Solarwinds Saldırılarında Son Durum

Solarwinds saldırılarında son durum nedir? Solarwinds’in Orion isimli ürününün bir güncellemesine yerleştirilen bir arka kapı (backdoor) açığını kullanarak gerçekleştirilen siber saldırılardaki son durumu paylaşalım. Yaklaşık 300 bin müşterisi olduğunu bildiğimiz Solarwinds bu olaydan 18 bin müşterisinin bu zafiyete sahip güncellemeyi aldığını bildirmişti. Son durumda içerisinde Amerika kamu kuruluşlarının da bulunduğu 1000 kurum ağında bu zararlı yazılım siber saldırganların komuta kontrol merkezi ile iletişime geçtiği belirtiliyor. Bu aşamada siber saldırganların ilgili zafiyeti kullanarak kurumların ağına sızma çalışmalarına başlayacağı belirtiliyor.

Bu aşamada saldırganları durdurmak oldukça önemli. Etkilenen tüm kurumların siber güvenlik ekipleri gece gündüz demeden durumu kontrol altına almaya çalışıyorlar. Umarım çok büyük zararlar oluşmadan saldırılar kontrol altına alınır.

Bundan sonrası nasıl olacak?

Covid-19 un hayatımıza girmesi ile uzun süredir yeni normali konuşuyoruz. FireEye’ın hacklenmesi ve arkasından Solarwinds Orion yazılımında çıkan arka kapı zafiyeti sonrası  binlerce kurumun siber saldırıya uğraması da Siber Güvenlik alanında yeni normali konuşmamızı sağlayacak bir etki (henüz olayın yarattığı ekonomik hasarı tam olarak bilmiyoruz) yarattı!

Şu haberde Amerika da kamu kurumları siber güvenlik önlemlerini yeniden değerlendirilmesi gerektiği anlatılıyor! Bu yazıyı yazarken Nato’nun yayınladığı bir rapor dikkatimi çekti. Tüm bu siber saldırıların arkasında Rusya devlet desteğinin olduğu söyleniyor. Nato raporunda bu konuyu detaylı bir şekilde analiz etmiş. Detaylı analizi ve 2030 yılına kadar yapılacaklarla ilgili kapsamlı bir rapor hazırlamış. Henüz okumadığım için yorum yapamıyorum. Ulaşmak için bu adresi kullanabilirsiniz.

Bunun yanında teknoloji üreticilerinin kendilerine epeyce ders çıkartacaklarını, çıkartmaları gerektiğini düşünüyorum.

Takip ettiğim bir çok yerel ve yabancı sosyal medya hesabında siber güvenlik uzmanları, danışmanları, yöneticileri, firmalar bu saldırıların etkilerini, bu tür saldırıların tekrar etmemesi için yapılması gerekenleri tartışıyor, her gün onlarca haber, makale geliyor. Herkes kendince öğrenilen dersleri listeliyor, yapılması gerekenleri, önerilerini paylaşıyor.

Önerim en azından ülkemizde bu olaylardan çıkartılan dersleri derleyip toplayarak benzer bir durumun bizim başımıza gelmemesi için ve geldiğinde neler yapacağımızın konuşulacağı ve çıkartılan dersler ve alınması gereken aksiyonların da belirleneceği bir çalıştay düzenlenmesi olur. Siber güvenlik haftasında bu konu ele alınabilirse güzel bir çalışma olur.

Bu ne ilk ne de son olacak!

Son 20 yılda Rusya devlet destekli olduğu söylenen ve Amerika’yı hedef alan benzer siber saldırıları içeren bir haberi inceledim. Haberin detayına buradan erişebilirsiniz. 1996 da Moonlight Maze Siber casusluk saldırısı ile başlamış ve bu saldırılarda Amerika kamu kurumlarına ait ciddi miktarda bilgi ve belge çalınmış. Bugüne kadar kayıtlara geçmiş onlarca devlet destekli görünen saldırı var. Sonuncusu hala yaşanıyor, bu ne ilkti ne de son olacak.

Yine haberleri takip ederken bir yazıya denk geldim. Biraz ağır olsa da özetle şunları söylüyor Edward Amoroso yazısında:

• Son yaşadığımız olayın önemi kurumsal şirketler tarafından tam olarak anlaşılmadı.
• Yazılımları hedefleyen saldırıları gerçekleştirmek çok kolaylaştı. Çocuklar dahi bunu yapabilecek duruma geldiler. Saldırıları vurgulayan raporlar kimsenin işine yaramıyor (buna %100 katılıyorum).
• Rusya yada diğer devlet destekli siber saldırıların önüne geçmek neredeyse imkansız. İstedikleri zaman istedikleri yere saldırabilirler.
• Siber güvenlik saldırılarını önlemek için kullanılan yazılımlar devlet destekli siber saldırıları durdurmakta yetersiz
• Ağ güvenliği yaklaşımı 25 yıldır aynı ve bu tür saldırıları durdurmakta yetersiz ancak biz hala kullanmaya devam ediyoruz!
• Solarwinds Orion yazılımında olduğu gibi devlet destekli saldırganların bu yazılımların içerisine yerleştirdikleri Truva atlarını tespit etmek çok zor hatta imkansız
• Devlet destekli saldırılara karşı koymakta kurumlardaki siber güvenlik ekipleri yetersiz kalıyor
• Solarwinds’e yapılan bu saldırı, başka yazılım şirketlerine hatta size bile yapılmış olabilir ancak siz henüz farkında olmayabilirsiniz!
• İyi bir siber savunma için kullandığımız yazılımların, boyutunu, karmaşıklığını, çeşitliliğini azaltmalıyız. Sağlam bir bina için basit sağlam tuğlalara sahip olmalısınız.

Bu tespit ve önerilere katılırsınız yada katılmazsınız. Ancak bir çoğu gerçek ve rahatsız edici. Edward’ın son önerisi okuduğum bir çok siber güvenlik raporunda yer alıyor. Karmaşık ve onlarca farklı teknolojinin bir arada çalışması için karışık konfigürasyonlar hataya açık ve siber saldırganlar da bu açıkları kullanıyor.

Her şeyi dijitalleştirdiğimiz bir dönemde oluşacak dijital yapının güvenlik ihtiyaçlarını öngörmeden yapıyor olmak en büyük hatadır bana göre. Eğer şu anda yürüyen bir yazılım geliştirme projeniz var ve güvenlik ihtiyaçları analiz edilmemiş ise bu projenizi hemen durdurun ve güvenlik ihtiyaçlarını belirleyin ve öyle devam edin!

“Shift Left” yada “DevSecOps” bu iki kısaltmayı oldukça çok duymaya başlayacağız. Her iki kısaltma da yazılım geliştirme süreçlerinin içerisinde ilgili yazılımın güvenlik gereksinimlerinin yer alması ve yazılım test süreçlerinde tüm olası zafiyetlere göre bu yazılımların test edilmesi ve gerekli düzeltmelerin yapılması sonrası canlı kullanıma geçilmesi önerilir.

Gelişmeleri takip edip paylaşmaya devam edeceğim.

Güvende kalın.