Solarwinds Saldırılarında Son Durum

Solarwinds Saldirilarinda Son Durum
Solarwinds Saldirilarinda Son Durum

Solarwinds saldırılarında son durum nedir? Solarwinds’in Orion isimli ürününün bir güncellemesine yerleştirilen bir arka kapı (backdoor) açığını kullanarak gerçekleştirilen siber saldırılardaki son durumu paylaşalım. Yaklaşık 300 bin müşterisi olduğunu bildiğimiz Solarwinds bu olaydan 18 bin müşterisinin bu zafiyete sahip güncellemeyi aldığını bildirmişti. Son durumda içerisinde Amerika kamu kuruluşlarının da bulunduğu 1000 kurum ağında bu zararlı yazılım siber saldırganların komuta kontrol merkezi ile iletişime geçtiği belirtiliyor. Bu aşamada siber saldırganların ilgili zafiyeti kullanarak kurumların ağına sızma çalışmalarına başlayacağı belirtiliyor.

Bu aşamada saldırganları durdurmak oldukça önemli. Etkilenen tüm kurumların siber güvenlik ekipleri gece gündüz demeden durumu kontrol altına almaya çalışıyorlar. Umarım çok büyük zararlar oluşmadan saldırılar kontrol altına alınır.

Bundan sonrası nasıl olacak?

Covid-19 un hayatımıza girmesi ile uzun süredir yeni normali konuşuyoruz. FireEye’ın hacklenmesi ve arkasından Solarwinds Orion yazılımında çıkan arka kapı zafiyeti sonrası  binlerce kurumun siber saldırıya uğraması da Siber Güvenlik alanında yeni normali konuşmamızı sağlayacak bir etki (henüz olayın yarattığı ekonomik hasarı tam olarak bilmiyoruz) yarattı!

Şu haberde Amerika da kamu kurumları siber güvenlik önlemlerini yeniden değerlendirilmesi gerektiği anlatılıyor! Bu yazıyı yazarken Nato’nun yayınladığı bir rapor dikkatimi çekti. Tüm bu siber saldırıların arkasında Rusya devlet desteğinin olduğu söyleniyor. Nato raporunda bu konuyu detaylı bir şekilde analiz etmiş. Detaylı analizi ve 2030 yılına kadar yapılacaklarla ilgili kapsamlı bir rapor hazırlamış. Henüz okumadığım için yorum yapamıyorum. Ulaşmak için bu adresi kullanabilirsiniz.

Bunun yanında teknoloji üreticilerinin kendilerine epeyce ders çıkartacaklarını, çıkartmaları gerektiğini düşünüyorum.

Takip ettiğim bir çok yerel ve yabancı sosyal medya hesabında siber güvenlik uzmanları, danışmanları, yöneticileri, firmalar bu saldırıların etkilerini, bu tür saldırıların tekrar etmemesi için yapılması gerekenleri tartışıyor, her gün onlarca haber, makale geliyor. Herkes kendince öğrenilen dersleri listeliyor, yapılması gerekenleri, önerilerini paylaşıyor.

Önerim en azından ülkemizde bu olaylardan çıkartılan dersleri derleyip toplayarak benzer bir durumun bizim başımıza gelmemesi için ve geldiğinde neler yapacağımızın konuşulacağı ve çıkartılan dersler ve alınması gereken aksiyonların da belirleneceği bir çalıştay düzenlenmesi olur. Siber güvenlik haftasında bu konu ele alınabilirse güzel bir çalışma olur.

Bu ne ilk ne de son olacak!

Son 20 yılda Rusya devlet destekli olduğu söylenen ve Amerika’yı hedef alan benzer siber saldırıları içeren bir haberi inceledim. Haberin detayına buradan erişebilirsiniz. 1996 da Moonlight Maze Siber casusluk saldırısı ile başlamış ve bu saldırılarda Amerika kamu kurumlarına ait ciddi miktarda bilgi ve belge çalınmış. Bugüne kadar kayıtlara geçmiş onlarca devlet destekli görünen saldırı var. Sonuncusu hala yaşanıyor, bu ne ilkti ne de son olacak.

Yine haberleri takip ederken bir yazıya denk geldim. Biraz ağır olsa da özetle şunları söylüyor Edward Amoroso yazısında:

  • Son yaşadığımız olayın önemi kurumsal şirketler tarafından tam olarak anlaşılmadı.
  • Yazılımları hedefleyen saldırıları gerçekleştirmek çok kolaylaştı. Çocuklar dahi bunu yapabilecek duruma geldiler. Saldırıları vurgulayan raporlar kimsenin işine yaramıyor (buna %100 katılıyorum).
  • Rusya yada diğer devlet destekli siber saldırıların önüne geçmek neredeyse imkansız. İstedikleri zaman istedikleri yere saldırabilirler.
  • Siber güvenlik saldırılarını önlemek için kullanılan yazılımlar devlet destekli siber saldırıları durdurmakta yetersiz
  • Ağ güvenliği yaklaşımı 25 yıldır aynı ve bu tür saldırıları durdurmakta yetersiz ancak biz hala kullanmaya devam ediyoruz!
  • Solarwinds Orion yazılımında olduğu gibi devlet destekli saldırganların bu yazılımların içerisine yerleştirdikleri Truva atlarını tespit etmek çok zor hatta imkansız
  • Devlet destekli saldırılara karşı koymakta kurumlardaki siber güvenlik ekipleri yetersiz kalıyor
  • Solarwinds’e yapılan bu saldırı, başka yazılım şirketlerine hatta size bile yapılmış olabilir ancak siz henüz farkında olmayabilirsiniz!
  • İyi bir siber savunma için kullandığımız yazılımların, boyutunu, karmaşıklığını, çeşitliliğini azaltmalıyız. Sağlam bir bina için basit sağlam tuğlalara sahip olmalısınız.

Bu tespit ve önerilere katılırsınız yada katılmazsınız. Ancak bir çoğu gerçek ve rahatsız edici. Edward’ın son önerisi okuduğum bir çok siber güvenlik raporunda yer alıyor. Karmaşık ve onlarca farklı teknolojinin bir arada çalışması için karışık konfigürasyonlar hataya açık ve siber saldırganlar da bu açıkları kullanıyor.

Her şeyi dijitalleştirdiğimiz bir dönemde oluşacak dijital yapının güvenlik ihtiyaçlarını öngörmeden yapıyor olmak en büyük hatadır bana göre. Eğer şu anda yürüyen bir yazılım geliştirme projeniz var ve güvenlik ihtiyaçları analiz edilmemiş ise bu projenizi hemen durdurun ve güvenlik ihtiyaçlarını belirleyin ve öyle devam edin!

Shift Left” yada “DevSecOps” bu iki kısaltmayı oldukça çok duymaya başlayacağız. Her iki kısaltma da yazılım geliştirme süreçlerinin içerisinde ilgili yazılımın güvenlik gereksinimlerinin yer alması ve yazılım test süreçlerinde tüm olası zafiyetlere göre bu yazılımların test edilmesi ve gerekli düzeltmelerin yapılması sonrası canlı kullanıma geçilmesi önerilir.

Gelişmeleri takip edip paylaşmaya devam edeceğim.

Güvende kalın.

 

 

export

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı: Veri Merkezleri ve Güç Altyapısına Yatırım

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı. Veri Merkezleri ve Güç Altyapısına Yatırım. Global Infrastructure Partners (GIP), BlackRock, Microsoft ve MGX, yapay zeka (AI) teknolojilerine […]

Müzik ve Hafıza
Bilim

Müzik ve Hafıza

Georgia Institute of Technology tarafından gerçekleştirilen “Müzik ve Hafıza” konulu araştırma, müziğin bilişsel süreçler ve hafıza üzerindeki etkilerine odaklanan önemli bulgular sunuyor. Bu araştırma, özellikle […]

Bilim

Magnon-Fonon Fermi Rezonansı

Araştırma ekipleri bir antiferromanyette magnon-fonon Fermi rezonansını keşfetti. Yakında, veri depolama merkezlerinin dünya enerji üretiminin neredeyse %10’unu tüketmesi bekleniyor. Bu artış, diğer şeylerin yanı sıra, […]

export

Jeodezik Kubbeler

Jeodezik kubbeler, mimari ve mühendislik alanlarında dikkat çeken, işlevsel ve estetik yapılar olarak bilinir. Bu yapılar, ilk olarak 20. yüzyılın başlarında ortaya çıkmış ve zamanla […]

dunya nufusunda zirve
Manşet

Dünya Nüfusunda Zirve

Dünya Nüfusunda Zirve: Gelecekteki Tahminler ve Nedenleri. Son yıllarda dünya nüfusunun geleceği ile ilgili çeşitli tahminler ve senaryolar öne sürülmüştür. Birleşmiş Milletler’in (BM) son raporları, […]

akilli toprak
Bilim

Akıllı Toprak

Akıllık Toprak: Sürdürülebilir Tarım İçin Kendi Kendini Sulayan ve Gübreleyen Yüzeyler. Günümüzde tarım sektörü, artan nüfus ve iklim değişikliği gibi faktörlerle karşı karşıya kalırken, sürdürülebilir […]

nato inovasyon fonu
Manşet

NATO Inovasyon Fonu

Son yıllarda Avrupa’da savunma teknolojisi girişimlerine yapılan yatırımlar hız kazandı. NATO’nun 1 milyar euroluk girişim sermayesi fonunun başındaki Andrea Traversone, Avrupa’nın ABD’deki büyük teknoloji şirketlerine […]

kusaklararasi yoksullasma
Manşet

Kuşaklararası Yoksullaşma

Kuşaklar arası yoksullaşma, ekonomik eşitsizlik ve fırsat adaletsizliği gibi konular, günümüz toplumlarının en önemli sorunlarından biri haline gelmiştir. Baby boomer kuşağından başlayarak, X kuşağı, Y […]

maf antrenman yontemi
Koşu

MAF Antrenman Yöntemi

MAF (Maximum Aerobic Function), Dr. Philip Maffetone tarafından geliştirilen bir antrenman yöntemidir. Bu yöntem, aerobik kapasiteyi maksimize ederek sporcuların daha verimli ve sağlıklı bir şekilde […]

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak gereken her ne iş yapıyorsanız Anda olduğunuzda, tamamen kilitlenirsiniz ve dikkatinizi dağıtan şeyleri engelleyebilirsiniz, bu da her ne yapıyorsanız en iyi şekilde yapmanıza yardımcı olur. Bu yazıda size öncelikle basketbolda antrenmanlarda ve maçlarda anda nasıl daha fazla kalabileceğinizle ilgili bilgiler bulacaksınız.
Manşet

Basketbolda Anda Olmak

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak […]

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk'ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland Arbaugh'un düşünceleriyle bir bilgisayar imlecini kontrol ettiği bir video yayınladı. Elon Musk tarafından kurulan beyin-bilgisayar arayüzü şirketi Neuralink, firmanın implantının "hayatını değiştirdiğini" söyleyen ilk hastasının kimliğini açıkladı. Ancak uzmanlar, Nueralink'in mevcut araştırma çabalarını kopyalamanın ötesinde bir şey yapıp yapmadığının henüz net olmadığını söylüyor.
Manşet

Neuralink

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk’ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland […]

sihirli dovme murekkebi
Bilim

Sihirli Dövme Mürekkebi

HYPRSKN Magic Ink (Sihirli Mürekkep), dünyanın ilk yeniden yazılabilir, silinebilir ve yeniden programlanabilir dövme mürekkebidir. Bu sihirli mürekkep, dövme sektörünü yeniden tanımlayarak bireylerin vücut sanatı […]

aralikli oruc
Bilim

Aralıklı Oruç

Aralıklı Oruç olarakda bilinen zaman kısıtlı beslenme ile ilgili Amerika Kalp Derneğinin 18-21 Mart 2024 tarihinde Chicago’da düzenlenen “Epidemiyoloji ve Önleme|Yaşam Tarzı ve Kardiyometabolik Bilimsel […]

Yavaş Koşu kavramı Japonya'dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, vücuda aşırı yük bindirmeden, kalp sağlığını, metabolizmayı destekleyerek ve zihinsel stresi azaltarak genel sağlığı iyileştirmeye odaklanır. Bu koşu türü Japonya'da Dr. Hiroaki Tanaka tarafından popüler hale getirilmiştir. Dr. Tanaka, bu egzersiz metodunun kalp atış hızını aşırı yükseltmeden, sağlıklı ve etkili bir şekilde fiziksel kondisyonu artırabileceğini keşfetti.
Koşu

Yavaş Koşu

Yavaş Koşu kavramı Japonya’dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, […]

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak'ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini paylaşmış ve hastanın iyileşme sürecinde olduğunu belirtmişti. Üzerinden 1 ay geçen bu operasyon sonrasında hastanın düşünce gücü ile bilgisayar faresini hareket ettirebildiği ile ilgili bir haber paylaşıldı. Beyin çiplerinin geleceğini merak ediyorsanız farklı kaynaklardan derlediğimiz yazı ilginizi çekebilir?
Manşet

Beyin Çiplerinin Geleceği

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak’ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini […]

limonata ve rafadan yumurta
Manşet

Limonata ve Rafadan Yumurta

Çetin Altan tarafından ilk kez 1985’te Güneş gazetesinde, sonra 2.6.2003 ve 21.7.2012 tarihlerinde Milliyet’te yayınlanan “Limonata ve Rafadan Yumurta” başlıklı yazısını sizlerle paylaşmak istedik. Usta […]

yetenek acigi
Eğitim

Yetenek Açığı

Dünya çapında işverenler, yetenek açığının üstesinden gelme mücadelesini sürdürüyor. ManpowerGroup’un kapsamlı “Yetenek Açığı Raporu” bu konuda aydınlatıcı veriler sunuyor. Yıllara Göre Yetenek Açığı Manpower Group […]

yokus kosu antrenmani
Koşu

Yokuş Koşu Antrenmanı

Yokuş koşu antrenmanı, koşmayı seviyor olsanız bile, yokuş yukarı koşmayı sevmeme ihtimaliniz yüksektir. Yerçekimine karşı verilen bu mücadele sizi zorlayabilir, ancak koşu yarışlarına, özellikle de […]

yilin sozcugu otantik
Manşet

Yılın Sözcüğü “Otantik”

Yılın Sözcüğü “Otantik”. Merriam-Webster’ın 2023 Yılın Kelimesi olarak seçtiği kelime “authentic” (otantik) oldu. Bu kelime, her zamankinden daha fazla düşündüğümüz, yazdığımız, özlemini çektiğimiz ve yargıladığımız […]

kworks demo day
Manşet

KWORKS Demo Day

🎯Bu yıl Koç Üniversitesi Girişimcilik Merkezi KWORKS bünyesinde yer alan girişimlere mentorluk yapmaya başladım. Birebir çalıştığım girişimlere uzmanlık alanım ve tecrübelerim doğrultusunda destek oluyorum. Bu […]