“Zero-day” saldırılarının ne kadar önemli ve tehlikeli olduğunu anlatan onlarca üretici sunumu bulunabilir. Söylenenlerin aksine, “zero-day” (veya kötü tercümesiyle “sıfırıncı gün açıkları”) yönetilmesi gereken bir zafiyet türüdür.
Siber güvenlik, fare kapanı misali ürün konumlandırarak saldırıları engellemeye çalışan yapıyı geride bırakmalı. Bir çalışanın oltalama e-postasına tıklaması, muhasebe veri tabanının şifrelenmesi veya yedeği olmayan diskin yanması gibi, zero-day zafiyetlerini yönetebilecek, bunlara dayanabilecek bir yapı kurgulanmalıdır. Bu konuda daha fazla bilgiye “Siber Dayanıklılık” konusunda yayımladığımız kitapçıktan ulaşabilirsiniz.**
Yapıları ve özellikleri nedeniyle zero-day zafiyetleri diğer siber güvenlik tehditlerine göre daha “sinsi” olarak tanımlanabilir. Zero-day zafiyetleri, etkiledikleri yazılımın üreticisi tarafından da bilinmediği için herhangi bir yama veya güncelleme yayımlanması mümkün değildir. Bu yazıda zero-day zafiyetlerinin ardındaki sis perdesini kısaca aralayacağız.
Zero-day zafiyetlerinden çok, bu zafiyetlerden faydalanan istismar kodları bizler için risk oluşturmaktadır. Diğer zafiyetlerden farklı olarak herhangi bir güncelleme olmadığı için, bu zafiyetler ve istismar kodları siber suçlular ve devlet destekli siber saldırılar için aranan istismar kodlarıdır. Henüz bilinmedikleri için siber saldırganlara nispeten rahat hareket edebilecekleri bir zaman aralığı da sunduklarını hatırlamakta fayda olacaktır.
Zero-day zafiyetlerinin yaşam döngüsü, diğer bütün zafiyetlerde olduğu gibi, tespit edilmeleriyle başlar. Ancak, diğer zafiyetlerden farklı olarak, bunlar etkiledikleri yazılımların üreticilerine bildirilmez. Aksine, el altından en yüksek parayı teklif edene veya edenlere satılır. Bu aşamadan itibaren ve kısa süre içerisinde ilgili yazılımı kullanan bütün kuruluşların risk seviyesi ciddi biçimde artar. Zero-day zafiyeti ve istismar kodu denildiğinde akla Stuxnet zararlısı gelebilir. Ancak, zero-day zafiyetlerinin saldırganlar açısından maliyetli olduğu unutulmamalıdır. Bu nedenle, Stuxnet olayında görüldüğü gibi zero-day zafiyetleri mevcut zafiyetleri istismar eden kodlarla birlikte de kullanılır. Burada amaç, saldırının toplam maliyetini belli bir seviyede tutmaktır.
Siber ölüm zincirinin tamamı düşüldüğünde (bkz. Aşağıdaki adımlar), her adımı kapsayacak bir zero-day zafiyeti ve istismar kodunu bulmak çoğunlukla mümkün olmayacaktır. Stuxnet olayında olduğu gibi, saldırının belli adımları zero-day istismar kodlarıyla, kalanı bilinen zafiyetler ve saldırı teknikleri kullanılarak gerçekleştirilir.
Zero-day saldırılarıyla başa çıkmak
Yukarıda belirtildiği gibi, zero-day zafiyetleri yönetilmesi gereken bir tehdittir. Bu konuda kuruluşlara faydası olacak bazı noktalar aşağıda verilmiştir.
- Yama yönetimi: Zero-day zafiyetlerinin yaması ve güncellemesi olmaz. Ancak, zero-day istismar kodlarının kullanıldığı saldırıların çok önemli bir kısmında görüldüğü gibi, zero-day zafiyetlerinin yanında yakın zamanda tespit edilmiş zafiyetler de hedeflenmektedir. Bu nedenle, etkin bir zafiyet yönetimi sürecine sahip olmak zero-day zafiyetleriyle mücadele için de faydalıdır.
- Ağ segmentasyonu: Zero-day zafiyetlerini istismar eden saldırganların kuruluş ağında yayılmasını engellemek ve bunun sonucunda saldırının toplam etkisini azaltmak için, ağ segmentasyonu etkili bir yöntemdir.
- Tehdit istihbaratı paylaşımı: Sektör bazında tehdit istihbaratı paylaşımında bulunmak güncel olarak istismar edilen zafiyetler ve kullanılan saldırı teknikleri konusunda ciddi ipuçları verebilir.
- İzin verilen uygulama listesi (Application Whitelisting): Kuruluş sistemlerinde çalışabilecek uygulamaları sınırlandırarak zero-day zafiyetinin istismarı zorlaştırılabilir.
- Kademeli savunma yapısı: Siber güvenlik mimarisini kademeli bir yapı üzerine kurgulamak zero-day zafiyetlerinin istismar edilmesini zorlaştıracağı için etkisini azaltır.
Zero-day zafiyetlerinin ve bunların düzenli aralıklarla ortaya çıktığı gerçeğini kabul edip, siber güvenlik mimarisi yeniden gözden geçirilmelidir. Bu noktada amaç “engelleme” işlevinin ötesinde, kuruluşun siber saldırıları erken tespit etme becerilerini artırmak ve saldırganların işini zorlaştırarak saldırının etkisini azaltmak olmalıdır.
** Siber Dayanıklılık ile ilgili hazırlamış olduğumuz kitapçık sizde yoksa ve incelemek isterseniz sbasaran@sparta.com.tr adresine mail atarak talep edebilirsiniz.
