fbpx

Güvenlik ve Exchange Ekiplerinin Yaşadığı Sorunlar Ve Çözüm Önerileri

by
14 14 people viewed this event.

“E-mail üzerinden gelen tehditler uykularımızı kaçırıyor”

Çözüm Park tarafından düzenlenen ve moderatörlüğünü Keepnet Labs CEO Ozan Uçar’ın yaptığı  webinarda e-posta güvenliğinde karşılaşılan sorunlar ve çözüm önerileri masaya yatırıldı. IB-Tech Takım Lideri Hüseyin Ulutürk ve Çözüm Park Bilişim Portalı Kurucusu Hakan Uzuner’in de katıldığı etkinlikte, e-posta üzerinden gelen tehditler ve bu tehditlere karşı olay müdahalesi süreçleri tartışıldı.

Webinarın açılışında konuya ilişkin bazı hatırlatmalarda bulunan Uçar, FBI’ya göre 2019’dan 2021’e siber saldırıların kurum ve kuruluşlara verdiği zararın yüzde 65 arttığı bilgisini paylaştı. Konuya ilişkin bazı istatistikler de veren Keepnet CEO’su, “Siber saldırıların dünyaya zararı ölçülebildiği kadarıyla yıllık 10 trilyon dolar. Muazzam bir zarar. Siber suçlar bir dünya olsaydı kişi başına düşen gelirle ABD ve Çin’den sonra dünyanın en büyük 3. ülkesi olurdu. Bu kadar yoğun siber saldırıların da yüzde 90’ı e-posta üzerinden gelip işletmelere saldırıyor. Finansal olarak zarar verenlerin de yüzde 95’i de e-posta üzerinden geliyor.” diye konuştu.

Çözüm Park Bilişim Portalı Kurucusu Uzuner ise e-posta üzerinden gelen saldırıların kritik anlamda tehdit oluşturduğunu vurgulayarak, “E-mail ister Exchange olsun, ister Google Workspace olsun, Office 365 olsun bir şekilde dışarıya dokunuyor ve her zaman bizim uykularımızı kaçırıyor. E-posta güvenliği insan faktörü düşünüldüğünde mutlaka gündemimizde oluyor.” ifadelerini kullandı.

 

E-POSTA GÜVENLİĞİ SİBER GÜVENLİK DÜNYASININ YUMUŞAK KARNI

E-posta üzerinden düzenlenen ve güvenlik sistemlerini bypass eden bir atak örneği paylaşan IB-Tech Takım Lideri Hüseyin Ulutürk şöyle konuştu: 

“Hintli bir grup tarafından genellikle yüksek profilli hükümet görevlileri veya kurumların yüksek profilli kişilerine karşı uygulanan bir teknik var. Öncelikle hedef belirleniyor. Bunlarla ilgili kamuya açık tüm bilgileri topluyorlar. Bu kişilerin ilgisini çekecek mailler göndermeye başlıyorlar. Sonra bu kişiye içerisinde bir link olan bir mail gönderiyorlar. Linkte standart bir web sayfası açılıyor. Ama bu e-mail gönderildikten örneğin 30 dk sonra bu linki zararlı bir dosyayı indirecek hale getiriyorlar. Kişinin inbox’ına gelene kadar tüm güvenlik kontrollerini atlatmış oluyorlar böylece. Çok güvendiğimiz ve binlerce dolar para verilen güvenlik sistemlerini atlatmak bu kadar basit. E-posta güvenliği siber güvenlik dünyasının yumuşak karnı.”

“Sızan bir zararlı e-postayı bulmak bir güvenlik uzmanının ne kadar zamanını alır?” sorusunu yanıtlayan Ulutürk,  “E-postaların sızdığı durumlar hiç de az değil ve bunun tespiti inanılmaz derecede zor oluyor. Genelde threat hunting yöntemleri uyguluyoruz. Keepnet’in de yeni gündeme getirdiği Threat Sharing platformu da var onu da severek takip ediyoruz. Bu platformlardan beslenip geriye yönelik kişilere gelen maillerin analizini de yaptırıyoruz. Bir vaka için ortalama bir kişi bir gün uğraşıyor. Bu süre sadece mail gelmiş mi bunun tespiti için. Derin analiz daha uzun sürüyor.” değerlendirmesinde bulundu.

Keepnet Labs CEO’su Uçar,  “Teknoloji ile hayatımıza giren bu problemin üstesinden yine teknolojik çözümlerle gelmeye çalışıyoruz. Anti-spam, firewall, sandbox, soar çözümleri, yapay zeka destekli harika çözümler var. Ancak bunların en iyi ihtimalle sorunu yüzde 82’ye kadar çözdüğü iddia ediliyor. Bana göre pratikte yüzde 40’ını bile çözemiyor. Yaptığımız testlerde gördüğümüz sonuç bu şekilde.” ifadelerini kullandı.

 

“ZARARLININ TESPİTİ 10 GÜNÜ BULABİLİR: 10 GÜNDE İÇİNDEN GEÇERLER BANKANIN”

Herhangi bir saldırı tespit edildiğinde Power Shell script çalıştırıp şu maili, şu zararlı dosyayı arıyorum diyebilecek teknik imkanlara sahip olmak ne ölçüde mümkün? şeklindeki bir soruyu cevaplayan Uzuner ise şöyle konuştu:

“Böyle durumlarda işin için audit ve onay mekanizmaları giriyor. Yarın bana bu aramayı niye yaptın diye sorabilirler. Regülasyonlar bu durumu engelliyor. Exchange adminleri bu konuda olağan şüpheli. Yetki verildiği takdirde ise yine en az 48 saat ya da 96 saat. Arşivlenen maillerle ilgili eş zamanlı başka yerlerde aramalar yapmak da gerekiyor. Birincisi çok zaman alıyor. İkincisi çok kaynak tüketiyor. Üçüncüsü arşiv kısmı çok uğraştırıyor. Dördüncüsü yetki ve regülasyon kısmı. Beşincisi ve en çok beni rahatsız eden ise esnek değiliz arama kriteri çok sınırlı çünkü bütün datayı silebilecek doneler geliyor ve arama yapmak zorlaşıyor. Bu zorluk içinde istenileni bulmak bazen 10 günü bulabiliyor. 10 günde içinden geçerler bankanın!”

Zararlı e-postayı bulmanın çeşitli yolları olduğuna değinen Ulutürk bu işlemi yaparken karşılaşılabilecek risklere de değindi: 

“Günümüzde SOAR teknolojisi hayatımıza girdi. Teknik olarak Exchange’den bu yolla mail silinebiliyor. Bunun da çeşitli zorlukları var. Özellikle bankacılık sektöründe bir aksiyon alabilmek için Exchange üzerinden impersonation yetkilerine sahip bir kullanıcı almak gerekiyor ve birkaç kişinin bu kullanıcı parolalarını bilmesi lazım ki gerekli otomasyonu yazsın veya yönetsin. Bu yetkiyle CEO’nun maillerini de okuyabilirsiniz.”

Konuya ilişkin söz alan Uzuner ise ”Tüm hesaplarda mailbox auditing açmak gerekiyor ve bu da önemli bir disk kapasitesi gerektiriyor.” diye konuştu.

E-posta saldırıları karşısında hangi senaryoları uyguladıklarını anlatan Ulutürk, “5 yıldır Keepnet müşterisiyiz.  Tüm bu işlemleri SOAR üzerinden Keepnet aracılığıyla yapabiliyoruz. Specific kullanıcıların mail box’ında mail arama, tüm mail boxlarda mail arama, mail silme, bunları otomasyona da bağlıyoruz. Kullanıcının mailini siliyoruz ve ona bildirim de gönderiyoruz. Buna benzer senaryolarımız var.” ifadelerini kullandı.

Keepnet CEO’su Ozan Uçar ise Keepnet’in avantajlarını şöyle sıraladı:

“Keepnet mail araması yaparken Exchange’e hiçbir yük bindirmiyor. Outlooklarda bir eklentisi var. Performans ve 48 saat beklemek gibi sorunlar ortadan kalkıyor. Diğer tarafından eklenti olduğu için yetki problemi de kalmıyor.” 

 

“TEK BİR YÖNTEMLE BU İŞİ ÇÖZMEK MÜMKÜN DEĞİL”

Yaygın teknolojiler dışında koruması olmayan orta boy işletmelerin durumuna ilişkin bir soruyu yanıtlayan Uzuner,  “KOBİ diye ayırmamak lazım. Bizim 350’den fazla müşterimiz var. Exe dosyasının içine delay koyuyor. Sandbox’ta açılıp bakılınca temiz deyip gönderiyorsun. Geliştirilen teknolojilere göre saldırganlar da kendi yöntemlerini değiştiriyor. Tek bir yöntemle bu işi çözmek mümkün değil. Kullanıcıya odaklanmamızın sebebi en büyük sorunun kullanıcıda olması. Tehdit kişisel ya da kurumsal posta kutusundan gelebilir. Başka bir boyut da mail sunucularına gelen saldırılar. Sunucuları güncellemek gerekiyor. KOBİ’ler maliyetten ötürü altından kalkamıyor.” diye konuştu. 

“BİRİMİZ GÜVENDEYSEK HEPİMİZ GÜVENDEYİZ”

Potansiyel tehditler konusunda firmaların iş birliği içinde olması gerektiğini savunan Ulutürk, 

“Türkiye’de bizimle aynı hedef tahtasında olan diğer kişilerin başına gelmiş olayları bilmek çok değerli bir bilgi, çok değerli bir istihbarat.” ifadelerini kullandı.

Ozan Uçar ise söz konusu iş birliğine ilişkin, “Yüzlerce müşterin var Keepnet platformunda. Müşterilerinden bir tanesine atak e-maili geldi. Bunu raporlardılar, keşfettin ve engelledin. Bu mail çok bariz benim 300 müşterime de gelmiş olabilir. Tek tıkla veya otomatik kurallarla o müşterideki risk bütün müşterilerde var mı bul ve yok et. Yoksa da gelebilir birkaç saat sonra, gelirse engelle. Böylelikle birimiz güvendeysek hepimiz güvende oluyoruz.” değerlendirmesinde bulundu.

 

To register for this event please visit the following URL: https://share.hsforms.com/1sNMgpf6SSIu9RJvu9iDx9Qblovl →

 

Date And Time

09-11-2022 / 15:00
30-01-2023
 

Location

Online Event
 

Event Types

Share With Friends