2018 Yıl Sonu Özet  Siber Güvenlik Bülteni

2018 yılında gerçekleşen önemli saldırı ve olayları derlediğimiz özel bültenimiz ile bir seneye daha veda ediyoruz. ISR Bilgi Güvenliği olarak, 2019 yılında siber güvenlik farkındalığının arttığı, huzurlu ve mutlu bir yıl olmasını temenni ederiz. Yeni yılınız kutlu olsun. Veri Sızdırma 2018’deki raporlara baktığımızda data sızıntısı yine önceki yıllara göre artmış durumda ve büyük firmaların birçoğu data sızıntısı ile anıldı. Bunlardan başlıcaları MyFitnessPal, Ticketmaster, British Airways, Quora, Marriott, Atlas Quantum, FIFA, Uber, T-Mobile, Under Armour, Aadhaar, NASA. Data sızdırılması ile anılan şirketlerden birisi de Facebook. Cambridge Analytica şirketine veri sağlayarak kullanım şartlarını ihlal etmesi, ardından milyonlarca kullanıcısının mesajlarının internete satışa çıkması ile çökme yaşadı. Yılın sonunda gelen son haber ise fotoğraf API’sinde bulunan bir zafiyet ile 6.8 milyon kullanıcının fotoğrafı başka uygulamar aracılığı ile sızdırıldı. 2018 yılında her saniye 44 veri sızıntısı olayı yaşandı. Kripto Madencilik Yılın ilk ayında BitCoin’in 20.000 Dolar seviyelerine çıkması siber saldırganlar için büyük bir umut oldu. Kripto para borsaları saldırıya uğradı, kullanıcılar dolandırıldı ve saldırganlar fidye yazılımı saldırılarından kripto madencilik zararlı yazılımlarına dönmeye başlayarak saldırı metodlarını değiştirdiler. Bitcoin borsalarının düşüşe geçmesi ile saldırganlar metodunu geliştirerek içerdeki dosya sayısı ile CPU değerlerine bakarak saldırı yöntemini uygulamaya başladılar. Siber saldırganlar 2018 yılında router’lara yaptıkları saldırılar ile de gündem oluşturdu. Binlerce router’a kripto madencilik zararlısı enjekte edilerek coin üretildi. MikroTik, Netgear, TP-Link gibi ünlü markalar siber saldırganlara yenik düştü. Ransomware 2018’in en çok kullanılan kelimelerinden birisi yine APT oldu. Pyeonchang’da kış olimpiyatları başladıktan kısa bir süre sonra alt yapıdaki zafiyetten faydalanan saldırganlar organizatörler tarafından kullanılan ekran monitörlerini kapattı. Saldırganlar, Wi-Fi ve resmi websitesini kapatarak bilet basılmasını engelledi. Ayrıca bu sene SamSam adlı zararlı yazılımına benzer bir yazılım görüldü. Verileri silen zararlı Shamoon petrol ve gaz şirketlerini vurarak büyük zarar verdi. Eylül ayında görülen bazı saldırılarda ise sağlık sektörünü etkileyerek ameliyatların ertelenmesine sebep oldu. Meltdown Spectre Olayı Seneye damga vuran haberlerden birisi de Meltdown Spectre olayı oldu. ARM işlemcilerde çok ciddi güvenlik zafiyetlerinin bulunduğu açıklandı. Zafiyet, uygulama belleğinden bilgi çekebilmesine olanak sağlıyordu. Bu açıktan tüm Mac ve İOS cihazları etkilendi. DDoS Geçtiğimiz senelerden bugüne doğru baktığımızda DDoS saldırılarının daha büyük, daha akıllı ve daha zarar verici olduğunu görebiliyoruz. GitHub saniyede 1.35 terabit’lik veri ile tarihin en büyük saldırılarından birisine uğradı. 2018 yılında DDoS saldırıları bir önceki yıla oranla beş kat arttı. WPA3 Kablosuz Güvenlik Standardı İlk kez CES 2018'de duyurulan WPA3 kablosuz güvenlik standardı hizmete girdi. Kablosuz ağ bağlantılarının kronik güvenlik açıklarının bir çoğunun üstesinden gelmeyi vadeden yeni nesil kablosuz güvenlik standardının en önemli özelliği, kullanıcıları Wi-Fi ağındaki veri takibine karşı korumak için bireysel şifreleme getiriyor olması. 2018’de siber saldırılardan etkilenen sektörlerin başında sağlık ve turizm sektörü geldi. Araştırmalar, 2019 yılında tıbbi cihazlarda önlemler alınmazsa ölüm vakalarının gerçekleşeceği yönünde. Mirai, 2018 yılında bulaştığı her IoT cihazına, güç, bant genişliği ve onarım maliyeti olarak yaklaşık 13.50 Dolar değerinde zarar verdi.  2019 yılında siber saldırıların  dünya genelinde şirketlere toplam zararı 2 trilyon Dolar’dan fazla olacağı öngörülüyor. Siber güvenlik sigortası yaptıran KOBİ’lerin sayısı dünya genelinde geçen seneye oranla %32 arttı. 2013'ten beri her gün ihlallerden çalınan 3,809,448 kayıt bulunmaktadır. Siber saldırıların %43’ü küçük işletmeleri hedefliyor. Şirketlerin %64'ü web tabanlı, %62'si kimlik avı ve sosyal mühendislik saldırılarına maruz kaldı. %59'u kötü niyetli kod ve botnet,% 51'i ise hizmet reddi saldırıları yaşadı. IT yöneticilerinin korkulu rüyası bu sene de e-mail oldu. Malware saldırılarının %92’si e-mail yoluyla bulaştı.  IoT cihazlarının henüz %30’u koruma altında. 2018’de siber suçluların verdikleri zarar 1 trilyon Dolar değerinde olduğu belirtildi. Çok uluslu şirketlerin yalnızca %38’i siber saldırılara karşı hazır olduklarından emin. İnsan hatası %95’lik oranla hala en büyük güvenlik sorunu kaynağı olarak gösteriliyor. B İ Z D E N   H A B E R L E R  Siber güvenlik ve bilgi güvenliği alanındaki 20 yıllık bilgi birikimi ve tecrübelerini birleştirerek, tüm kamu ve özel kuruluşların bilgi güvenliği konusundaki ihtiyaçlarında yurt dışı bağlılığını ortadan kaldırmayı hedefleyerek kurduğumuz şirketimiz 6. yılına başarılar ile ulaştı. Sahip olduğu bilgi birikimi ve yetenekleri sayesinde geleceği önceden inşaa ederek ortaya koyduğumuz çalışmalarla Türkiye’nin 81 iline ve Dünya’nın 3 kıtasına ulaşarak Türk Mühendisliği’nin ve Türk Malı’nın kalitesini gözler önüne sermenin onur ve mutluluğunu yaşadık. Savunma Sanayii Başkanlığı öncülüğünde ilgili tüm kamu kurum/kuruluşları, özel sektör ve akademi temsilcilerinin katkılarıyla temelleri atılan ve ülkemizde siber güvenlik ekosisteminin geliştirilmesi amacıyla kurulan Siber Güvenlik Kümelenmesi'ne dahil edildik. Gerçekleştirdiğimiz fuar ziyaretleri ile sadece ülkemizdeki kuruluşların değil, ülke sınırlarını da aşarak dünyanın farklı noktalarındaki ihtiyaçlara çözüm olduk. Üniversite ve kamu kurumlarında gerçekleştirdiğimiz ücretsiz farkındalık eğitimleri ile kullanıcıları bilinçlendirdik. Ürettiğimiz ürün ve gerçekleştirdiğimiz hizmet çalışmaları ile yerli üretici olmanın gururunu yaşadık. Büyüyen ekibimiz ve genişleyen bayi ağımız ile Türkiye'nin 81 iline ulaştık.

Penetrasyon - Sızma testi yaptırmalı mıyım?

Şirketimizin Ar-Ge faaliyetlerinin yanı sıra yoğunlaştığımız ve tüm ekip arkadaşlarımız ile birlikte keyifle gerçekleştirdiği projeler arasında güvenlik testleri projeleri (Zafiyet tarama, Uygulama Güvenliği Testleri, Kaynak Kod Analizi, APT v.s) özellikle "Sızma / Penetrasyon Testi" bulunuyor.

Çeşitli kanallar üzerinden bize ulaşan sızma testi müşterilerimizin aklında en çok "Bu testi yaptırmalı mıyım? Bu hizmete gerçekten ihtiyacım var mı?" sorusu var. Bu konudaki farkındalığın günden güne arttığını, BT sorumlusu, yöneticisi, CIO 'ların ve şirket sahiplerinin "zafiyetlerimiz neler?" sorusunu gündeme getirdiğini mutlulukla söyleyebiliriz.

Burada bizi esas mutlu eden, "Herkes bu hizmeti satın almalı" mottosu ile geliştirdiğimiz sızma testi modelimizin her geçen gün daha uzaklara, kurumsal yapıların yanı sıra oluşturduğumuz seçkin kanal yapısı ile ülkemizin en uç noktasındaki KOBİ 'lere ulaşması.

Bizim "Bu testi yaptırmalı mıyım? Bu hizmete ihtiyacım var mı?" sorusuna cevabımız çok net.

- "Gizli ya da değil, digital ortamda bilginiz var mı?"

- "Evet"

- "Gizli ya da değil, eğer bir bilginiz varsa bu bilgilerin güvende olup olmadığını, değiştirilip değiştirilmeyeceğini, kötü niyetli kişilerin bu bilgileri çalıp, sizin aleyhinize kullanıp kullanmayacağını, rakiplerinize satıp satmayacağı faktörlerini test ettirmelisiniz. Üstelik bu bilgiler sizin için çok önemsiz olabilir. Ancak bu işi profesyonel olarak yapan saldırganlar için dayınızın adının ve soyadının bile çok önemli bir bilgi olduğunu unutmayınız."

Teknolojinin, özellikle BT sistemlerinin her gün değil, artık neredeyse her saat geliştiği bir dünyada aynı donanım ihtiyaçları gibi, hizmet ihtiyaçlarının da türü ve modeli değişiyor. Sızma testleri bu değişimin getirdiği artık neredeyse "zorunlu" hizmetlerden biri. Bir çok büyük boyutta firma bu testleri kendi içlerinde oluşturduğu kadrolar ile oluştursa da bunun doğrusu dışarıdan gerçek bir saldırıyı simüle ederek gerçekleştirmek.

Sızma ya da genel kullanım şekli ile "Penetration Test" çeşitli adımlar sonunda gerçekleştirilir.

"Projelendirme - Tekliflendirme - NDA - Test - Raporlama - RCe" şeklinde özetlenebilecek bu süreç sonunda müşterilerimiz gerçek bir saldırı sonunda ne kadar zarar görebileceklerini, hangi bilgilerinin kötü niyetli kişilerin eline geçebileceğini, ağ yapılarının ne kadar güvenliği olduğunu ya da olmadığını öğrenir / önlemlerini alabilmek üzere gerekli teknik ve idari tavsiyelerini alır ve önlemleri uygular.

Sızma testlerini kime yaptırmalıyım...  Merdiven altı testler sorunu...

Sızma testi yaptırmayı düşündüğümüz iş ortağını seçmek bu sürecin en önemli adımıdır. Her sektörde bulunan ve "merdiven altı" şeklinde tabir edilen hizmet türü, (!) sızma testi gibi kritik, büyük gizlilik ve hassasiyet ile içerisinde gerçekleştrilmesi gereken hizmet türü için de geçerli. Bu firmayı seçerken aşağıdaki kriterleri göz önünde bulundurmanızı öneririz.

1. Firmanın ilgi odağı nedir? 
2. Geçerli bilgi güvenliği sertifikasyonlarına sahip mi?
3. Referansları var mı? 
4. Bir otorite tarafından onaylı bir ya da birden çok bilgi güvenliği projesi var mı?
5. Gerektiğinde size özel zafiyetleriniz için istismar kodları geliştirebilecekler mi?

İlgi odağı sadece bilgi güvenliği olan, sızma ve diğer tüm testleri (Zafiyet taraması, kaynak kod analizi, APT analizi, Uygulama güvenliği testi)  kendi kadroları ile yapan firmaları tercih etmeniz, projeniz sonunda sahip olacağınız raporunuzun çok daha verimli olmasını sağlayacaktır.

Geçerli bilgi güvenliği sertifikalarına sahip, kendi kadrolarını bu konuda eğitmiş ve uzmanlaştırmış firmalar hem gizlilik, hem de zafiyetlerinizi en doğru şekilde size raporlamak için doğru tercihtir.

Referanslarını sizinle rahatlıkla paylaşamayan firmaları seçmeniz, sizin de gizliliğiniz için en doğru seçimdir.

Yetkili bir otorite tarafından onaylı, gerçekleştirilmiş ve gerek ülkemizde, gerekse global boyutta bilgi güvenliği projesi gerçekleştirmiş bir iş ortağı ile çalışmak sizin seçtiğiniz iş ortağını bu konuda odaklı ve uzman olduğunu kanıtlayacaktır.

Gerektiğinde zafiyet istismar kodu geliştirmek sızma testi ile maliyeti çok daha düşük olan ve otomatik araçlar ile yapılan zafiyet taraması testi arasındaki en büyük farktır. Sızma testi konusunda iş ortaklığı yapacağınız firmanın bu kodları geliştirebileceğinden emin olun.


ISR, kendi standartları ile geliştirdiği ve Tübitak- MARTEK tarafından onaylı sızma testi metodolojisi ile gerçeğe en yakın ve verimli testleri müşterilerine sunar. Bu standartlar gereği testlerin raporları, tüm test sürecinde olan gizlilik ilkeleri ve prensipleri içerisinde müşterilerine "Güvenli" bir kanaldan teslim eder. Raporun tesliminin ardından kapatılan açıklar tarafımızdan tekrar kontrol edilir. Ayrıca ISR tarafından sağlanan tüm test hizmetleri global boyutta kabul görmüş,  CEHv8, OSCE ve OSCP sertifikalı uzmanları tarafından gerçekleştirilir.