Bugünlerde bir şirketin karşılaştığı en yaygın siber saldırılardan biri sıfırıncı gün saldırısıdır (zero-day attack). Sıfırıncı gün, güvenlik ekiplerinin veya güvenlik uzmanlarının yazılım açıklarından habersiz olduğu ve açıkları gidermek için bir güvenlik yaması veya yükseltmesi üzerinde çalışmak için “0” günlerinin olduğu bir durumu tanımlar. Yazılım açıklarının derhal tespit edilip çözülmediğini varsayalım. Bu durumda, mali kayıp, veri hırsızlığı, operasyonların durdurulması, ağa veya sisteme yetkisiz erişim ve zarar görmüş itibar dahil olmak üzere işletme üzerinde önemli olumsuz etkileri olabilir.
Bilgisayar korsanlarının sıfırıncı gün saldırıları ile hedef alabileceği en yaygın sistemler aşağıdakileri içerir:
- İşletim sistemleri
- Donanım
- Nesnelerin İnterneti (IoT) cihazları
- Ürün Yazılımı
- Kurumsal SaaS
- Web tarayıcıları
- Açık kaynaklı yazılım
Zero-Hour Zero-Day Attack Nedir?
Sıfırıncı gün saldırısı veya zero-day attack, yazılım geliştiricinin bir bilgisayar korsanından önce bir uygulama veya cihaz açığı bulması anlamına gelir. Bu noktada güvenlik açığını bulan geliştiricinin proaktif davranması ve kullanıcılara bir yama sunması gerekir.
Sıfırıncı Gün Saldırılarının Türleri
1. Hedefli sıfırıncı gün saldırıları
Hedefli sıfırıncı gün saldırıları, hassas veya kazançlı veriler içeren belirli sistemlerdeki güvenlik açıklarından faydalanır. Bu saldırıların kurbanları Google gibi büyük teknoloji şirketleri, devlet kurumları veya bir sektördeki rakipler olabilir.
2. Hedefli olmayan sıfırıncı gün saldırıları
Bu saldırılar, belirli bir yazılım, donanım veya ürün yazılımı çalıştıran birden fazla cihazda belirli bir güvenlik açığından yararlanan geniş çaplı saldırılardır. Örneğin, bilgisayar korsanı bir tarayıcının bir sürümünde bir açık bulursa, bu tarayıcı sürümünü çalıştıran her cihazı istismar etmeye çalışır.
Çoğu sıfırıncı gün saldırısı işletim sistemlerini, açık kaynak kodunu, ağ cihazlarını, donanımı, ürün yazılımını, bulut tabanlı hizmetleri ve IoT cihazlarını hedef alır. Sıfırıncı gün saldırıları genellikle finans kurumlarını ve bankaları hedef alır.
Sıfır Gün Saldırısı Nasıl Gerçekleşir?
Sıfırıncı gün saldırıları beş aşamada gerçekleşebilir: Tanımlama, Oluşturma, İstihbarat, Planlama ve Yürütme.
1. Tanımlama
Bu tür siber saldırılarda ilk adım hedefi belirlemektir. Bir hedef belirlendikten sonra, bilgisayar korsanının söz konusu sistem için hangi güvenlik açıklarının mevcut olduğunu bulması gerekir. Bunu, bilinen hatalar hakkında okuyarak veya benzer sistemlerde geçmiş saldırıları araştırarak yapabilirler.
Bu güvenlik açıkları belirlendikten sonra bilgisayar korsanları bunları kullanmak ve gizli tutmak için ellerinden geleni yaparlar, böylece bir saldırıda kullanmadan önce güvenlik ekipleri tarafından yamalanmazlar.
2. Oluşturma
Sıfır gün saldırısı, yazılımda daha önce bilinmeyen bir güvenlik açığından yararlanan bir istismardır. Siber saldırı daha önce bilinmeyen bir güvenlik açığını kullandığından, buna karşı korunmak için herhangi bir yama veya düzeltme mevcut değildir. Bu da bilgisayar korsanlarının, çok geç olana kadar kimse ihlal edildiğini bilmeden bilgisayarların ve ağların kontrolünü ele geçirmesine olanak tanır.
Sıfır gün saldırıları, oluşturulma aşamasında, hassas verilere erişmek veya saldırdıkları belirli hedef hakkında bilgi sahibi olmadan hasara neden olmak isteyen kötü niyetli bilgisayar korsanları tarafından oluşturulur. Bu siber saldırılar ne kadar hedefe yönelik ve etkili olursa, bilgisayar korsanlarının mallarını kâr amacıyla sattıkları yeraltı karaborsalarında değerleri de o kadar yüksek olacaktır.
3. İstihbarat
İstihbarat aşamasında bilgisayar korsanı hedef hakkında bilgi toplar. Hedefe erişmenin bir yolunu bulmaya çalışırlar ya da mevcut bir erişim kanalını kullanabilirler (örneğin, sizin için çalışan ve fiziksel erişimi olan bir çalışan).
Bilgisayar korsanının, saldırısını buna göre planlamak için ne yaptığına dair bilgiye de ihtiyacı vardır. Birinin evinize girmeye çalıştığını ancak alarm sisteminizin nerede olduğunu veya nasıl çalıştığını bilmediğini varsayalım. Bu durumda, muhtemelen evinizden değerli bir şey alamadan polisler tarafından yakalanacaklardır.
4. Planlama
Sıfır gün saldırısının bir sonraki aşaması planlamadır. Bilgisayar korsanı, hedefi belirler. Bu bir kişi ya da kurum olabilir ve ardından siber saldırının nasıl gerçekleştirileceğini planlar.
Bilgisayar korsanları hedeflerine karar verdikten sonra, hedefleri hakkında saldırı için faydalı olabilecek bilgileri toplamak için keşif yaparlar. Hedeflerinin bilgisayarları ve ağları hakkında daha fazla bilgi edinmek için Google Dork gibi keşif araçlarını da kullanabilirler.
Tüm bu bilgiler toplandıktan sonra bilgisayar korsanları, ister kötü amaçlı kod ister bilgisayar korsanlığı araçları olsun, araçlarını ve planlarını gerçekleştirmek için gereken altyapıyı hazırlamaya başlar.
5. Yürütme
Yürütme aşaması zero-day saldırısının en önemli kısmıdır, çünkü asıl hasar bu aşamada verilir. Bu, ilk etapta ne tür bir güvenlik açığı veya istismar kullanıldığına bağlı olarak çeşitli şekillerde olabilir.
Örneğin, bir bilgisayar korsanı sisteminize erişim sağlamak için bir uzaktan kod yürütme (RCE) hatası kullanır ve ardından sisteminize kötü amaçlı yazılım yüklerse, bu kötü amaçlı yazılım muhtemelen yaratıcısından başka bir girdi olmadan kendi kötü amaçlı eylemlerini gerçekleştirecektir.
Ancak bazı durumlarda, bilgisayar korsanı hedeflenen kişinin yardımına ihtiyaç duyabilir. Örneğin onları kandırarak bağlantılara tıklamalarını veya bu amaç için özel olarak tasarlanmış e-posta’lardaki ekleri açmalarını sağlayabilirler. Bu durumlarda, bilgisayar korsanının hedeflerine ulaşmaları ancak bir izinsiz giriş girişiminin kendilerini tehlikeye attığının farkında olmayan kullanıcılarla doğrudan etkileşime geçerek mümkün olabilir.
Zero-Day Attacks Örnekleri
Aşağıda popüler Zero-Day saldırı örneklerinden bazılarını bulabilirsiniz:
1. Stuxnet
İlk olarak 2010 yılında keşfedilen Stuxnet, ABD ve İsrail hükümetleri tarafından İran’ın nükleer programını sekteye uğratmak için yaratıldığına inanılan bir bilgisayar solucanıdır. Endüstriyel kontrol sistemlerini hedef alır ve ekipmana fiziksel hasar verir; özellikle fiziksel altyapıyı yok etmek için tasarlanmış bilinen ilk kötü amaçlı yazılımdır.
2. WannaCry
WannaCry, Mayıs 2017’de dünya çapında bilgisayarları vuran bir fidye yazılımı saldırısıdır. Siber saldırı, kendini yaymak için Microsoft Windows’taki bir güvenlik açığını kullandı, hedeflenen kişilerin bilgisayarlarındaki dosyaları şifreledi ve şifrelerini çözmek için fidye talep etti. WannaCry özellikle zarar vericiydi, çünkü kendisini bir bilgisayardan diğerine otomatik olarak yaymak için bir “solucan” tekniği kullandı ve hızla birçok bilgisayara bulaştı.
3. Log4Shell
Log4Shell, Bash kabuğunun günlük tutma özelliğindeki bir açıktan yararlanan bir sıfırıncı gün saldırısıdır. Bir bilgisayar korsanı bir dizi komutu birbirine zincirleyerek kabuğu çalıştıran kullanıcının ayrıcalıklarıyla rastgele kod çalıştırabilir. Bu, hassas verilere erişim elde etmek, ayrıcalıkları artırmak ve hatta sistemin kontrolünü tamamen ele geçirmek için kullanılabilir.
Sıfırıncı Gün Saldırısı Nasıl Çalışır?
Bir sıfırıncı gün saldırısının nasıl çalıştığını doğru bir şekilde anlamak için, öncelikle bu tür saldırılarda yer alan üç temel taraf hakkında net bir fikre sahip olmanız gerekir.
1. Bilgisayar korsanları
Bilgisayar korsanları, güvenlik açıklarını bulmak için belirli bir yazılım veya donanım parçası hakkındaki mevcut bilgileri araştırır. Buldukları açıklardan yararlanarak özel bilgilere erişmeye, fidye talep etmeye ya da sistemi çökertmeye çalışırlar. Bilgisayar korsanları kendi yararlarına kullanabilecekleri bir güvenlik açığı bulana kadar olası çatlakları taramaya devam eder.
2. Satıcılar
Satıcılar, donanım veya yazılımın tescilli sahipleridir. Teknolojinin bakımı ve yükseltilmesinden sorumludurlar. Birçok kuruluş işlerini yürütmek ve sorunlarını çözmek için ürün ve hizmet satıcılarını kullanır. Satıcılar güvenlik, gizlilik ve yüksek kullanılabilirlik sağlamak için hizmet seviyesi anlaşmalarına (SLA’lar) bağlıdır. Satıcılar, sıfır gün saldırısına tepki verme gücüne sahip olanlardır. Ancak bazı durumlarda bilgisayar korsanları, bir şirketin sistemlerinde yer alan ve satıcıların dahil olmadığı belirli güvenlik açıklarını hedef alabilir.
3. Son kullanıcılar
Son kullanıcılar, satıcılar tarafından sağlanan ürün ve hizmetleri tüketir. Son kullanıcı bir kuruluş, çalışanlar ya da günlük tüketiciler olabilir. Genellikle sıfırıncı gün saldırısının etkisini ilk hissedenler onlardır. Satıcılar, zararın artmamasını sağlamak için son kullanıcılarla birlikte çalışır.
Zero-Hour Zero-Day Attack Önleme Yöntemleri
Sıfırıncı gün saldırılarını önlemenize yardımcı olacak bazı ipuçları aşağıdaki şekildedir:
1. Güvenlik açığı taraması gerçekleştirin
Sıfırıncı gün saldırısını önlemek için en kritik adım güvenlik açıklarını taramaktır. Yazılım koduna yönelik saldırıları simüle edebilen ve kodda kusur olup olmadığını kontrol edebilen güvenlik uzmanlarının yardımıyla, güvenlik açığı taraması sıfırıncı gün açıklarının hızla ortaya çıkarılmasına yardımcı olur. Güncellenen yazılımlardaki yeni güvenlik açıklarının, zafiyetlerin ve güvenlik yapılandırma hatalarının tespit edilmesine yardımcı olur. Ancak bu çözüm her sıfırıncı gün saldırısını yakalayamadığından, işletmelerin kod incelemeleri yapmaları ve bir istismarı durdurmak için tarama sonucunu aldıktan sonra derhal harekete geçmeleri gerekir.
2. Yama yönetimi gerçekleştirin
İşletmeler, yeni tespit edilen yazılım açıklarını tespit ettikten sonra, bilinen güvenlik açıklarını düzeltmek ve riski azaltmak için mümkün olan en kısa sürede yazılım yamalarını yüklemelidir. Bu sayede sıfırıncı gün saldırıları riskini önemli ölçüde azaltabilirler.
Yama yönetimi sürecinde işletmelerin yamaları hızlı ve verimli bir şekilde uygulaması çok önemlidir, aksi takdirde bu süreç uzadıkça sıfırıncı gün saldırısı riski de artar.
3. Etkili bir Web Uygulaması Güvenlik Duvarı (WAF) kurun
Uç noktalara veya ağ kenarına, gelen ve giden HTTP/S trafiğini izleyebilen, filtreleyebilen ve önleyebilen ve diğer kötü amaçlı istekleri engelleyebilen güçlü bir Web Uygulaması Güvenlik Duvarı (WAF) (WAF) teknolojisi dağıtın. Etkili bir WAF, şirketinizin tehditlere gerçek zamanlı olarak yanıt vermesini ve ortaya çıkan tehditlerle güncel kalmak için hızla uyum sağlamasını sağlar.
4. Yeni Nesil Antivirüs (NGAV) çözümü yükleyin
Geleneksel antivirüs yazılımları sıfırıncı gün tehditlerine karşı yetersiz kaldığından, sistemlerinizi güvende ve emniyette tutmak için yeni ve geliştirilmiş Yeni Nesil Antivirüs (NGAV) çözümü yükleyebilirsiniz. Bu sayede hacker taktiklerini, tekniklerini ve prosedürlerini (TTP) izleyerek ve bunlara yanıt vererek saldırıları önleyebilirsiniz. Bu, genel saldırı yüzeyini önemli ölçüde azaltır ve birçok ciddi saldırıyı diğer alanlara ulaşmadan önce önler.
5. İzinsiz Giriş Koruma Sistemi (IPS) dağıtın
Bir ağı gerçek zamanlı olarak sürekli izlemek ve kötü amaçlı kodların ağa sızmasını önlemek için bir Saldırı Önleme Sistemi (IPS) kullanın. İmza tabanlı ve anomali algılama teknolojisini kullanarak bilinen güvenlik açıklarını ve sıfırıncı gün saldırılarını önleyin. Bu sayede kötü niyetli davranışları tespit edin, belirlenen riskleri kaydedin ve güvenlik açığı istismarlarını önlemek için önleyici tedbirler alın.
6. Kullanıcıları eğitin
Bir işletme içinde, çok sayıda bilgisayar korsanı sıfırıncı gün saldırılarında insan hatasından faydalanır. Bilgisayar korsanları, insanları hassas veya gizli bilgileri ifşa etmeleri için kandırmak veya manipüle etmek için sıfırıncı gün saldırılarını kullanır. Bu nedenle, işletmelerin sistemlerinin ve kuruluşlarının güvenliğini artırmak için çalışanlarını ve müşterilerini sıfırıncı gün açıkları ve ortaya çıkan diğer riskler veya tehditler hakkında eğitmeleri hayati önem taşır. Ayrıca, çalışanlarınıza veya müşterilerinize kötü amaçlı dosyaları indirme ve kötü amaçlı ekleri açma riskleri konusunda yeterli eğitim verin.
7. Güçlü bir e-posta güvenlik çözümü kullanın
Günümüzde her kurum için en yaygın tehdit vektörü e-posta’dır. Bilgisayar korsanı, kullanıcının sistemine erişmek için genellikle kimlik avı, spam ve Business Email Compromise (BEC) gibi bir e-posta güvenlik ihlali yoluyla sıfır gün saldırısı kullanır. Bu nedenle, e-posta’larınızı ve kuruluşunuzun gizli bilgilerini bilgisayar korsanlarından, spam’den, kötü amaçlı e-posta’lardan ve virüslerden korumak için etkili bir e-posta güvenlik çözümü kullanmak zorunludur.
8. Olay Müdahale Planını (IRP) uygulayın
Sıfırıncı gün saldırılarına hızlı bir şekilde yanıt vermek ve ortaya çıkan riskleri en aza indirmek için Olay Müdahale Planını (IRP) uygulayın.
IRP altı temel adımları:
- Hazırlık
- Tanımlama
- Sınırlama
- Eradikasyon
- Kurtarma
- Çıkarılan dersler
Sıfırıncı Gün Saldırısına Karşı Kurumsal E-posta’ların Güvenliğini Sağlama
Bilinmeyen veya ele alınmamış güvenlik açıklarından yararlanan sıfırıncı gün saldırıları, siber suçluların kurumsal ağlara sızmasını veya hemen saldırmasını ya da oturup bunu yapmak için en uygun zamanı beklemesini sağlar. Sıfırıncı gün saldırılarının çoğu e-posta yoluyla gerçekleştirilir.
Kullanıcılarınızı, önemli iş varlıklarınızı ve itibarınızı çok katmanlı bir e-posta koruma sistemi ile korumak, sıfırıncı gün saldırılarını gelen kutusundan uzak tutar.
Bu noktada işletmenizdeki herkesi temel tehdit azaltma konusunda eğitmeniz gerekir. Şüpheli e-posta’lar ve bilinmeyen eklerin açılmaması veya kuruluşunuzun dışındaki bağlantılara tıklanmaması gibi diğer güvenli uygulamalar konusunda farkındalığı teşvik etmeniz şarttır.
Ayrıca tüm sistemlerinizi yedekleyin ve bir felaket kurtarma planı geliştirin.
Bu uygulamalar ne kadar önemli olsa da, belki de en önemlisi çok katmanlı bir e-posta güvenlik sistemi kurmaktır.
Sıfırıncı Gün Saldırısını Durdurmak için Çok Katmanlı E-posta Koruması
Sıfırıncı gün saldırısı veri güvenliğine yönelik ciddi bir tehdittir. Sıfırıncı gün saldırısı, bir yazılım parçasındaki bir güvenlik açığından yararlanan, bu zayıflığı kullanarak tehdidin bilinmesinden sonraki saatler veya günler içinde, ancak düzeltilmeden veya yamalanmadan önce kurumsal bir ağa erişen bir tür gelişmiş kalıcı tehdittir.
Saldırılar genellikle kötü niyetli bir bağlantı veya bir ek aracılığıyla başlatıldığından, bir kuruluşu sıfırıncı gün tehdidine karşı korumak için e-posta güvenliği çok önemlidir. Sıfırıncı gün saldırısını önlemek, kötü amaçlı yazılım, virüs ve spam’in yanı sıra kimlik avı, hedefli kimlik avı gibi hedefli saldırılara karşı savunmak için birden fazla koruma katmanı gerektirir.