; bunun için de en iyi kaynak Linkedin’dir.

Tehlike Bandı

Durumu aşağıdaki tehlike bandında inceleyecek olursak yeşil alan temiz alandır ve bu bölgede beyaz listede yer alan alan adları, uygulamalar, elektronik olarak imzalanmış, onaylanmış dosyalar bu bölgede yer alır. Prensip olarak IP geçmişi temiz olan alan adlarından gelen e-postalar herhangi bir engelleme ile karşılaşmaz ve kullanıcıya iletilebilir.

Kırmızı bölge ise tehlikeli bölgedir. Burada daha çözümü sistem içerisinde bulunan bir üreticinin imza veritabanında ve dolayısıyla kara listesinde yer alan tehlikeli dosya ya da link barındıran uygulamalar karantinaya alınır ve yukarıda saydığımız çözümlerce engellenir.

Esas problem ise sarı alandır, başka bir deyişle uygulamaların, gelen e-postaların ya da dosyaların kaynağı tam olarak anlaşılmayan, iyi ya da kötü olduğu belli olmayan yerdir.  

Peki Çözüm Nedir?

Ve gelelim cevaba; sarı bölgede oluşabilecek saldırının önlenmesi için tavsiye ettiğimiz çözüm Sandbox (Kum Kutusu ya da Parkı) Teknolojili Anti-APT çözümüdür. Sandbox ismi izolasyondan gelmektedir. Sistemin ana çalışma prensibi bilgisayarınıza sızması muhtemel şüpheli yazılımların öncelikle ve otomatik olarak burada çalıştırılması ve gerçekten zararlı ise yok edilmesi ve raporlanması üzerine kurulmuştur. BT Yöneticisi kural yazarken içerisinde linki ya da ekinde dosya olan tüm e-postaların kullanıcıya ulaşmadan önce taranmasını isteyebilir. Sandbox teknolojisi esas olarak, kaynağı tam belli olmayan, iyi ya da kötü olduğu anlaşılmayan dosyaları, e-postaları incelemek için kullanılır. Bu tip dosya ya da e-postalarından da çok büyük çoğunluğu hedefi belli, niyeti belli yazılımlardır. Saldırı e-posta gönderimin yanı sıra hafıza kartı ya da çubuğu gibi çıkarılabilir cihazların bilgisayara takılmasıyla da gerçekleşebilir. Şirketlerde genellikle bu tip cihazlar kullanılmasın diye seri portlar iptal edilir ya da cihaz kontrol sistemi kullanılır. Buna rağmen kullanıcılar genellikle bir şekilde bu portları ihtiyaçları doğrultusunda kullanıma açar ya da BT yöneticisine geçici olarak açtırır ve öyle kalır. 2010 yılında İran’da koskoca santrallerin çökmesine yol açan saldırı basit bir USB – seri porta takılabilen hafıza çubuğu içine gizlenmiş zararlı yazılım ile olmuştu.

Sandbox teknolojisi çözümleri şirket içerisinde örneğin izole bir sunucuya kurulabileceği gibi tüm müşterilerine ortak hizmet veren hatta başka bir ülkede bulunan bulut tabanlı çözümler de olabilir. Burada hangisinin tercih edileceği konusunda verinin yurt dışına çıkmasının örneğin KVKK’a uyup uymayacağı, bütçe, işletmenin faaliyet gösterdiği sektör, bu tip sistemleri regüle eden veya hibelerle destekleyen sektöre özel faaliyetler gibi konular dikkate alınmalıdır.

 

İlginizi Çekebilir  

E-posta Koruması

Sandbox teknolojili e-posta koruma çözümlerimiz sizleri tüm fidye yazılımı, spam, siber tehdit ya da hedefli siber saldırılara karşı korur. 

Anti-APT Koruması

İş Ortağımız Trend Micro’nun Deep Discovery çözümü ile hedefli saldırıları anında tespit edebilir, saldırı gerçekleşmeden önlem alabiliriz.   

Sophos XG Firewall

Sophos’un sandbox özellikli yeni nesil güvenlik duvarı cihazları sayesinde hedefli saldırıları anında tespit edebilir, önleminizi zamanında alırsınız.

Bizimle İletişime Geçin

2 + 11 =