Kağan Eğlence

Tag: Dilemma

  • Red Team: Red Team Neden Gereklidir?

    Bir önceki yazı içerisinde genel terimlerden ve Red Team’den kısaca bahsetmiştik. Bu yazı içerisinde biraz daha Red Team’in kendisine odaklanacağız. Red Team ile alakalı bazı sorulara ait cevapları bu post altında toplamaya çalışıyor olacağım.

    Red Team Neden Gereklidir?

    Zafiyet taraması ve sızma testi gibi geleneksel güvenlik denetimleri gerçek saldırılardan farklılık göstermektedir. Yaşanılması olası hedefli bir siber saldırı ciddi bir planlama ve hazırlık süreci gerektirir. Bu nedenle geleneksel yöntemler gerçek bir siber saldırının etkilerini tam anlamıyla gösteremeyebilir.

    Geleneksel yöntemler sonucunda oluşabilecek bazı zayıflıkları örneklersek;

    • Belirli bir kapsam dahilinde daha çok zafiyet odaklı işlerler. Kısıtlı bir süre içerisinde gerçekleştirilmeleri gerekir. Testlerin verilen süre içerisinde tamamlanma zorunluluğu yapılan kontrollerin derinliğini azaltabilir. Örneğin; kapsam içerisinde tespit edilen düşük/orta seviye bir bulgu kapsam dışındaki bir sistem ile kullanıldığında çok büyük etkilere neden olabilir ve bu durumda gerçek etkiler gözden kaçabilir.
    • Hedefe özel araç ve tekniklerden daha ziyade genel yöntemler tercih edilir fakat “Defender’s Dilemma” bize saldırganın tek bir sistemde tek bir zafiyet dahi bulmasının hedef organizasyonu ele geçirmek için yeterli olabileceğini söyler. Örneğin; bir zafiyet/teknik özelinde organizasyonun güvenlik metriklerine takılan bir zararlı dosya çalışmayabilir veya hatalı sonuç verebilirken, organizasyonun yapısına göre özel olarak hazırlanmış bir zararlı, tüm organizasyonu etkileyen kritik bir saldırı zincirinin başlamasına neden olabilir.
    • Çoğu sızma testi kapsamının dışında tutulan fiziksel, donanımsal veya insan kaynaklı zafiyetler “Defender’s Dilemma” içerisinde bahsettiğimiz kritik zinciri başlatmak için yeterli olabilir.
    • Her ne kadar gerçek bir saldırıya yakın yapılmaya çalışılsa da hedefin bilgisi dahilinde yapılan kontroller, tespit ve tepki ölçülmesi konusunda yeterli değillerdir.

    Doğru planlanmış ve uygulanmış bir Red Team çalışması, süreçlerden insanlara kadar birçok farklı alanda oluşabilecek potansiyel güvenlik açıklarını ve risklerini geniş kapsamda ortaya çıkararak yukarıda bahsettiğimiz olumsuzlukları ortadan kaldırabilir. Gerçek bir saldırıya en yakın kontrol şeklidir. Organizasyon içerisinde çok kısıtlı kişinin bilgisi dahilinde gerçekleştirilir. Bu sayede birçok farklı çıktı sağlayabilir. Organizasyonun güvenlik duruşunu gerçeğe en yakın şekilde ölçebilir.

    Süreçlerde oluşabilecek zafiyetleri daha net anlamak için basit bir Red Team çalışmasında ki “Initial Access” aşamasının faydalarını kısa bir örnekle inceleyelim. Hedef organizasyonun erişilebilir sistemlerinin üzerinde bulunan uygulamaların versiyonlarını açık kaynaklardan toplamış bir saldırgan olduğumuzu varsayalım. Elimizde bulunan envanter içerisinde bir sistem üzerindeki uygulamada kritik bir zafiyet yayınlandı. Organizasyona sızma işlemini bu zafiyeti kullanarak gerçekleştirdik. Senaryonun kalanından bağımsız bir şekilde sadece “Initial Access” aşaması bile bize aşağıdaki örnek birkaç sorunun cevabını sağlayabilir:

    1. Organizasyonun zafiyet yönetimi yetenekleri yeterli mi? Yayınlanan kritik bir zafiyetin kapatılma süresi ne kadar?
    2. Zafiyetlerin kapatılma süreci hedefli bir saldırıyı engelleyebilecek ölçüde mi?
    3. Zafiyete özel tespit ve engelleme kuralları hızla oluşturularak saldırı engellenebildi mi?
    4. Savunma ekiplerinin saldırıyı tespit ve tepki süresi ne kadar? Bu süreler kritik bir saldırıyı engelleyebilmek için yeterli mi?

    Red Team çalışmalarının olumlu birçok noktası olduğu gibi tabii ki eksik olan bazı noktaları da bulunmaktadır. Red Team çalışmaları uzun süren planlama, hazırlık ve uygulama süreçlerine sahiptir. Yapılan işlemler dikkatli bir şekilde iyi hazırlanılarak manuel olarak gerçekleştirilmelidir. Bu nedenle organizasyonun büyüklüğüne ve uygulanacak olan senaryoya göre değişiklikler gösterse de diğer güvenlik denetimlerine kıyasla çok daha uzun zaman ve kaynak gerektirir. Red Team ekibi çalışmasında senaryo içerisinde planlanan adımları uygulayarak belirlenen amaca ulaşmayı hedefler. Örneğin, oltalama ile bir organizasyona ilk sızma işlemi gerçekleştirilmiş ise, yapılan çalışmanın tespit edilmesine veya engellenmesine yol açacak şekilde dışarıdaki tüm sistemlere zafiyet taraması gerçekleştirmek anlamsızdır. Bu nedenle organizasyonun genel zafiyetlerini bir sızma testi kadar detaylı ortaya çıkaramaz.

    Blue Team Neden Red Team’e ihtiyaç duyar?

    Teknolojinin her geçen gün gelişmesi gibi siber saldırılar da her gün gelişmekte ve yeni saldırı teknikleri ortaya çıkmaktadır. Zafiyetlere benzer şekilde örneklersek; her ne kadar zafiyetler yayınlanan yamalar ile kapatılmaya çalışılsa da sürekli olarak yeni zafiyetler ortaya çıkmaktadır ve yeni önlemler ile kapatılmaktadır. Benzer durum savunma tarafı için de geçerlidir.

    Mevcut bir saldırıya karşı alınan savunma önlemleri, saldırıda yapılacak olan ufak değişiklikler veya savunmadaki bazı boşluklar kullanılarak atlatılabilmektedir. Olası saldırılar için alınan önlemlere körü körüne güvenmek çoğu zaman zararla sonuçlanacaktır ve mutlaka bu önlemlerin doğrulanmaları gerekir. Madde madde alınan önlemlere doğrulama yapmadan güvenmenin etkilerine bakacak olursak;

    • Sistemlerinizin güncel olması sizi bilinen saldırılara karşı korur, sıfırıncı gün saldırıları her zaman risk oluşturacaktır. Ek olarak sistemlerinizin gerçekten güncel olduğundan emin misiniz? Örneğin, MS17-010 zafiyetinin yaması yayınlandıktan aylar sonra ortaya çıkan WannaCry zararlısı, 150 ülkede 200,000’den fazla sisteme bulaşabilmişti.
    • Günümüzdeki büyük firmaların çoğu “Data Loss Prevention (DLP)” barındırmakta fakat birçok büyük firma tarafından açıklanan veri sızıntısı haberleri ile hala neden karşılaşıyoruz?
    • Çalışanlarınız gerçekten siber güvenlik farkındalığına sahip mi? İşe yeni başlamış farkındalığı düşük bir çalışan ve zararlı bir Office dosyası ile saldırı zinciri tetiklenebilir mi?
    • IDS/IPS ve firewall’lara sahip olabilirsiniz fakat Firewall’lar insanlar tarafından oluşturulan kurallar doğrultusunda çalışırlar. Diğer güvenlik ürünleri ise genelde sık karşılaşılan zararlılara karşı güvenilir bir şekilde çalışır ve basit yöntemler bile atlatmak için yeterli olabilir.

    Sıradan bir siber saldırıyı tespit etmek ve engellemek için varsayılan genel konfigürasyonlar kullanılabilir fakat organizasyona özel gerçekleştirilen saldırıları engellemek için daha spesifik ve detaylı çalışmaların yapılması gerekmektedir. Saldırılarda kullanılan araçlar ve teknikler kolaylıkla değiştirilebilir fakat uygulanan davranışlar ve yöntemler geneldir. Red Team bu noktada hedefli bir saldırgan gruba benzer şekilde organizasyonu hedef alır ve savunmasını test eder. Çalışma sonrasında ortaya çıkan veriler doğrultusunda tespit ve engelleme mekanizmalarında iyileştirmeler yapılır. Yapılan her iyileştirme bir sonraki Red Team çalışmasının tespit edilme ihtimalini yükseltir, bu nedenle Red Team’in saldırgan gruplarda da olduğu gibi sürekli gelişmesi gerekmektedir. Yani Red Team Blue Team’in gelişimine katkı sağlarken, Blue Team de Red Team’in gelişime katkı sağlamaktadır.