Ürünlere binlerce dolar yatıracaklarına çalışanlarının şartlarını (maaş vb.)
iyileştirseler daha iyi bir güvenlik katmanı oluşturacaklar ama nedense
yanaşmıyorlar. Bizim ülkemiz için söylüyorum bunu.
Mehmet ERGENE
On Tuesday, February 2, 2016 6:22 PM, Alper Basaran
<[email protected]> wrote:
Merhaba,
Genelde blog yazılarımı grupla paylaşmıyorum ama bu A.B.D. kamu
kurumlarının güvenliğini sağlayan Einstein sisteminin sızma testi
raporundan bazı başlıkları derlediğim yazının ilginizi çekebileceğini
düşündüm.
Yanıldıysam spam için özür dilerim.
Saygılarımla,
Alper Başaran
A.B.D.’nin ulusal güvenliğinden sorumlu teşkilatı Homeland Security
tarafından kullanılan ve siber uzayda güvende olmalarını sağlayan
milyar dolarlık güvenlik duvarının adı Einstein. Tam adı Ulusal Siber
Savunma Sistemi (National Cyber Security Protection System – NCPS)
olan sistemin asıl amacı devlet destekli siber saldırıların A.B.D.
kamu kurumlarına ulaşmasını engellemek.
Sunumlarımda siber tehditleri listelerken ilk sıraya “egemen uluslar /
diğer devletleri” koyup “bunları karşı zaten kendinizi savunamazsınız”
diyorum, bu konuda karamsar olmamın nedeni biraz da bu aslında:
bunlara karşı kendinizi savunmak için alacağınız güvenlik duvarı bile
birkaç milyar dolar tutacak. Bu durumda herhangi bir kurumun birkaç
yıllık toplam bütçesini sadece siber güvenliğe yatırmasını
beklemeyeceğimize göre zaten devlet destekli hackerlara karşı
alınabilecek bazı tespit etme tedbirleri dışında elimizden zaten pek
bir şey gelmiyor.
Şimdi sıkı durun; yaklaşık değerinin 6 milyar dolar olduğu iddia
edilen Einstein üzerinde yapılan bir sızma testinin sonuç raporu
(hassas verilerden arındırılarak) yayınlandı. (Kendime hatırlatma:
bizim firewall üreticimiz faaliyetlerinin kaçıncı senesinde “bu sene
pentest almayı düşünüyoruz” diyor, elin oğlu 6 milyar dolarlık sisteme
düzenli olarak sızma testi yaptırıyor ve bunun sonuçlarını da
kamuoyuyla paylaşıyor).
Yayınlanan rapordan bazı dikkat çekici başlıklar şunlardır;
Einstein APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit)
saldırılarına karşı korumuyor: (Kendine not: 6 milyar dolarlık sistem
APT’ye karşı korumuyorsa birkaç yüzbin TL’ye aldığımız ve üzerinde alt
tarafı bir sandbox çalışan sistem bizi nasıl koruyacak?) Bu sorunun
kaynağının Einstein’ın teknik yetersizliğine değil, APT saldırılarını
tespit etmesini sağlayacak imza verilerine sahip olmamasına bağlanmış.
Einstein basit saldırıları da tespit edemiyor: Einstein’e sürekli veri
ileten ve A.B.D. kamu kurumlarının çeşitli ağlarına yerleştirilmiş
toplam 228 sızma tespit sensörü yaygın olarak kullanılan
yazılımlardaki zafiyetlerin sadece belli bir kısmına yönelik
saldırıları tespit edebildi. Einstein üzerindeki saldırı imzalarının
güncellenmediği anlaşılmış (kendime not: IPS imzalarını güncelle).
Einstein sıfır-gün istismarlarını tespit edemiyor: 6 milyar dolarlık
sistemlerin bile sıfır gün açıklarını ve bu açıklara yönelik
geliştirilen istismar kodlarını tespit etmesi mümkün değil. Bunun
temel nedeni saldırının nereden ve nasıl geldiğini bilmememizden
kaynaklanıyor ve nasıl tespit edilebileceği ancak saldırı inceledikten
sonra ortaya çıkartılabilir. (Kendime not: “APT çözümü” satan
arkadaşın ne dediğinin önemi yok, sonuçlar ortada)
Einstein da yanlış alarm üretiyor: IPS’in sürekli alarm üretmesi kadar
kötü olmasa da bu sistem tarafından “false positive” olarak
adlandırılan yanlış alarmların üretildiği anlaşılıyor. (kendime not:
önce alarma bakarım alarm mı diye, sonra sisteme bakarım sistem mi
diye)
Bu testlerin sonucunda bir kez daha güvenliğin yatırımla ve cihazla
elde edilen bir şey olmadığı görmüş olduk.
-------------------
APT ve Phishing (Oltalama) Saldırılarına Karşı Kurumsal Güvenlik
Farkındalığınızı Arttırın - SinaraLabs
http://www.sinaralabs.com
-------------------
-------------------
APT ve Phishing (Oltalama) Saldırılarına Karşı Kurumsal Güvenlik
Farkındalığınızı Arttırın - SinaraLabs
http://www.sinaralabs.com
-------------------
