Merhaba Arkadaşlar,
Günümüzde e-posta güvenlik riskleri, hızlı bir şekilde büyümektedir. Güvenlik açıkları tehditler ve buna benzer bir çok Güvenlik şirketide yeni oluşan riskleri hızlıca fix’lemek için çalışmaktadır.
Bugün bahsedeceğim konu daha önce yaşadığım içinde bizzat bulunduğum güvenlik açıkları önlemleri ve tehdit tiplerini konuşacağız. Spear phishing, balina avı, fidye zararlısı ve diğer malware saldırıları, hep bir tehdit oluşturmuştur. Bu nedenle, büyük veya küçük işletmeler, ortaya çıkan e-posta güvenlik risklerine karşı koruma yolları bulmak zorundadır.
Bunu kimileri 3 Party uygulamalar kullanarak, Kimi Dışarıdan hizmet aldığı ISP yada Vendor’lar üzerinden Monitoring sistemleri kurarak bu tehditleri minimal seviyelere indirmeye çalışmaktadır. Hadi çok uzağa gitmeden yakın zamanda Türkiye’de birçok kurumun zarar gördüğü CRYPTOLOCKER Virüsünden bahsedelim (CryptoLocker, fidye isteyen kategoride (ransomware) bir zararlı yazılımdır. Türkiye’de son dönemlerde genellikle e-fatura içeren sahte mailler yoluyla yayılmaktadır (Ancak saldırganların virüsü yayacak yeni yöntemler geliştirebilecekleri unutulmamalıdır, örneğin seçim dönemleri yaklaştığında, Yüksek Seçim Kurulundan gelmiş görüntüsü verdikleri bir sahte e-postada, hangi sandıkta oy kullanılacağına dair bağlantı sunan, aslında bağlantıya tıklandığında virüsün bulaşacağı bir yöntem gibi).) Bu tür tehditlerin engellenmesi için çok katmanlı bir e-posta güvenlik prosedürü gerekmektedir.
Sahtecilik ve Oltamala Saldırıları
Oltalama saldırıları siber suçluların kullanıcıların banka hesapları veya TCK numaraları gibi hassas bilgilerini ele geçirmesi için kullandığı tehlikeli bir yöntemdir. Bazen siber suçlular grafik ve logolar kullanarak daha yasal ve gerçek görünen sahte e-postaları dizayn etmektedir. Hatta gerçek gibi görünen bir bağlantı verebilmektedir. Sonuçta, e-postanın sahte olduğunu anlamayan kullanıcılar kötü niyetli bir web sitesine girer. Bu yüzden kullanıcılar bu tür tehditlere karşı anti-phishing çözümlerini / araçlarını bilmelidir. Bu tür saldırılardan korunmak için ücretsiz olarak Keepnet Labs Phishing Simulator’u kullanabilirsiniz.
Güvenlik Zayıflıkları
Sağlayıcıların e-posta hizmetlerinde yanlış yapılandırmalarından kaynaklanan eksiklikleri keşfetmek gereklidir. E-posta hizmetlerinde keşfedilen güvenlik açıkları, saldırganların bu güvenlik açıklarını kötüye kullandıklarında hedef sisteme sızma, bilginin çalınması ve sistem erişimleri gibi sonuçlar doğurabilir.
Domain Squatting
Domain Squatting, doğrudan veya dolaylı olarak büyük maddi kazançlar elde etmek için kötü niyetli amaçlarla alan adı satın alma girişimidir.[1] Alan adı (domain), internet dünyasında önemli bir unsurdur. Bu bağlamda işletme adı, marka adı, ticari marka adı, şirket adı ve kişisel adları içeren alan adlarının bir benzeri ya da sahtesi tasarlanarak, şirketin ticari kimliğinden faydalanmak, önemli mali kayıplara neden olabilmektedir.
İstemci Kaynaklı Saldırılar
Bu saldırılar, istemci uygulamalarında, kötü amaçlı bir sunucuyla etkileşim kuran veya kötü niyetli verileri işleyen güvenlik açıklarını hedef alan saldırılardır. Burada, müşteri bir saldırıya neden olabilecek bağlantıyı çalıştırır. Kullanıcılar, bir bağlantıyı tıklama, bir belge açma veya zararlı web sitesine girme gibi eylemlerde bulunur. İnternet kullanıcıları için internet tarayıcıları, medya oynatıcıları, adobe, java vb. İstemci tarafı araçları gibi saldırı vektörlerini içerir.
Zararlı Ekler
E-posta eki içerisindeki zararlı içerikler kullanıcı tarafından açıldığında, tüm bilgisayar sistemi ve ağı ele geçirilebilir. Başarılı bir anti-phishing çözümü için, bu dosyalar imza tabanlı antivirüs yazılımı ve davranış analizi hizmetleri ile analiz edilmelidir.
Ransomware
Ransomware, kurbanın verisine erişimi engelleyen veya fidye ödenene kadar onu yayınlamak veya silmekle tehdit eden kötü amaçlı bir yazılım türüdür.
Yanlış Yapılandırma
Bu çok yaygın bir güvenlik sorunudur. E-posta hizmetinde yanlış yapılandırma, kimlik doğrulaması olmadan e-posta göndermeye izin veren ciddi krizlere neden olabilir.
Örneğin, kimlik doğrulaması olmadan e-posta hizmetinize bağlanan bir siber suçlu, çalışanlarınıza rastgele bir e-posta gönderebilir. CEO’yu taklit eden bir siber suçlu başarılı olabilir.
Tarayıcı Exploit Kiti
İnternet tarayıcılarının bilinen zayıflıklarını içeren e-postalar kimlik hırsızlığına, veri sızıntısına ve erişim sorunlarına neden olur. Bazen bir bağlantı bir kötü kod içerebilir. Bu durumda, e-posta servisi ve güvenlik bileşenleri savunma önlemleri alınmalıdır.
Son Kullanıcı Farkındalığı
Tüm güvenlik önlemlerini atlayan bir siber suçlu, son kullanıcının sınırsız bilgisini kullanarak sisteme saldırabilmektedir. Kişilerin %97’si iyi tasarlanmış bir oltalama e-postasını anlayamadığından, kullanıcılar, oltalama saldırı testleri, sınavlar, anketler ve oyun yoluyla tehditlerden haberdar olmak için düzenli olarak eğitilmelidir. Ücretsiz olarak eğitim içeriklerinden yararlanmak için Keepnet Labs Awareness Educator modülünü kullanabilirsiniz.
Dosya Biçimi Exploit’leri
Dosya biçimi exploitleri, birçok işletme için birincil bilgi güvenlik tehditlerinden biri haline gelmektedir. Güvenlik açıklarından yararlanan saldırılar, uygulamalarda kusurları (arabellek taşmaları gibi) tetikleyen dikkatli bir şekilde hazırlanmış kötü amaçlı dosyalar oluşturur. Bu güvenlik açıkları, platformları genelde aştığı için büyük ölçüde endişe vericidir. Örneğin, Adobe Acrobat’daki dosya biçimi güvenlik açığı, bir saldırganın Windows, Macintosh ve Linux sistemlerini tehlikeye düşüren tek bir kötü amaçlı PDF dosyası oluşturmasına izin verebilir. Dolayısıyla bu tür saldırılara karşı önlemler almak önemlidir.
Keepnet Labs özellikle oltalama saldırıları, çözümü ve bileşenlerine odaklanmakta ve test kategorileri ile tehditlere karşı koruma fırsatları sunmaktadır (Test kategorileri kurumların ihtiyaçlarına ve tamamen operasyonun kapsamına göre yapılandırılmıştır). Ana test kategorileri şunlardır:
Veri kaybı önleme,
Güvenlik açığı taraması,
Zararlı ekler,
Yanlış Yapılandırma,
İstemci tarafı saldırıları,
Ramsomware örnekleri,
Dosya biçimi açıkları
Tehdit istihbaratı
Resim 1 Keepnet Labs Tehdit E-posta Tehdit Simülasyonu Test Kategorileri
Keepnet Labs E-Posta Tehdit Simülasyonu
Bu tehditleri en aza indirgemek için Keepnet Labs, insana, süreçlere ve teknolojiye odaklanan bütüncül bir güvenlik yaklaşımı sunar. Bu yüzden savunma sistemini kontrol etmek, geliştirmek ve gerektiğinde ek önlemler almak için düzenli test ve iyileştirme hizmetleri sunmaktadır. Bu anlamda, e-posta test simülasyon hizmeti, e-posta servisini ve bileşenlerini (Antispam, Antivirus, APT Ürünleri) test etmek ve bilinen ve bilinmeyen tehditlere karşı erken koruma altına almak için önemli bir rol oynamaktadır.
Resim 2 güvenlikte, defansın ilk hattı ve son hattını göstermektedir
Keepnet Labs E-posta Tehdit Simülatörü, istemci ve sunucu arasındaki trafiğe karışmak suretiyle çalışmaz çünkü trafiğe müdahale edilerek yapılan güvenlik denetimlerinin Antispam, Antivirus ve E-posta hizmetleri için yetersiz kalma durumu ortaya çıkmaktadır. Bu nedenle, ETS servisi gerçek dünyadaki siber güvenlik risklerini yönetmek ve defansın ilk hattı olan ürünleri test etmek için kullanılır.
E-posta Tehdit Simülatörü, diğer siber tehdit simülasyon platformlarıyla karşılaştırıldığında, bazı ayırt edici rutinler sunmaktadır:
Bilinen güvenlik açığı tarama hizmetlerinin aksine eksik / yanlış yapılandırma seçeneklerini kontrol eder,
Gerçek saldırı vektörlerini kullanır. (Aktif ağ cihazlarını trafiği hareket ettirerek test eden sistemler yetersizdir ve bu eksiklik Keepnet Labs’ın gerçek saldırı vektörleri tarafından sürdürülür.)
Domain squatting özellikleri ve entegre siber istihbarat servisleri ile müdahaleler hakkında raporlar sunmaktadır.
Simülasyon sonucunda oluşturulan raporlar, aşağıdaki soruları yanıtlamanıza yardımcı olacaktır:
· Mevcut durumum ne kadar iyi ve ne kadar kötü?
· Hataların temel nedeni nedir?
· Teknolojik yatırımları yeterince etkili mi kullanıyorum?
· Yapısal eksikliklerim nelerdir, hatalarımı tekrar eder miyim?
Nasıl Test Ederim?
Bu işlemi Keepnet Labs’ın ETS modülü ile tek tıkla gerçekleştirebilmekteyiz. Quick Scan penceresine test etmek istediğimiz e-posta adresini yazmamız yeterlidir.
Not: E-post hesabının parolası zorunlu değildir, parolayı girerseniz daha ayrıntılı raporlar alırsınız. Önerilen yöntem test e-postası açıp bu işlemi gerçekleştirmenizdir.
Çalışma sonrası oluşan raporda, e-posta servisiniz ve bileşenlerinizin hangi saldırı vektörlerine karşı zayıflıklar içerdiğini, hangi saldırıları engellediğini raporlamaktadır.
Örneğin bu raporda, gerçek ransomware (fidye zararlılarının) bazıları e-posta kutusuna ulaşmış, bu sizler için şu anlamı taşıyor;
Antispam servisiniz yakalayamamış.
Antivirus bu ransomware zararlısını tanıyamamış
Sandbox teknolojiniz varsa bu zararlının sezgisel davranışlarını gözlemleyememiş
Beslendiğiniz reputasyon servisleri bu zararlı için gerçek siber istihbarat verisine sahip değil.
Umarım Faydalı olmuştur
