Yalnızca SAP değil, tüm dijital sistemler, aynı temel sebeplerden ötürü saldırganların hedefinde.
VERİMLİLİK CEPHESİ 🏰
Ticaret hacmini yükseltmek için operasyonlarını dijitalleştiren, önemli adımlar atan bir çok firma, bilinirliği dolayısıyla SAP ERP sistemlerini tercih etti.
Burada amaç sektörün önde geleni olduğu düşünülen sistemler ile daha başarılı bir dijitalleşme proje süreci yürütmek, hem kurum akışlarına uygun sistem geliştirmek hem de riskleri azaltarak dijital ticarette hızla firma becerilerini uygulamak idi.
SAP'yi örnek verme sebebimiz ise pek çok dijitalleşme projesinde konuşulmuş, bilinir olmasından ötürüdür, diğer yandan ERP alternatifleri ve kuruma daha uygun olan yazılım teknolojilerini araştıran ve kullanan kurumlar da mevcut.
Diğer ERP sistemlerini tercih eden kurumların da SAP'nin taşıdığı riskleri taşımadığı sanılmaması için, farklı uygulamaların, farklı siber risklerinin olduğunu da hatırlatmalıyız.
SALDIRI CEPHESİ 👹
Diğer cephede ise, siber saldırganlar da yaygın olarak kullanılan sistemler üzerine çalışma yapmayı, böylelikle bulacakları açıklar sonucunda daha çok sayıda kuruma saldırabilmeyi tercih ediyor. Bunu genellikle bir otomasyona bağlayarak (!) kod haline getirdiklerinde, tüm İnternet'i gezen bir kod haline geliyor.
Yine de onlar için saldırıda kesin çizgiler ve sınırlar yok, işin kolayına kaçmaları, eğer yeni bir açıklık mevcutsa bunu hemen kullanmaları da mümkün, yani açıklık olan herhangi markalı bir sistem, herhangi bir zaman diliminde saldırmaları için yeterli oluyor, önceliklerini kolay olarak erişilene verdiklerini söyleyebiliriz.
SAP / ERP sistemleri için zaman ayırma sebebi ise, bu sistemlerdeki önemli veriler; saklanan kredi kartı bilgileri, kişisel bilgiler, ödeme bilgileri, ticari ilişkilere yönelik çeşitli bilgiler; tedarikçi bilgileri, fiyat ve stok bilgileri. Bu bilgiler en sık çalınmak istenen bilgiler arasında yer alıyor, bunun dışında çıkar grupları ve ekipleşmiş saldırganlar da çalışmalarını daha hedefli olarak, seçici şekilde farklı motivasyonlara göre yapabiliyorlar.
Saldırıda bir kurumdan elde edilen verilerde, belirtilen veri alt gruplarının gözlemlenme ihtimali ise kaba bir tahminle;
Satış Verisi (%50)
İnsan Kaynakları Verisi (%44)
Müşteriyi Belirlemeyi Sağlayan Kişisel Bilgiler (%42)
Mühendislik Sırrı (%39)
ARGE - Know How (%36)
Finansal Veri (%33)
şeklinde gerçekleşebiliyor. Saldırganlar, erişimden sonra yalnız bir veri grubunu alıp ayrılmıyor, fark edilmeden erişebildikleri diğer kaynakları da değerlendiriyor, evet saldırmanın belirlenen bir sınırı, kabul görmüş bir etiği yok!
SAVUNMA CEPHESİ 💪
Aslında kurumlar dijital risklerini azaltmak isterken, istemediği riskleri de beraberinde kabullenmiş olabiliyor.
Bu gibi durumlarda, riski doğuran unsur ile önlem unsurunun ayrı mecralarda değerlendirilmesi faydasını hatırlatmalıyız, tabiri caizse, yumurtaları farklı sepetlere koymayı öneriyoruz.
Yazılımların kendi içerisindeki veri saklama prensipleri, verilerin saklandığı alana erişimler, kullanıcıların erişim politikalarının belirlenmesi gibi birbirinden değişik pek çok farklı alanda güvenlik çalışmaları yapılması gerekiyor. Bunların çoğu yazılım tasarımı sırasında yapılıyor. Üst düzey kalitedeki yazılımlarda bu çalışmaların hem tasarım sırasında "kaynak kod analizleri" ile hem de uygulama yayına alınmadan önce "uygulama sızma testleri" ile güçlendirilmesi sağlanıyor.
Tecrübelerimize ve temel güvenlik prensiplerine göre; güvenliği yükselten ve riskleri düşüren en temel yaklaşım, gereksiz erişimin engellenmesi ile sağlanabilmekte. Yazılım ne kadar güvenli tasarlanmış olursa olsun, belirli bir zaman diliminde gerek işletim sistemi, gerekse eklenen çeşitli fonksiyonlar neticesinde, açıklıklar doğurabiliyor. Doğan açıklıklar saldırganlarca daha önceden bulunduğu durumlarda da, sonuç veri çalınması, sistemlerin zarar görmesi, dijital operasyonun ve itibarın zararı ile sonuçlanıyor.
Gelişen risklere göre, çözüm önerimizin başında güvenli erişim kontrolü ve erişim yönetimini kolaylaştırmak geliyor. Bununla ilgili "Dijital Dönüşüm ve Yeni Nesil Çözümlerimiz" yazımızı burada bulablirsiniz: https://blog.isr.com.tr/2023/03/dijital-donusum-ve-yeni-nesil.html
Kısacası en geçerli çözüm olarak Zero Trust yaklaşımı ile tasarlanmış ZTNA çözümlerini önermekteyiz.
ARGE çalışmalarımızın sonucunda yeni ürünümüz TINA ISOLATOR® 'ü ortaya çıkarttık (https://www.tinasecurity.com/tr/isolator-tr/).
SALDILARIN BEDELİ 💰
SAP'ye yapılan saldırıların direkt ve endirekt maliyetleri dikkate alındığında ortalama 4.5milyon dolar'lık bir maliyet oluşturduğuna dair araştırmalar mevcut. Elbette maliyetler kurumlara göre oldukça değişken düzeyde, bazı kurumlarda 1-3 dakika kadar yaşanan kesintiler yapılamayan işlemlerin tutarlarına tolerans tanınamazken, bazı firmalarda bu 30 dakikaya kadar dahi değişebiliyor. Avrupalı bir yiyecek-içecek sağlayıcısı kurumun hesaplamasına göre dakikada 22 milyon dolar kayıp edilen işletmeler de mevcut.
Önem çekmek istediğimiz nokta ise, bu kayıpların neler olabileceğinin üzerine biraz düşünülmesi, çalışmaların yapılması, kayıplar ile karşılaşılmadan önce hazırlıklı olunması, faturasını sonradan ödemek yerine baştan bu çalışmaların yapılması, alınması gereken önlem boyutunu da ortaya çıkarttığından yeterli miktarda önlemin ne olduğunun hesaplanması da sağlanabiliyor.
GEÇMİŞ SALDIRILAR & GÖZLEMLERİMİZ 👀
SAP'de gerçekleştirilen veri sızıntılarının pek çoğunu güvenlik camiasındaki haberlerden, "underground" olarak tabir edilen saldırganların yer altında yaptığı konuşmalardan gözlemliyor ve çoğu zaman bu sızıntıların yayınlanmadığını görüyoruz.
Saldırganlar bazen de kurumdan daha çok para almak veya verinin açığa çıkmasından farklı faydalar elde edeceklerinden dolayı, saldırıların sonucunda elde ettikleri verileri açıklıyor, böylece saldırı sonucu inkar edilemez bir hale geliniyor.
Örneklerden bazıları;
- Yunanistan Finans Bakanlığı, Ekim 2012'de ortaya çıkan ilk SAP saldırılarından birisi olarak anılmakta. Yunanlı Bakanlığa ait gizli doküman ve kullanıcı giriş bilgilerinin yayınlandığı bu saldırıda, kurum tarafından saldırganın ortaya döktüğü verilerinin kaynağının SAP olduğu açıklandı. Veri kaynağının belirlenebilmesine karşın, saldırının tam olarak nasıl yapıldığı da ortaya net şekilde ortaya çıkartılamadı.
- NVIDIA, görüntü işleme kartları üreten firma, tarafından Ocak 2014'te gerçekleşen başarılı saldırının sebebi olarak, 3 yıl önce yayınlanmış bir güncellemenin yapılmadığı bilgisi paylaşıldı. Bu saldırı ile tam 14 gün boyunca müşteri destek sitelerinin çalışamaması, firmada muazzam bir itibar kaybına yol açtı. Herhangi bir veri kaybının olmadığı saldırıda, yine de bu durumun rakiplerinin çok işine yaradığı da aşikar.
- Amerikan Devlet Kurumu (USIS - US Investigation Services), Mayıs 2015'te Çin menşeili saldırganlar tarafından SAP sistemlerine erişimin sağlandığını, pek çok operasyonel departman yazılımından, insan kaynakları, muhasebe gibi, izinsiz bilgi çıkarıldığını açıkladı.
- 2020/6 - 2021 aralığında 300 başarılı saldırı: SAP'nin de çalışmalara katılığı raporda 1.500 saldırı girişiminde %20'lik bir oranda başarıyla saldırıların gerçekleştiğinin tespit edildiği belirtilmekte. Bu çalışmada SAP tarafından fark edilen zafiyetin yamasının 72 saat içerisinde yayınlanabildiği belirtiliyor. Yama yayınlandığı bilgisi müşterilere verildikten sonra ise, saldırganın yayınlanan yamadaki açıklığı kullanmak için, yaması yapılmamış yerleri bularak saldırıya geçmesi 3 saat içerisinde gerçekleşmiş ve saldırgan 90 dakika içerisinde sistemde yetkisiz erişime ulaşabildiği belirtilmekte.
YENİ ZTNA ÇÖZÜMÜMÜZ: TINA ISOLATOR
ZTNA çözümü, konumlandırılan ağa olan tüm erişimleri yönetir, ağ alanına kontrollü erişim sağlar.
ZTNA, ağdaki cihazların; sunucu ve/veya servislerin keşif edilmesini kontrol eder ve engeller, böylelikle sadece sistem yöneticisinin belirlediği erişim izin koşulları sağlandığında bu sistemlere erişilebilir ve kullanıcı tarafından görülebilir hale gelir.
TINA ISOLATOR® (https://www.tinasecurity.com/tr/isolator-tr/)
Dene ve Al Stratejisini Öneriyoruz
TINA ISOLATOR hakkında detaylı bilgi, sunum veya demo talepleri için;
Bize bu numaradan ulaşabilirsiniz: 0216 450 25 94
E-posta ile: [email protected]
Online Tanıtım randevunuzu buradan da başlatabilirsiniz.
