Merhaba, Genelde blog yazılarımı grupla paylaşmıyorum ama bu A.B.D. kamu kurumlarının güvenliğini sağlayan Einstein sisteminin sızma testi raporundan bazı başlıkları derlediğim yazının ilginizi çekebileceğini düşündüm. Yanıldıysam spam için özür dilerim.
Saygılarımla, Alper Başaran A.B.D.’nin ulusal güvenliğinden sorumlu teşkilatı Homeland Security tarafından kullanılan ve siber uzayda güvende olmalarını sağlayan milyar dolarlık güvenlik duvarının adı Einstein. Tam adı Ulusal Siber Savunma Sistemi (National Cyber Security Protection System – NCPS) olan sistemin asıl amacı devlet destekli siber saldırıların A.B.D. kamu kurumlarına ulaşmasını engellemek. Sunumlarımda siber tehditleri listelerken ilk sıraya “egemen uluslar / diğer devletleri” koyup “bunları karşı zaten kendinizi savunamazsınız” diyorum, bu konuda karamsar olmamın nedeni biraz da bu aslında: bunlara karşı kendinizi savunmak için alacağınız güvenlik duvarı bile birkaç milyar dolar tutacak. Bu durumda herhangi bir kurumun birkaç yıllık toplam bütçesini sadece siber güvenliğe yatırmasını beklemeyeceğimize göre zaten devlet destekli hackerlara karşı alınabilecek bazı tespit etme tedbirleri dışında elimizden zaten pek bir şey gelmiyor. Şimdi sıkı durun; yaklaşık değerinin 6 milyar dolar olduğu iddia edilen Einstein üzerinde yapılan bir sızma testinin sonuç raporu (hassas verilerden arındırılarak) yayınlandı. (Kendime hatırlatma: bizim firewall üreticimiz faaliyetlerinin kaçıncı senesinde “bu sene pentest almayı düşünüyoruz” diyor, elin oğlu 6 milyar dolarlık sisteme düzenli olarak sızma testi yaptırıyor ve bunun sonuçlarını da kamuoyuyla paylaşıyor). Yayınlanan rapordan bazı dikkat çekici başlıklar şunlardır; Einstein APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) saldırılarına karşı korumuyor: (Kendine not: 6 milyar dolarlık sistem APT’ye karşı korumuyorsa birkaç yüzbin TL’ye aldığımız ve üzerinde alt tarafı bir sandbox çalışan sistem bizi nasıl koruyacak?) Bu sorunun kaynağının Einstein’ın teknik yetersizliğine değil, APT saldırılarını tespit etmesini sağlayacak imza verilerine sahip olmamasına bağlanmış. Einstein basit saldırıları da tespit edemiyor: Einstein’e sürekli veri ileten ve A.B.D. kamu kurumlarının çeşitli ağlarına yerleştirilmiş toplam 228 sızma tespit sensörü yaygın olarak kullanılan yazılımlardaki zafiyetlerin sadece belli bir kısmına yönelik saldırıları tespit edebildi. Einstein üzerindeki saldırı imzalarının güncellenmediği anlaşılmış (kendime not: IPS imzalarını güncelle). Einstein sıfır-gün istismarlarını tespit edemiyor: 6 milyar dolarlık sistemlerin bile sıfır gün açıklarını ve bu açıklara yönelik geliştirilen istismar kodlarını tespit etmesi mümkün değil. Bunun temel nedeni saldırının nereden ve nasıl geldiğini bilmememizden kaynaklanıyor ve nasıl tespit edilebileceği ancak saldırı inceledikten sonra ortaya çıkartılabilir. (Kendime not: “APT çözümü” satan arkadaşın ne dediğinin önemi yok, sonuçlar ortada) Einstein da yanlış alarm üretiyor: IPS’in sürekli alarm üretmesi kadar kötü olmasa da bu sistem tarafından “false positive” olarak adlandırılan yanlış alarmların üretildiği anlaşılıyor. (kendime not: önce alarma bakarım alarm mı diye, sonra sisteme bakarım sistem mi diye) Bu testlerin sonucunda bir kez daha güvenliğin yatırımla ve cihazla elde edilen bir şey olmadığı görmüş olduk. ------------------- APT ve Phishing (Oltalama) Saldırılarına Karşı Kurumsal Güvenlik Farkındalığınızı Arttırın - SinaraLabs http://www.sinaralabs.com -------------------
