Bir gün neden "hack"leneceksiniz?

Çünkü;

  • Ağınızdaki varlıklardan bihabersiniz. Hangisinde Flash kurulu, hangisinde Internet Explorer'ın ne versiyonu var, DMZ sunucularınız neler bilmiyorsunuz.

  • Saldırı engelleme sistemlerinize sahiden inanıyorsunuz.

  • Yamalarınızı yapmıyorsunuz. Microsoft'un periyodik yamalarını yaptığınızda yama yapıyor sanıyorsunuz. Bunları bile "tüm sistemlerinize" gerçekten yaptığınıza yama sonrası kontrol etmiyorsunuz. Bunu yapabileceğiniz altyapınız yok. 3. parti uygulamaların taşıdığı risklerin farkında bile değilsiniz (Adobe Reader, Flash, Silverlight vb.) Allah'tan 0-day koruma ürünleriniz var(!)

  • Ağ trafiğinizden akan verileri tam detaylı görmediğiniz için bilmiyorsunuz. 1-2 gün geriye dönük PCAP kaydediyor olsanız/L7 flow alıyor olsanız (mümkünse bunu IDS'ten de geçirseniz) bu farkındalığı çok kolay elde edeceksiniz ama ne de olsa SIEM'iniz var sizin. (Security Onion, SELKS kim ki?)

  • SIEM nedir bilmiyorsunuz. Log toplama işimi SIEM işi zannediyorsunuz. Use-case/korelasyon/alert/event farkını bile bilmiyorsunuz

  • Endpointlerinizde (kullanıcı PC'leri ve sunucular) ne olup bitiyor en ufak bir fikriniz dahi yok. Anormal bir port ayağa kalktı, bağlantı kurdu, local bir hesapla çok fazla sayıda başarısız erişim denemesi yapılıyor, mimikatz ile sunucu hafızasından parolalar çekildi, DC'nizde upuzun encode edilmiş bir PS scripti çalıştı, siz ise o sırada çay içiyordunuz.

  • Pass-the-hash, pass-the-ticket, lateral movement sizin için bir orta-anadolu türküsü

  • Şüpheli bir aktivite tespit ettiğinizde/yada bir zararlı yakaladığınızda saldırı göstergelerini (IoC) tüm sistemlerinizde derhal aratabileceğiniz bir altyapınız yok.

  • Şu ana kadar hiç bir şekilde PC'lerinizin autorun girdilerini kontrol etmediniz.

  • PC'lerinizden giden DNS isteklerini görmüyorsunuz bile.

  • Acil bir durumda uzaktaki bir sisteminizden hafıza imajı almanız neredeyse 1 haftayı buluyor. Alsanız da hafıza imajı inceleme kabiliyetiniz yok. Böyle bir şeye neden ihtiyaç duyabileceğinize dair de en ufak bir fikriniz yok.

  • Siber güvenlik ekibiniz gününün yarısında erişim/proje onayı veriyor, diğer yarısında ise maintaince işleri ve toplantılardan kalan boş vakitlerde siber güvenliğinizi sağlıyor. En son hangi Mandiant/Symantec/Kaspersky raporunu okuduklarını sorduğunuzda 404 veriyorlar.

Geçmiş olsun

Furkan ÇALIŞKAN

Read more posts by this author.