13 Temmuz 2018 Cuma

Güvenlik Ekonomisinin Kinetiği


Rehin alınan bilgisayarlar nedeniyle hizmet dışı kalan üretim bantları, kişisel verilerin çalınması sebebiyle kimlik hırsızlığı/sahtecilikler ve hatta hackerların (saldırganlar) ekonomik ve teknolojik olarak dünyanın en gelişmiş ülkesinin seçim sonuçlarını etkilediği şüphesi son dönemlerin en bilinen siber olayları arasında yer almaktadır. World Economic Forum (Dünya Ekonomik Forumu) şirketlerin üst düzey yöneticileriyle gerçekleştirdiği 2018 yılı Global Risk Raporu’na göre Siber Saldırılar ankete katılanların en çok endişe duyduğu risk olarak değerlendirilmiştir.[1] Gemisini tehlikeli ve dalgalı sularda yüzdüren kaptan edasıyla korsanlar tarafından hedef alınan şirketlerin üst düzey yöneticileri siber güvenlik tehditlerini ve önlemlerini yönetim kurullarının gündemlerine taşımaktadırlar. Bu yazımızda tavşana kaç, tazıya tut diyen siber güvenlik ekonomisinin ana hatlarıyla oluşum ve gelişim eğilimlerini konu alacağız.  

Saldırganların Motivasyonu

Siber olayların anatomisi incelendiğinde, döneminin teknolojik imkânları ve özelliklerinden bağımsız olarak değerlendirilemeyeceği çıkarımında bulunabiliriz. Bilgi Teknolojilerinin deneysellikten kurtulup, pratik olarak da hayatımıza girdiği 1980’lerde imkânlar çoğunlukla akademik amaçlarla kullanılmaktaydı. Bu akademik kullanıcılar teknik olarak bilinçli bireyler olmalarının yanı sıra eğlence amacıyla sistemlerin zayıflıklarını istismar edebilmekteydi. 2000’li yıllara gelindiğinde “.com” furyasının yaşandığı, web sitelerin revaçta olduğu bir dönemde saldırganlar, çoğunlukla kamuya açık bu siteleri hackleyip geride izlerini bırakmaya çalışan yani şöhret amacıyla saldırı gerçekleştirenlerdi. Devamında, 2000’lerin ilk döneminde saldırganlar sadece geride iz bırakmayı değil sistemleri de ele geçirerek verileri çalma ve değiştirme yoluyla maddi kazançlar sağlamak amacıyla saldırılarda bulunmuşlardır. Devletlerin ve özel sektörün teknoloji kullanımı ve bağımlılığının artmasının ardından saldırganlar, politik ve hacktivist amaçlarla saldırılar gerçekleştirmeye başlamışlardır. Bu saldırılar devlet destekli olarak enerji ve kritik altyapılara zarar vermek, ticari veya devlet sırlarını çalmak üzerine olduğu kadar toplumsal olarak şeffaflık ve hesap verilebilirliği sağlamak amacıyla politikacıları hedef alan örneklerine rastlanmaktadır.

Saldırı Yüzeyi

Bu konu başlığını bağlantılılık ve veri hacminin genişlemesi olarak da isimlendirebilmek mümkün olmakla birlikte, bağlantının saldırgan tarafından bilgi barındıran, işleyen, ileten ortamlara erişme ve istismar etmesini sağladığı gerekçesiyle saldırı yüzeyi olarak adlandırılmıştır. Bilgisayar ağlarının kurulması ve yaygınlaşmasıyla bu bilgisayar ağlarının bağlantılı olduğu sistemlere de saldırı gerçekleştirilmeye başlanmıştır. Dolayısıyla, bağlantılılık hareketiyle saldırı hareketinin eş güdümlü ilerlediği ifade edilebilir. Örneğin, günümüzün trendi olan Nesnelerin Internetini değerlendirecek olursak bağlantılı cihaz sayısının giderek arttığını, bu cihazların akıllı sistemler, kritik altyapılar ve kişisel veriler içeren uygulamalar olarak birçok siber saldırının hedefi olduğunu belirtebiliriz. Saldırı yüzeyi vasıtasıyla istismar edilen kaynaklar hedef olduğu kadar, “enfekte sistemler” üzerinden yeni saldırıların gerçekleştirilebilmesi sebebiyle tehdit de olabilmektedir.

Savunmanın Maliyeti ile Saldırının Maliyeti Arasındaki Farklılıklar

Bir siber olayın taraflarını saldırganlar ve savunanlar olarak ele alabiliriz. Bilgi ve İletişim Teknolojilerinin ortaya çıkmasından itibaren bu iki taraf arasında yaşanan üstünlük mücadelesini “Hırsıza kilit dayanmaz” atasözümüzle açıklamak doğru olacaktır. Savunan taraf kendisini güvende hissetmek için birçok önleyici, caydırıcı, tespit edici adımlar atsa da saldıranlar bu önlemleri ekarte edecek veya etrafından dolaşacak yolları bulmaktadır.

Taraflar arasındaki mücadele tarihsel olarak incelendiğinde, saldırıların gerçekleştirilmesi için gerekli olan yetenek kümesinin ve özelliklerinin teknolojilerin ortaya çıktığı dönem ile yaygınlaştığı dönem arasında ciddi farklılıklara sahne olduğunu görebilmekteyiz. Başlangıç döneminde teknolojik özelliklerin anlaşılması ve istismar edilebilmesi yerleşik bir kültür olmaması sebebiyle saldırganlar tarafından nadiren ve zorlukla gerçekleştirilebilmekteydi. Gelişme döneminde, teknolojileri anlayan ve kendi amaçları uğruna kullanabilen bireyler ve gruplar ortaya çıktı ve istismarı gerçekleştirebilmek için kendileri için gerekli olan araçları/scriptleri yazabilmekteydiler. Teknolojik olarak kültürün oluştuğu ve olgunlaştığı dönemde ise topluluklar (community) ortaya çıktı ve bunlar otomatize araçlar ve uygulamaları oluşturarak güvenlik dünyasının çehresini değiştirdiler. Otomatize araçlar bazı örneklerinde ara yüzlere de sahip ve kolaylıkla erişilebilir olarak, bir tuşla hedef sistemi tarayıp zafiyetlerini raporlar hale geldi. Bu durum sonuç olarak aracı kullanan kişilerin gereksinim duyduğu yetenek kümesini daraltmakta ve doğal olarak sıradan kişiler tarafından saldırı gerçekleştirilebilmesine imkân tanımaktadır.   

Siber olayı savunanlar tarafından ele aldığımızda yani işletmeler, sivil toplum, kamu kuruluşları vb. doğaları gereği var olma amaçlarının kârlılık, pazar payı, sosyal fayda olduğunu, kaynaklarını fırsatları kovalamaya yönelik olarak kullandıklarını görebilmekteyiz. Bu durumda kurum içinde savunma amacıyla yeterli kaynakların tahsis edilmediği, sorumluların atanmadığı, paydaşlarda bilincin oluşturulmadığı örneklerle karşılaşılabilmektedir. İyimser bir varsayımda bulunarak risk odaklı yönetilen kurumları ele alırsak, onların da yatırım yapacak birçok güvenlik çözümü ve hizmeti olduğunu, bu çözümlerin sadece satın alınmalarının yeterli olmadığını, bu nedenle konfigürasyonlarının da doğru yapılmasının gerektiğini ve birçok güvenlik süreçlerini ve uygulamalarını işleten kişilerin gerekli yetkinlik düzeyini sağlayabilmeleri gibi zorluklarla yüzleşeceklerini ifade edebiliriz.

Sonuç olarak, günümüzde saldırı gerçekleştirebilmek için saldırı yüzeyi genişleyip kişilerin sahip olması gereken kabiliyetler gittikçe azalmakta ve maddi gereksinimler düşük düzeyde iken, savunanlar için güvenlik önlemlerini alabilmek için yüksek bütçe kalemleri ve yüksek nitelikli personele ihtiyaç artmaktadır. Saldırganlar ve savunanlar arasındaki bu mücadele tarihsel olarak günümüze kadar evrilerek gelmiştir ve gelecekte de devam edecektir.



[1] https://www.weforum.org/agenda/2018/01/our-exposure-to-cyberattacks-is-growing-we-need-to-become-cyber-risk-ready

Hiç yorum yok:

Yorum Gönderme