Siber saldırı, zarar vermek amacıyla bir bilgisayara, bilgisayar sistemine veya bilgisayar ağına yetkisiz erişim sağlamaya yönelik her türlü girişimdir. Siber saldırılar, bilgisayar sistemlerini devre dışı bırakmayı, bozmayı, yok etmeyi veya kontrol etmeyi ya da bu sistemlerde tutulan verileri değiştirmeyi, engellemeyi, silmeyi, manipüle etmeyi veya çalmayı amaçlar.
Herhangi bir kişi veya grup, bir veya daha fazla çeşitli saldırı stratejisi kullanarak herhangi bir yerden siber saldırı başlatabilir.
Siber saldırıları gerçekleştiren kişiler genellikle siber suçlular olarak kabul edilir. Genellikle kötü aktörler, tehdit aktörleri ve bilgisayar korsanları olarak adlandırılan bu kişiler, kötü niyetli saldırılar tasarlamak ve yürütmek için bilgisayar becerilerinden yararlanarak tek başlarına hareket eden bireyleri içerir. Bu kişiler aynı zamanda bir suç örgütüne de mensup olabilirler ve diğer tehdit aktörleri ile birlikte çalışarak bilgisayar sistemlerinde -açıklıklar olarak adlandırılan- zayıflıklar veya sorunlar bulup bunları suç amaçlı olarak kullanabilirler.
Bilgisayar uzmanlarından oluşan devlet destekli gruplar da siber saldırılar düzenler. Bunlar ulus-devlet saldırganları olarak tanımlanır ve diğer hükümetlerin yanı sıra işletmeler, kar amacı gütmeyen kuruluşlar ve kamu hizmetleri gibi hükümet dışı kuruluşların bilgi teknolojisi (BT) altyapısına saldırmakla suçlanırlar.
Siber saldırılar neden gerçekleşir?
Siber saldırılar zarar vermek üzere tasarlanmıştır. Aşağıdakiler de dahil olmak üzere çeşitli hedefleri olabilir:
Finansal kazanç. Siber suçlular çoğu siber saldırıyı, özellikle de ticari kuruluşlara yönelik olanları, mali kazanç elde etmek için gerçekleştirir. Bu saldırılar genellikle müşteri kredi kartı numaraları veya çalışanların kişisel bilgileri gibi hassas verileri çalmayı amaçlar ve siber suçlular daha sonra kurbanların kimliklerini kullanarak para veya mallara erişmek için kullanırlar.
Mali amaçlı diğer saldırılar bilgisayar sistemlerini devre dışı bırakmak için tasarlanmıştır; siber suçlular bilgisayarları kilitleyerek bilgisayar sahiplerinin ve yetkili kullanıcıların ihtiyaç duydukları uygulamalara veya verilere erişememesini sağlar; saldırganlar daha sonra hedeflenen kuruluşlardan bilgisayar sistemlerinin kilidini açmak için fidye ödemelerini talep eder.
Yine de diğer saldırılar, özel bilgiler gibi değerli kurumsal verileri elde etmeyi amaçlamaktadır; bu tür siber saldırılar, kurumsal casusluğun modern, bilgisayarlaştırılmış bir şeklidir.
Yıkım ve intikam. Kötü aktörler ayrıca özellikle kaos, karışıklık, hoşnutsuzluk, hayal kırıklığı veya güvensizlik tohumları ekmek için saldırılar düzenler. Kendilerine karşı yapılan eylemlerin intikamını almak için böyle bir eylemde bulunuyor olabilirler. Saldırıya uğrayan kurumları kamuoyu önünde utandırmayı veya kurumların itibarına zarar vermeyi amaçlıyor olabilirler. Bu saldırılar genellikle devlet kurumlarına yönelik olmakla birlikte ticari kuruluşları veya kar amacı gütmeyen kuruluşları da vurabilir.
Bu tür saldırıların bazılarının arkasında ulus-devlet saldırganları bulunmaktadır. Hacktivist olarak adlandırılan diğerleri, hedeflenen kuruluşa karşı bir protesto biçimi olarak bu tür saldırılar başlatabilir; Anonymous olarak bilinen gizli bir merkezi olmayan enternasyonalist aktivist grubu, bu tür grupların en iyi bilinenidir.
İçeriden gelen tehditler, kötü niyetli çalışanlardan gelen saldırılardır.
Siber savaş. Dünyanın dört bir yanındaki hükümetler de siber saldırılara karışmaktadır; birçok ulusal hükümet devam eden siyasi, ekonomik ve sosyal anlaşmazlıkların bir parçası olarak diğer ülkelere karşı saldırılar tasarladığını ve yürüttüğünü kabul etmekte ya da bundan şüphelenmektedir. Bu tür saldırılar siber savaş olarak sınıflandırılmaktadır.
Siber saldırılar nasıl çalışır?
Tehdit aktörleri siber saldırıları başlatmak için, büyük ölçüde hedeflenen veya hedeflenmeyen bir varlığa saldırmalarına bağlı olarak çeşitli teknikler kullanırlar.
Kötü aktörlerin mümkün olduğunca çok sayıda cihaza veya sisteme girmeye çalıştığı hedefsiz bir saldırıda, genellikle yazılım kodunda tespit edilmeden veya engellenmeden erişim elde etmelerini sağlayacak güvenlik açıkları ararlar. Ya da, çok sayıda kişiye e-posta göndererek, alıcıları kötü amaçlı kod indirecek bir bağlantıyı tıklamaya ikna etmek için hazırlanmış sosyal olarak tasarlanmış mesajlar içeren bir kimlik avı saldırısı kullanabilirler.
Hedefli bir saldırıda, tehdit aktörleri belirli bir kuruluşun peşindedir ve kullanılan yöntemler saldırının hedeflerine bağlı olarak değişir. Örneğin hacktivist grup Anonymous, 2020 yılında Minneapolis Polis Departmanı’nın web sitesine, siyahi bir adamın Minneapolis memurları tarafından tutuklanırken ölmesinin ardından yapılan dağıtık hizmet engelleme (DDoS) saldırısından şüpheleniliyordu. Hackerlar ayrıca hedefli saldırılarda, belirli kişilere e-postalar göndererek ve bu e-postalarda yer alan bağlantılara tıklamaları halinde kurumun teknolojisini ya da sahip olduğu hassas verileri bozmak üzere tasarlanmış kötü amaçlı yazılımları indirmelerini sağlayarak hedefli kimlik avı kampanyalarını da kullanmaktadır.
Siber suçlular genellikle saldırılarında kullanacakları yazılım araçlarını kendileri yaratır ve bunları sıklıkla karanlık web olarak adlandırılan ortamda paylaşırlar.
Siber saldırılar genellikle aşamalı olarak gerçekleşir; bilgisayar korsanlarının güvenlik açıklarını veya erişim noktalarını araştırması veya taramasıyla başlar, ilk tehlikeyi başlatır ve ardından tam saldırıyı gerçekleştirir – ister değerli verileri çalmak, ister bilgisayar sistemlerini devre dışı bırakmak veya her ikisi olsun.
Aslında çoğu kuruluşun bir saldırıyı tespit etmesi ve ardından kontrol altına alması aylar almaktadır. IBM’in “Bir Veri İhlalinin 2022 Maliyeti” raporuna göre, yapay zeka ve otomasyon güvenlik araçlarını tam olarak kullanan kuruluşların bir veri ihlalini tespit etmesi ortalama 181 gün, kontrol altına alması ise 68 gün olmak üzere toplam 249 gün sürmüştür. Kısmen yapay zeka ve otomasyon kullanan kuruluşların bir ihlali tespit etmesi ve kontrol altına alması toplam 299 gün sürerken, yapay zeka ve otomasyon kullanmayan kuruluşların bir ihlali tespit etmesi ortalama 235 gün, kontrol altına alması ise 88 gün olmak üzere toplam 323 gün sürmüştür.
En yaygın siber saldırı türleri nelerdir?
Siber saldırılar en yaygın olarak aşağıdakileri içerir:
Kötü amaçlı yazılım, bilgi sistemlerine saldıran kötü amaçlı yazılımlardır. Fidye yazılımları, casus yazılımlar ve Truva atları kötü amaçlı yazılım örnekleridir. Kötü amaçlı kodun türüne bağlı olarak, kötü amaçlı yazılımlar bilgisayar korsanları tarafından hassas verileri çalmak veya gizlice kopyalamak, dosyalara erişimi engellemek, sistem işlemlerini bozmak veya sistemleri çalışamaz hale getirmek için kullanılabilir.
Kimlik avı, bilgisayar korsanlarının e-posta mesajlarını alıcıları açmaya ikna etmek için sosyal mühendislik yaptıkları zaman ortaya çıkar. Mesajlar, alıcıları ekli bir dosyayı ya da gömülü bir bağlantıyı açarak e-posta içindeki kötü amaçlı yazılımı indirmeleri için kandırır. Siber güvenlik ve uyumluluk şirketi Proofpoint’in “2022 State of the Phish” raporu, ankete katılanların %83’ünün 2021’de kuruluşlarının en az bir başarılı kimlik avı saldırısı yaşadığını ve bu oranın 2020’ye göre %46 arttığını ortaya koydu. Ayrıca anket, kuruluşların %78’inin 2021’de e-posta tabanlı bir fidye yazılımı saldırısı gördüğünü de ortaya koydu.
SMiShing (SMS oltalama veya smishing olarak da adlandırılır), metin (teknik olarak Kısa Mesaj Hizmeti veya SMS olarak bilinir) yoluyla oltalama saldırı metodolojisinin bir evrimidir. Bilgisayar korsanları, alıcılar tıkladığında kötü amaçlı yazılım indiren sosyal olarak tasarlanmış metinler gönderir. Proofpoint raporuna göre, 2020’de %61 olan kurumların %74’ü 2021’de oltalama saldırılarına maruz kalmıştır.
Ortadaki adam veya MitM, saldırganlar kendilerini gizlice bireysel bilgisayar kullanıcıları ve finansal kurumları gibi iki taraf arasına soktuğunda ortaya çıkar. Gerçek saldırı ayrıntılarına bağlı olarak, bu saldırı türü daha spesifik olarak tarayıcıdaki adam saldırısı, ortadaki canavar saldırısı veya ortadaki makine saldırısı olarak sınıflandırılabilir. MitM bazen gizli dinleme saldırısı olarak da adlandırılır.
DDoS, bilgisayar korsanları bir kuruluşun sunucularını büyük miktarda eşzamanlı veri talebiyle bombaladığında ve böylece sunucuları herhangi bir meşru talebi karşılayamaz hale getirdiğinde gerçekleşir.
SQL enjeksiyonu, bilgisayar korsanları, sunucunun hassas verileri ortaya çıkarmasını sağlamak için Yapılandırılmış Sorgu Dili programlama dilini kullanarak sunuculara kötü amaçlı kod eklediğinde meydana gelir.
Sıfırıncı gün istismarı, bilgisayar korsanlarının BT altyapısında yeni tespit edilen bir güvenlik açığından ilk kez yararlanmasıyla gerçekleşir. Örneğin, yaygın olarak kullanılan bir açık kaynak yazılım olan Apache Log4j Projesi’ndeki bir dizi kritik güvenlik açığı Aralık 2021’de rapor edildi ve haberler dünya çapındaki kuruluşlardaki güvenlik ekiplerinin bunları ele almak için çabalamasına neden oldu.
Etki alanı adı sistemi (DNS) tünelleme, saldırganların hedeflerinin sistemlerine kalıcı erişim – ya da tünel – kurdukları ve daha sonra kullandıkları karmaşık bir saldırıdır.
Drive-by veya drive-by download, bir kişi bir web sitesini ziyaret ettiğinde ortaya çıkar ve bu web sitesi de şüphelenmeyen kişinin bilgisayarına kötü amaçlı yazılım bulaştırır.
Kimlik bilgisi tabanlı saldırılar, bilgisayar korsanlarının BT çalışanlarının sistemlere erişmek ve yönetmek için kullandıkları kimlik bilgilerini çalması ve daha sonra bu bilgileri hassas verileri çalmak veya bir kuruluşu ve operasyonlarını başka bir şekilde kesintiye uğratmak için bilgisayarlara yasadışı olarak erişmek için kullanması durumunda gerçekleşir.
Kimlik bilgisi doldurma, saldırganlar diğer sistemlere erişim sağlamak için ele geçirilmiş oturum açma kimlik bilgilerini (e-posta ve parola gibi) kullandığında gerçekleşir.
Bilgisayar korsanlarının kullanıcı adları, parolalar ve şifreleme anahtarları gibi oturum açma kimlik bilgilerini kırmak için deneme yanılma yöntemlerini kullandığı ve birden fazla denemenin doğru bir tahminle sonuçlanmasını umduğu kaba kuvvet saldırısı.
Bir siber saldırıyı nasıl önleyebilirsiniz?
Herhangi bir kuruluşun siber saldırıyı önlemesinin garantili bir yolu yoktur, ancak kuruluşların riski azaltmak için izleyebileceği çok sayıda siber güvenlik en iyi uygulaması vardır.
Siber saldırı riskinin azaltılması, yetenekli güvenlik uzmanları, süreçler ve teknolojinin bir arada kullanılmasına dayanır.
Riskin azaltılması ayrıca üç geniş savunma eylemi kategorisini içerir:
saldırı girişimlerinin kurumun BT sistemlerine gerçekten girmesini önlemek;
izinsiz girişleri tespit etmek; ve
Halihazırda hareket halinde olan saldırıları – ideal olarak mümkün olan en erken zamanda – engellemek.
En iyi uygulamalar aşağıdakileri içerir:
Saldırı girişimlerini engellemeye yardımcı olmak ve bilinen kötü niyetli alanlara erişimi engellemek için güvenlik duvarları gibi çevre savunmaları uygulamak;
Bir kuruluşun ağına ya da sistemlerine erişmek için yapılan her girişimin -ister dahili bir kullanıcıdan ister başka bir sistemden gelsin- güvenilir olduğunun doğrulanmasını gerektiren sıfır güven çerçevesinin benimsenmesi.
Kötü amaçlı yazılımlardan korunmak için antivirüs yazılımı gibi yazılımlar kullanmak ve böylece siber saldırılara karşı başka bir koruma katmanı eklemek;
bilgisayar korsanları tarafından istismar edilebilecek bilinen yazılım açıklarını gidermek için bir yama yönetimi programına sahip olmak;
uygun güvenlik konfigürasyonları, şifre politikaları ve kullanıcı erişim kontrolleri belirlemek;
şüpheli faaliyetleri tespit etmek ve uyarmak için bir izleme ve tespit programının sürdürülmesi;
Güvenlik ekiplerinin otomasyon, akıllı araçlar ve gelişmiş analizler kullanarak şüpheli faaliyetleri ve bilgisayar korsanlarının varlığını onlar saldırmadan önce aktif bir şekilde aradığı bir tehdit avlama programı oluşturmak.
Bir ihlale verilecek tepkiyi yönlendirmek için olay müdahale planları oluşturmak; ve
Bireysel kullanıcıların saldırı senaryoları ve bireyler olarak kurumu korumada nasıl bir rol oynayacakları konusunda eğitilmesi ve bilgilendirilmesi.
En bilinen siber saldırılar nelerdir?
Siber saldırıların karmaşıklığı artmaya devam etti ve sadece ilgili şirketlerin ötesinde önemli etkileri oldu.
Örneğin, uluslararası bir et işleme şirketi olan JBS S.A., 30 Mayıs 2021’de başarılı bir fidye yazılımı saldırısına maruz kaldı. Saldırı, Amerika Birleşik Devletleri’nin yanı sıra Avustralya ve Kanada’daki tesisleri kapatarak şirketi 11 milyon dolar fidye ödemeye zorladı.
Bu saldırı, başka bir etkili siber saldırıdan sadece haftalar sonra gerçekleşti. Hackerlar Mayıs 2021’de Colonial Pipeline’ı bir fidye yazılımı saldırısıyla vurdu. Saldırı, Amerika Birleşik Devletleri’ndeki en büyük yakıt boru hattını kapatarak Doğu Kıyısı boyunca yakıt sıkıntısına yol açtı.
Bundan birkaç ay önce, büyük SolarWinds saldırısı, ABD’ye yapılan en kötü siber casusluk saldırılarından biri olduğuna inanılan ABD federal kurumlarını, altyapısını ve özel şirketlerini ihlal etti. 13 Aralık 2020’de Austin merkezli BT yönetim yazılımı şirketi SolarWinds, Orion yazılım platformunun güncellemelerini tehlikeye atan bir tedarik zinciri saldırısına maruz kaldı. Bu saldırının bir parçası olarak, tehdit aktörleri, birçok SolarWinds müşterisine dağıtılan güncellemelere şimdi Sunburst veya Solorigate olarak bilinen kendi kötü amaçlı yazılımlarını ekledi.
Bu arka kapının ilk teyit edilen kurbanı, 8 Aralık’ta şüpheli ulus devlet bilgisayar korsanları tarafından ihlal edildiğini açıklayan siber güvenlik firması FireEye oldu. Kısa süre sonra SolarWinds saldırılarının aralarında teknoloji devleri Microsoft ve VMware’in yanı sıra birçok ABD devlet kurumunun da bulunduğu diğer kuruluşları da etkilediği ortaya çıktı. Soruşturmalar, Rus hükümeti tarafından desteklendiğine inanılan bilgisayar korsanlarının Mart 2020’den bu yana fark edilmeden hedeflenen sistemlere sızdığını gösterdi.
İşte 2009’a kadar uzanan en kötü şöhretli ihlallerden bazılarının özeti:
Temmuz 2020’de Twitter’a yapılan ve bilgisayar korsanlarının yüksek profilli kullanıcıların Twitter hesaplarına erişebildiği saldırı;
Marriott’un Starwood otellerinde Kasım 2018’de açıklanan ve 500 milyondan fazla misafirin kişisel verilerinin ele geçirildiği bir ihlal;
Şubat 2018’de Under Armour’ın MyFitnessPal (Under Armour MyFitnessPal’ı sattı) şirketinde yaşanan ve 150 milyon kullanıcı hesabının e-posta adreslerini ve giriş bilgilerini açığa çıkaran ihlal;
150 ülkede çeşitli sektörlerde 300.000’den fazla bilgisayarı vuran ve milyarlarca dolar zarara neden olan Mayıs 2017 WannaCry fidye yazılımı saldırısı;
145 milyon kişinin kişisel bilgilerinin tehlikeye girdiği Eylül 2017 Equifax ihlali;
2016’daki Petya saldırılarını, 2017’deki NotPetya saldırıları izlemiş ve dünya genelindeki hedefleri vurarak 10 milyar dolardan fazla zarara yol açmıştır;
2016 yılında bu kez FriendFinder’a yapılan ve 412 milyon kullanıcıya ait 20 yıldan fazla verinin ele geçirildiğini söyleyen bir başka saldırı;
2016’da Yahoo’da 500 milyon kullanıcı hesabında bulunan kişisel bilgileri açığa çıkaran bir veri ihlali ve ardından 1 milyar kullanıcı hesabını tehlikeye atan başka bir saldırı haberi;
2014 yılında eğlence şirketi Sony’ye karşı yapılan ve hem kişisel verileri hem de henüz yayınlanmamış filmler de dahil olmak üzere kurumsal fikri mülkiyeti tehlikeye atan ve ABD’li yetkililerin saldırıdan Kuzey Kore’yi sorumlu tuttuğu saldırı;
eBay’in Mayıs 2014’te bilgisayar korsanlarının 145 milyon kullanıcısının kişisel bilgilerini toplamak için çalışan kimlik bilgilerini kullandığını duyurması;
2013 yılında Target Corp. tarafından yaşanan ve 110 milyon müşteriye ait verilerin çalındığı ihlal; ve
Ocak 2009’da açıklanan ve 134 milyon kredi kartına ait bilgilerin açığa çıktığı Heartland Payment Systems veri ihlali.
Siber saldırı trendleri
Birçok rapora göre siber saldırıların hacmi, maliyeti ve etkisi her yıl artmaya devam ediyor.
Bir 2022 raporundaki rakamları ele alalım. ThoughtLab tarafından hazırlanan “Daha Riskli Bir Dünya için Siber Güvenlik Çözümleri” raporu, ankete katılan kuruluşların maruz kaldığı maddi ihlallerin sayısının 2020’den 2021’e %20,5 arttığını belirtiyor. Yine de, yöneticilerin ve yönetim kurulu üyelerinin siber güvenliğe her zamankinden daha fazla önem vermelerine ve daha fazla harcama yapmalarına rağmen, CEO’ların ve CISO’ların %29’u ve baş güvenlik görevlilerinin %40’ı kuruluşlarının sürekli gelişen tehdit ortamına karşı hazırlıksız olduğunu söyledi.
Raporda ayrıca güvenlik uzmanlarının saldırı hacminin tırmanışını sürdürmesini bekledikleri belirtiliyor.
Siber saldırı türleri ve bunların karmaşıklığı da 21. yüzyılın ilk yirmi yılında, özellikle de 2020’nin başlarından itibaren kuruluşların toplu olarak uzaktan çalışmayı etkinleştirdiği ve bu süreçte bir dizi potansiyel saldırı vektörünü ortaya çıkardığı COVID salgını sırasında artmıştır.
Örneğin, saldırı vektörlerinin (yani kötü amaçlı kodun sistemlere bulaşmak için kullandığı yöntem veya yol) yıllar içinde artan sayısını ve türünü düşünün.
İlk virüs 1986 yılında icat edildi, ancak virüs bulaştığı sistemlerdeki verileri bozmayı amaçlamıyordu. Cornell Üniversitesi yüksek lisans öğrencisi Robert Tappan Morris, 1988 yılında Morris solucanı adı verilen ve internet üzerinden dağıtılan ilk solucanı yarattı.
Ardından WannaCry, Petya ve NotPetya gibi isimlerle daha yıkıcı ve kötü şöhretli hale gelen Truva atı, fidye yazılımı ve DDoS saldırıları geldi – hepsi fidye yazılımı saldırı vektörleri.
Daha sonra 2010’lu yıllarda kripto para madenciliği kötü amaçlı yazılımı ya da cryptojacking olarak da adlandırılan kripto para madenciliği kötü amaçlı yazılımları ortaya çıkmıştır. Bu kötü amaçlı yazılımlar sayesinde bilgisayar korsanları bir bilgisayarın işlem gücünü yasadışı bir şekilde ele geçirerek karmaşık matematiksel problemleri çözmek ve kripto para kazanmak için kullanmaktadır. Kripto madenciliği kötü amaçlı yazılımı bilgisayarları önemli ölçüde yavaşlatır ve normal işlemlerini aksatır.
Hackerlar ayrıca 21. yüzyılın ilk on yıllarında daha sofistike teknolojiler benimseyerek makine öğrenimi ve yapay zekanın yanı sıra botlar ve diğer robotik araçları kullanarak saldırılarının hızını ve hacmini artırdılar.
Bilgisayar sistemlerine yetkisiz erişim sağlamak için yamalanmamış güvenlik açıklarının, şifreler de dahil olmak üzere tehlikeye atılmış kimlik bilgilerinin ve yanlış yapılandırmaların peşinden gitmeye devam ederken, daha sofistike kimlik avı ve hedefli kimlik avı kampanyaları geliştirdiler.