Verizon 2014 DBIR Değerlendirme Raporu
Transkript
Verizon 2014 DBIR Değerlendirme Raporu
Verizon 2014 DBIR Değerlendirme Raporu Verizon 2014 DBIR Değerlendirme Raporu 11 Haziran 2014 Değerli Müşterimiz, Barikat ArGe olarak; bilişim güvenliği alanında önemli bulduğumuz çalışmaları Türkiye yerel parametreleri dikkate alarak değerlendiriyor ve yorumluyoruz. Bu dokümanımızda; Verizon 2014 DBIR (Data Breach Investigations Report) çalışmasını yorumladık. Yorumlarımızın sizlere yararlı olacağını umar, keyifli bir okuma dileriz. Saygılarımızla, Barikat Bilişim Güvenliği ArGE Birimi İletişim Adresi: Mutlukent Mahallesi, 1961. cadde No: 9 / A-‐1 PK: 06800 Ümitköy, Ankara, Türkiye Telefon : +90 312 235 44 41 Faks : +90 312 235 44 51 Web Sitesi : www.barikat.com.tr Eposta : bilgi@barikat.com.tr 1 BARİKAT BİLİŞİM GÜVENLİĞİ 1/37 Verizon 2014 DBIR Değerlendirme Raporu -‐BOŞ BIRAKILMAMIŞTIR-‐ Herbil Gürsel’in anısına... 2 BARİKAT BİLİŞİM GÜVENLİĞİ 2/37 Verizon 2014 DBIR Değerlendirme Raporu İÇİNDEKİLER 1. Yönetici Özeti ........................................................................................................................................ 4 2. Raporda Gözlenen Hususlar ................................................................................................................. 5 3. Analiz .................................................................................................................................................. 11 3.1. POS Saldırıları .................................................................................................................................. 14 3.2. Web Uygulama Saldırıları ................................................................................................................ 18 3.3. Dahili Bilgi Sahiplerinin ve Ayrıcalıkların Suistimali ......................................................................... 20 3.4. Hırsızlık ve Kayıp .............................................................................................................................. 22 3.5. Çeşitli Hatalar .................................................................................................................................. 23 3.6. Suç yazılımları .................................................................................................................................. 25 3.7. Sahte Ödeme Kartı Okuyucuları ...................................................................................................... 27 3.8. Siber Casusluk .................................................................................................................................. 28 3.9. Servis Dışı Bırakma Saldırıları ........................................................................................................... 32 4. Sonuç .................................................................................................................................................. 33 5. İLETİŞİM BİLGİLERİ .............................................................................................................................. 35 3 BARİKAT BİLİŞİM GÜVENLİĞİ 3/37 Verizon 2014 DBIR Değerlendirme Raporu 1. Yönetici Özeti Verizon; 2008 yılından beri, yılda bir defa olmak üzere DBIR (Data Breach Investigations Report) yayınlamaktadır. Bu raporlar, kapsam seneye ait rapor edilmiş olaylara (incident) ve sızıntılara (breach) ait verilerden derlenmektedir. Raporun esas hali bu dokümanımızda değinmediğimiz ilave kıymetli yorumlar ve tavsiyeler de içermektedir. Bizler bu değerlendirme raporumuzu incelemeniz sonrasında , eğer hala incelemediyseniz, Verizon 2014 DBIR’ı da incelemenizi tavsiye etmekteyiz. Barikat olarak bu raporla ilgili özel bir değerlendirme yapmamızın sebepleri ise şöyle sıralayabiliriz. • Değerlendirmelerin okuyucuya faydalı olacağını düşündük. • Temel alınan rapor geçmiş yıllardaki verileri dikkate alarak karşılaştırmalı olarak hazırlanmıştır. Değerlendirme raporu hazırlayarak bu kritik bilgileri bütün halinde sunmayı amaçladık. • Değerlendirmesi yapılan rapor yerleşmiş yanlış varsayımların yanlışlığını, gerçek verilerle ortaya koymaktadır. Bunların özellikle aktarmak istedik. • Güvenlik problemlerini kimsenin ürün yatırımıyla çözemediğini, ülkemizde de konunun böyle çözülemeyeceğini bilimsel verilere dayanarak tekrar etmek istedik. • Rapora temel olan olaylar ve sızıntılardan güvenlikle alakalı 9 temel kategori çıkartılabilmektedir. Bu kategorileri kendi kurumları için değerlendiren güvenlik uzmanları (savunanlar), saldırganlara karşı daha etkin olabileceklerdir. Bu bilgiyi yaymak istedik. DBIR 2014 raporun ve bizlerin bu çalışmasında bazı istatistiki verileri bulacaksınız. Bunlardan pek çok ülkemiz için henüz birebir aynı dağılımlarda olmadığını düşünebilirsiniz. Bizler de bu düşünceyi paylaşıyoruz. Ancak aynı dağılımlara birkaç sene sonra ülkemizde de ulaşılacağını (eğer gerekli tedbirler alınmazsa) değerlendirmenizi isteriz. Bu sebeple hem bizim değerlendirme raporumuz, hem esas rapor; ülkemiz bilişim güvenliği için erken uyarı sistemi olarak değerlendirilmelidir. Değerlendirme raporumuzun sonuç kısmındaki yorumlarımızı ise mutlaka gözden geçirmenizi tavsiye ediyoruz. Değerlendirme raporumuza esas Verizon 2014 http://www.verizonenterprise.com/DBIR/2014/ adresinden erişilebilirsiniz. 4 DBIR dosyasına BARİKAT BİLİŞİM GÜVENLİĞİ 4/37 VICTIM DEMOGRAPHICS 2. Raporda Gözlenen Hususlar Verizon 2014 DBIR Değerlendirme Raporu 2013 yılı BIR Raporu 27 approach ülkeden gelen eri ile hazırlanmıştır. ever before. Our ability to compare global trends has (CSIRTs) than Readers of D the DBIR frequently us with twovimportant never been higher. questions. How generally representative are the findings of this 2014 yılı DBIR raporu ise 95 ülkeden gelen veri ile hazırlanmıştır. report? Are these findings relevant to my organization? To help get But it’s not quite simple. The charter, focus, methods, and 2014 yılı raporunda 1,367 onaylanan sızma, 63,437 güvenlik olayı üthat stüne hazırlanmıştır. you oriented with this year’s report, let’s see what the data has to data differ so much between CSIRTs that it’s difficult to attribute show us. 2014 yılı raporunda 2004-‐2012 yılları arasındaki sızıntılar da dikkate lınmıştır. differences to trueavariations in the threat environment.2 However, regional blind spots yaratan are getting hususlar smaller thanks to our growing list of The dokümanda; 2013 DBIR featured breaches affecting organizations in 27 Bu gizlilik, bütünlük veya devamlılığa aykırı durumlar ‘olay’; verinin contributors (see Appendix C), and we’re very happy with that. countries. This year’s report ups that tally by 350%, to 95 distinct kurum dışına çıktığı, yayıldığı olaylara da ‘sızıntı’ denecektir. countries (Figure 1). All major world regions are represented, and we have more national Computer Security Incident Response Teams Figure 1. Countries represented in combined caseload Countries represented in combined caseload (in alphabetical order): Afghanistan, Albania, Algeria, Argentina, Armenia, Australia, Austria, Azerbaijan, Bahrain, Belarus, Belgium, Bosnia and Herzegovina, Botswana, Brazil, Brunei Darussalam, Bulgaria, Cambodia, Canada, Chile, China, Colombia, Congo, Croatia, Cyprus, Czech Republic, Denmark, Egypt, Ethiopia, Finland, France, Georgia, Germany, Greece, Hong Kong, Hungary, India, Indonesia, Iran, Islamic Republic of, Iraq, Ireland, Israel, Italy, Japan, Jordan, Kazakhstan, Kenya, Korea, Republic of, Kuwait, Kyrgyzstan, Latvia, Lebanon, Lithuania, Luxembourg, Macedonia, the former Yugoslav Republic of, Malaysia, Mali, Mauritania, Mexico, Moldova, Republic of, Montenegro, Morocco, Mozambique, Nepal, Netherlands, New Zealand, Oman, Pakistan, Palestinian Territory, Occupied, Peru, Philippines, Poland, Portugal, Qatar, Romania, Russian Federation, Saudi Arabia, Singapore, Slovakia, Slovenia, South Africa, Spain, Switzerland, Taiwan, Province of China, Tanzania, United Republic of, Thailand, Turkey, Turkmenistan, Uganda, Ukraine, United Arab Emirates, United Kingdom, United States, Uzbekistan, Vietnam, Virgin Islands. VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 5 5 BARİKAT BİLİŞİM GÜVENLİĞİ 5/37 Verizon 2014 DBIR Değerlendirme Raporu Dış tehditlerin öneminin azaldığı, iç tehditlerin yoğunlaştığı sürekli söylenmektedir. Oysa veriler durumun aksini göstermektedir. Dış tehditler, iç tehditlere göre çok daha fazladır. Türkiye’de gerçekleşen olaylar veya sızıntılar için ideolojik veya siyasi sebepler 2013 yılına hakim olmuş olsa da; uluslar arası veriler farklı bir durum ortaya koymaktadır. 6 BARİKAT BİLİŞİM GÜVENLİĞİ 6/37 Verizon 2014 DBIR Değerlendirme Raporu Bu verilere bakarak (sızıntıların saldırganların motivasyonuna göre yorumu) ticari ve casusluk amaçlarıyla sızıntıların gerçekleştiği; siyasi ve ideolojik amaçların eser miktarda olduğu anlaşılabilmektedir (Web uygulama saldırıları kategorisi bu noktada bir istisna yaratmakta ama toplamda eser miktarda kalmaktadır) . Yukarıdaki grafiklerde bulunan finans alanı, finans kurumlarını vurgulamamaktadır. Saldırganların bu sızıntılardan ticari kazanç amaçladığı manasında finansal vurgu yapılmıştır. Türkiye’de, dış unsurlar tarafından gerçekleştirilebilecek olayların tespit edilmesinin zorluğu endişe vericidir. Ülkemizde durumun böyle olmadığını düşünmek, aşırı iyimserlik olacaktır. Geçmişte bilişim sistemlerimize saldırarak başarı kazanan (olaylara sebep olanlar) ve sızıntılara sebep olanlar hep olayları kendileri duyurmuşlardır. Böyle olmadığı durumda da tespit edilememişlerdir (firmamızın bazı çalışmaları istisna oluşturmaktadır fakat oransal olarak çok ufak kalmaktadır). Ayrıca, saldırganlar bazı verileri çıkartırken bunların ticari değerlerini de önemsemekte veya bu verileri çıkartma çabasına ticari kazanç elde etmek umuduyla girmektedir. Eğer saldırgan düzenli kazanç imkanı sağlamış ise, zaten olayın veya başka olayların açığa çıkmaması için de çabalamaktadır. 2014 DBIR’da görülen saldırı parametreleri ve verileri ülkemiz için henüz farklı olsa bile , ki biz bu dağılımın bazı alanlarda yaklaşık olarak benzer olması gerektiğini düşünüyoruz, ileride bu oranlarla karşılaşacağımızı düşünerek hazırlıklı olmalıyız. 7 BARİKAT BİLİŞİM GÜVENLİĞİ 7/37 Verizon 2014 DBIR Değerlendirme Raporu Verizon DBIR çalışmalarının ilk zamanında (2003) kullanılan veri sayısı 2013 yılı rakamlarının yanında epey az kalmaktadır. Ancak bir sonraki grafik de açıkça gözükmektedir ki; belirli tehdit kategorileri de zaman içerisinde daha yoğunluk kazanmıştır. Zararlı kodların (virüs, malware, 0. Gün tehditleri içeren yazılımların) artış oranlarından daha yüksek bir oranda sosyal saldırıların arttığı görülmektedir. Bu durum; sosyal saldırılara karşı da ülkemizde tedbirler alınması gerektiğini göstermektedir. Sosyal saldırılara karşı ülkemizde alınabilecek temel önlemlerden birisi kullanıcı güvenlik farkındalığını artırmaktır. Tüm kullanıcıların güvenlik farkındalığını artıracak eğitim ve seminerleri bir plan içerisinde daha fazla düzenlemek, bunları elektronik ortamda ulaşılabilir yapılarda tutmak gerekmektedir. ‘Hacking’ başlığı altında değerlendirilebilecek faaliyetler geniş küme oluşturuyor olsa da; ‘Social’ ve ‘Malware’ kategorisi toplamlarının ‘Hacking’ kategorisinden fazla olduğu görülmelidir. Bilgi sızıntısının gerçekleştiği olaylarda (breach), sızıntıların hangi varlıklarda olduğunun incelenmesini sağlayan tablo bir sonraki grafik de bulunmaktadır. 8 BARİKAT BİLİŞİM GÜVENLİĞİ 8/37 Verizon 2014 DBIR Değerlendirme Raporu Sızıntının gerçekleştiği sistemler içinde sunucu sistemlerin oranının yüksek olmasını normal bulmaktayız. Ancak, kullanıcı cihazları ve şahıslardan kaynaklanan sızıntılarının toplamlarının sunuculara yakın çıktığı gözlenmelidir. Bu da bizlere farkındalık eğitimlerinin ve kullanıcı sistemlerinin üstünde veri gizliliği anlamında alınması gereken tedbirlerin önemini bir kez daha hatırlatmaktadır. 2014 Verizon DBIR çalışmasında en çok ilgimizi çeken dağılım ise şu grafikte görülebilmektedir. 9 BARİKAT BİLİŞİM GÜVENLİĞİ 9/37 Verizon 2014 DBIR Değerlendirme Raporu Bu grafikte kırımızı ‘Time to compromise’ olarak belirtilen kısım, saldırganların gün veya daha az zamanda (saat, dakika vb) sistemlere nüfuz etme oranını göstermektedir. 2004 yılında incelenen sızıntıların %75 inde saldırganlar gün veya saat mertebesinde sistemlere nüfuz etmeyi başarmışlardır. Geriye kalan ve sızıntıların %25’ini oluşturan dilimde ise, saldırganlar sızıntı olan sistemlere ay veya yıl mertebesinde nüfuz edilebilmişlerdir. Bununla birlikte savunanlar 2004 yılında %20 civarındaki sızıntıyı ancak gün veya saat mertebesinde bulabilmiştir. Sızıntıların %80’ini ay veya daha fazla bir mertebede fark edebilmişlerdir. 2013 verisine bakıldığındaysa; saldırganların sızıntıların olduğu sistemlerinin %90’ına (2004 yılına göre %15 daha iyi!) gün ( veya daha az ) mertebesinde nüfuz edebildiği görülmektedir. Savunanlar ise 2004 yılı verilerine göre kayda geçen bir gelişme gösterememiş ve gene sızıntıların %20’sini gün (veya daha az) kalan %80’ini ay (veya daha fazla) mertebesinde fark edebilmişlerdir. Saldırganların saat veya gün mertebesinde ele geçirdiği sistemlerin ele geçirildiğini savunanlar ay veya yıl mertebesinde fark edebilmişlerdir. Bu sebeple bu grafik, 2014 DBIR çalışmasının en etkileyici grafiklerindendir. Bilişim güvenliği alanında 10 yıldır ne yapılageliyorsa; bu yapılanların yanına artık farklı şeyler koymamız ve bunu hemen yapmamız gerektiğinin kanıtı veya habercisi olarak da değerlendirilmelidir. 1 0 BARİKAT BİLİŞİM GÜVENLİĞİ 10/37 Verizon 2014 DBIR Değerlendirme Raporu 3. Analiz Verizon 2014 DBIR raporunun güvenlik sektörüne en kıymetli katkısı, gerçek verilerden çıkarttığı 9 saldırı kategorisidir. Detayları bu inceleme raporunun kapsamında olmayan ve esas dokümanda detaylı açıklanan sınıflandırma metodolojisi ile: • Son 1 yılın verilerinin %95’i • Son 3 yılın verilerinin %94’ü • Son 10 yılın verilerinin %92’si açıklanabilmiştir. Verizon raporlarına konu olan olaylar dışında da (VCDB gibi) bu metodolojiyi kullanmış ve 100,000+ olayın %92’si, bu sınıflandırmalarla açıklanabilmiştir. Çalıştığımız kurum veya firmanın yapısı ne olursa olsun, sırf bu 9 kategoriye ve detayına eğilerek, karşılaşılabilecek saldırıların %90+ oranındaki bir küme adreslenebilmektedir. Bu savunan kesim için değerlendirilmesi gereken ciddi bir avantajdır. Bu kategoriler: • Satış noktası sistemleri saldırıları (POS intrusions) • Web uygulama saldırıları (Web APP Attacks) • Dahili Bilgi Sahiplerinin ve Ayrıcalıkların Suistimali (Insider Misuse) • Hırsızlık ve Kayıp (Physical Theft /Lost) • Çeşitli Hatalar (Miscellaneous Errors) • Suç yazılımları (Crimeware) • Sahte Ödeme Kartı Okuyucuları (Card Skimmers) • Siber Casusluk (Cyber-‐espionage) • Servis Dışı Bırakma Saldırıları (Dos-‐DDOS) Olarak belirtilmiştir. Bu 9 kategori çok çeşitli sektörlerden gelen verilerin incelenmesi sonucunda oluşturulmuştur. Ancak böyle olması, kategorilerin hepsinin bir kurum için geçerli olacağı anlamına da gelmemektedir. Kurumlar bu kategorileri kendi iş stratejileri ile eşleştirmeli ve ona göre bir aksiyon planı oluşturmalıdır. 1 1 BARİKAT BİLİŞİM GÜVENLİĞİ 11/37 But wait — there’s more! Act now, and we’ll throw in all security incidents — not just breaches — from all partners and the VERIS Community Database (VCDB) over the last ten years — for free! Yes, all for the same price of nine patterns, you can describe 92% of 100K+ security incidents! We dig into each incident pattern in the following sections, but you Verizon 014 DBIR can see from Figure 16 that POS intrusions, web2app attacks, cyberespionage, and card skimmers are among the top concerns when we Değerlendirme Raporu focus on data disclosure. However, it’s not enough to just identify and count the patterns as a whole. Remember that promise from last year — “We may be able to reduce Savunanların mücadele ettiği konuları sınıflandırılabilmesi metodolojik bir yaklaşımın temelidir. the majority of attacks by focusing on a handful of attack patterns?” Consider it fulfilled. To us, this approach shows extreme promise as a way to drastically simplify the seemingly endless array of threats we Kategorileri verileriyle incelemek gerekirse, şu grafiğe bakmak gerekir. must deal with to protect information assets. Figure 16. Frequency of incident classification patterns 2013 incidents, n=63,437 2013 breaches, n=1,367 POS Intrusions 14% <1% 35% Web App Attacks Physical Theft/Loss <1% Miscellaneous Errors 2% Crimeware 21% 8% 18% 1% 25% 4% 20% 9% 1% 4% 14% <1% <1% <1% 3% Cyber-espionage Everything else 6% 14% Card Skimmers DoS Attacks 31% 8% Insider Misuse 2011-2013 breaches, n=2,861 1% 22% 6% 15% 12% 5% Figure 17. Figure 18. Percent of selected incident classification patterns over time Number of selected incident classification patterns over time Grafikten ilk bakışta göze çarpmayabilecek ama bizlerce önemli olan husus sızıntı (breach) ile olaylar 1,000 (incidents) arasındaki kategori oran farklılıklarıdır. 100% Insider Misuse Bu kategori oran farkları, o kategorideki saldırıların etkinliği olarak değerlendirilip formüle edilebilir. 75% 750 Bir kategorinin sızıntı (breach) oranının olay (incident) oranına bölünmesi ile elde edilecek değer bu Web App POS Intrusions manada kullanılabilir. POS 50% Attacks 500 Intrusions Card Skimmers Web App Attacks Bu tanıma göre en etkili 4 kategori şunlardır : 25% Insider Misuse • 250POS CyberCard • Web Attack espionage Skimmers Cyber-espionage • Card Skimmers 2009 2010 2011 2012 2013 2009 2010 2011 2012 2013 • Cyber Espionage POS (point of sale) sistemlerinde, 63,437 olayın %1’i görülmüştür. Ancak bu %1, 2013 yılında 1367 veri sızıntısının %14’ünü oluşturmaya, 2011-‐2013 yıllarında ise sızıntıların %31’ini oluşturmaya yeterli olmuştur. 14 1 2 VERIZON ENTERPRISE SOLUTIONS BARİKAT BİLİŞİM GÜVENLİĞİ 12/37 Verizon 2014 DBIR Değerlendirme Raporu Bu manada saldırganlar için oldukça verimli bir saldırı vektörüdür. Ülkemizdeki elektronik olarak POS sistemleri barındıran (satış portallari vb) ve fiziksel olarak bu POS verilerini işleyen (büyük alışveriş zincirleri vb) yapıların bu bulguları dikkate alması, güvenlik yapısını bu bakış açısıyla değerlendirmesi ve gerekiyorsa ilave tedbirleri alması gerekmektedir. Web saldırıları, POS da olduğu kadar verimli (!) olmasa da; saldırganlar için sızıntı/olay oranı değerlendirildiğinde dikkat edilmesi gereken bir kategori olduğu ortaya çıkmaktadır. Web sayfaları ve uygulamaları güvenli kılmak, sadece bu bileşenler özelinde değerlendirilmemelidir. Bu bileşenler ele geçerse tüm kurumun ele geçmesine engel olacak yapılar tasarlanmalıdır. Böyle bir durumun erken tespitine imkan tanıyacak uyarı mekanizmalarının kurulması da, ilk üç yapılacak çalışma arasına alınmalıdır. Ticari ve ulusal çıkarlar anlamında değerlendirilmesi gereken siber casusluğun oranı tüm DBIR raporunun en can sıkıcı kısmıdır. Saldırganların sebep olduğu olayların içerisinde %1 oranında siber casusluk olayı olsa da; sızıntıların %22 si siber casusluk alanında olmuştur. Firmalar için ticari sırlarını saklayamamak olarak bakılabilecek, kamu kurum ve kuruluşlar olarak ulusal çıkarlara dolaylı zarar vermek olarak bakılabilecek bu başlık: • her hangi bir üretici ürünü beğenmek ve kullanmayı yeterli görmekten • her hangi bir bütünleştiricinin/entegratörün yaptığı satış odaklı çalışmaları yeni nesil güvenlik tedbirleri olarak değerlendirmekten • her hangi bir güvenlik bütçesinin yanlış önceliklerde kullanılmasından • her hangi bir güvenlik standardını uygulamayı yeter çözüm olarak görmekten • siber güvenlik konularıyla ilgilenen kurumları tek sorumlu ve aksiyon alması gereken otorite olarak değerlendirmekten kaynaklanmaktadır. Verizon 2014 DBIR’da toplanan verilerin ortaya koyduğu durumun ülkemizde de böyle olduğunu düşünmek ve buna göre kurumumuz veya firmamızda güvenlik çabalarını yönlendirmek doğru bir yaklaşım olacaktır. Tek başına bazı veriler bile; şimdiye kadar yaptığımız güvenlik yaklaşımı neyse onun yerine veya en azından yanına, çözüme odaklı metodolojik çabaları hemen koymamız gerektiğini göstermektedir. 1 3 BARİKAT BİLİŞİM GÜVENLİĞİ 13/37 T-OF-SALE (POS) INTRUSIONS Verizon 2014 DBIR Değerlendirme Raporu 3.1. NCE POS Saldırıları ption Remote attacks against the environments where retail transactions are conducted, specifically DBIR 2014 raporunda konaklama, gıda ve perakende satış sektörü bu saldırılara daha çok maruz where card-present purchases are made. Crimes involving tampering with or swapping out Skimming pattern. devices arekalmıştır. covered in the stries Accommodation and Food Services, Retail uency dings Geçen yıllara göre düşüş eğiliminde olan POS saldırılarında, saldırılan unsurlar Perakende zincirlerinde uç noktada kredi kartını işleyen istasyonlar 198 total•incidents Perakende zincirlerinde merkezi olarak kredi kartları ile ilgili işlem yapan sistemler 198 with•confirmed data disclosure • Uç noktada tahsilat amaçlı kullanılan IP adresine sahip ve 3g/wifi bağlantı kuran sistemler Given recent headlines, some may be surprised to find that POS intrusions are trending down • several Diğer alakalı ödeme istemleri over the last years. That’s mainly sbecause we’ve seen comparatively fewer attack sprees involving numerous small franchises. Brute forcing remote access connections to POS still leads Olarak değerlendirilebilir. as the primary intrusion vector. A resurgence of RAM scraping malware is the most prominent tactical development in 2013. 2013 yılı verilerine göre web uygulamaları tabanlı saldırılar ile POS tabanlı saldırılar arasında y of you will come to this section hoping to ticulars and dirty laundry of a certain breach jor U.S. retailer in late 2013. Prepare to be we don’t name victims in this report nor do nt-specific information on any breaches y of the DBIR contributors. If you want up-tows on particular breaches, you’d best look a consolation prize, however, we hope you’ll rall analysis of two hundred POS intrusions in 2013, along with recommendations on how ncreasing that number in 2014. Figure 20. Comparison of POS Intrusions and Web App Attacks patterns, 2011-2013 60% POS Intrusions 40% 20% Web App Attacks ost commonly affected by POS intrusions are staurants, hotels, grocery stores, and other r retailers are all potential targets. Recent breaches of several large retailers have brought es to the forefront. But at the risk of getting 2009 2010 2011 2012 2013 er on you — we’ve been talking about this for s is the main cause of theWeb large dip in 2012 seen From angattack pattern standpoint, the most simplistic narrative uygulamalarındaki artış özlenebilmektedir. ver time” charts in this report. We were writing is as follows: compromise the POS device, install malware to pers before anyone heardPOS of them and we’re nasıl fark collect magnetic stripe data in process, retrieve data, and cash olaylarının edildiği incelendiğinde all that into them anymore because they’ve sold in. All of these attacks share financial gain as a motive, and most nstream. can be conclusively attributed (and the rest most likely as well) to organized criminal groups operating out of Eastern Europe.3 e POS hacks are getting more press recently, Such groups are very efficient at what they do; they eat POSs like been going on for years and we really have talked yours for breakfast, then wash ‘em down with a shot of vodka. them in previous DBIRs. The media frenzy While the majority of these cases look very much alike, the steps lash, but from a frequency standpoint, this taken to compromise the point-of-sale environment offer some small-and-medium business issue. Focusing interesting variations. iers and headlines can reflect cognitive bias. me may be surprised that the number of POS and 2013 is substantially lower than the number 0 and 2011 (despite having ten times more he latter years). Figure 20 reminds us thatGour BARİKAT BİLİŞİM ÜVENLİĞİ f risk should always come back to the data, not d headlines and marketing fodder. 1 4 VERIZON ENTERPRISE SOLUTIONS 14/37 Verizon 2014 DBIR Değerlendirme Raporu Figure 24. Top 5 discovery methods for POS Intrusions (n=197) 99% All External All Internal 1% Ext - law enforcement 75% 14% Ext - fraud detection Ext - customer 11% The timelines in Figure 25 reinforce both th vectors and the discovery methods. Entry is quick, as one would expect when exploiting s passwords. Most often it takes weeks to dis based entirely on when the criminals want to their bounty. Figure 25. Timespan of events within POS Intrusions Compromise n=169 WEB APP ATTACKS POINT-OF-SALE INTRUSIONS Int - NIDS <1% THING SE 1 5 DOS ATTACKS Exfiltration n=169 Weeks Days Hours Seconds Never Years Months Weeks Days Hours Minutes Minutes Discovery n=178 Compromise n=169 Exfiltration n=169 Discovery n=178 Seconds CYBERESPIONAGE PAYMENT CARD SKIMMERS CRIMEWARE MISCELLANEOUS ERRORS PHYSICAL THEFT AND LOSS INSIDER AND PRIVILEGE MISUSE 51% Int - reported by user <1% 36% The timelines in Figure 25 reinforce both the compromise 21% methods for POS Intrusions (n=197) vectors and the Entry is often was extremely 11% Regardless of discovery how large methods. the victim or which 5% %99 oranında dış kaynaklı sebeplerle saldırıların fark eorganization dildiği görülmektedir. 1% quick, as one would expect when exploiting or weakthere methods were used to steal payment cardstolen information, ernal 99% passwords. Most often it takes weeks toof discover, andsomeone that’s isele another commonality in 99% the cases: Ayrıca saldırılarla ilgili geçirme, bilgi shared sızdırma ve fark edilme davranışlarının 88% sürelerine based entirely on when thehad criminals want to startThis cashing else told the victim they suffered a breach. is no in on ernal 1% bakıldığında their bounty. different than in years past, and we continue to see notification - law 75% by law enforcement and fraud detection as the most common ment Figure 25. discovery methods. In many cases, investigations into breaches 14% ction Timespan of events within POS Intrusions 11% will uncover other victims, which explains why law enforcement 1% 1% 1% 0% omer 11% is the top method of discovery and the top contributor of POS intrusions in our dataset. Long story short, we’re still discovering NIDS <1% 85% 51% card breaches only after the criminals begin using their payment user <1% 36% for fraud and other illicit purposes. ill-gotten gains 21% 11% ow large the victim organization was or which 5% 1% 1% 0% sed to steal payment card information, there 13% onality shared in 99% of the cases: someone 0% 0% 0% 1% BOTNET88% MITIGATION: AN INCENTIVE PROBLEM tim they had suffered a breach. This is no According to the NHTCU, the impact of botnets — the Swiss years past, and we continue to see notification Army knife of cybercriminals — remained high in 2013. ent and fraud detection as the most common Furthermore, they note an apparent incentive problem when ds. In many cases, investigations into breaches it comes to mitigating these crafty menaces. Since the 11% er victims, which explains why law enforcement 1% of a botnet 1% is often 1% spread around impact 0%federal 0% the 0%globe, d of discovery and the top contributor of POS authorities aren’t always able to amass resources to fight it dataset. Long story short, we’re still discovering on a national level. While the85% total damage of such a botnet eaches only after the criminals begin using their might be large, specific countries only deal with a small or fraud and other illicit purposes. part of these damages. The initial costs for fighting such a botnet don’t seem to outweigh the benefits of its takedown. Nevertheless, the NHTCU continue13% to fight botnets. In February of 2013, public broadcaster NOS presented 1% 1% 0% 0% 0% 0% GATION: AN INCENTIVE PROBLEM findings on part of a dropzone of the so-called Pobelka he NHTCU, the impact of botnets — the Swiss botnet. After an online checking tool was made available, cybercriminals — remained high in 2013. 500,000 people checked to see if their machines had (at they note an apparent incentive problem when some time) been infected; of that group, 23,000 self tigating these crafty menaces. Since the identified as victims. tnet is often spread around the globe, federal en’t always able to amass resources to fight it By then, the dropzone had been examined for correlations evel. While the total damage of such a botnet with a 2012 malware outbreak that had prompted a e, specific countries only deal with a small criminal investigation. Sixteen organizations within the damages. The initial costs for fighting such a vital infrastructure were informed of being infected, and had been communicated to eem to outweigh the benefits of its takedown. relevant infected IP addresses BARİKAT B İLİŞİM G ÜVENLİĞİ 15/37 the NHTCU continue to fight botnets. In the respective ISPs. 013, public broadcaster NOS presented rt of a dropzone of the so-called Pobelka an online checking tool was made available, le checked to see if their machines had (at Verizon 2014 DBIR Değerlendirme Raporu POS sistemlerine sızmanın %87’sinin saat mertebesinde olduğu, verilerin saat mertebesinde çıkartıldığı ancak fark edilmenin haftalar mertebesinde olduğu görülebilmektedir. Sızıntının fark edilmesi ile ilgili diğer bir acı gerçek ise; sızıntının, kurbanlara başkaları tarafından bildirilmesidir. Başka bir sızıntının detaylarının araştırılması aşamasında diğer kurbanlar da tespit edilmekte ve emniyet güçlerine bildirilmektedir. Bu değerlendirme raporunun hedef aldığı okuyucu ve müşteri kitlesinde fiziksel POS sistemlerinin aktif olarak kullanıldığı tahmin edilmemekle birlikte, bu raporun okuyucuları arasında • • Çevrimiçi (online) sistemlerle kredi kartı bilgilerinin elektronik olarak işlendiği ve provizyon alan sistemleri yöneten sorumlular olduğu, Fiziksel POS sistemleriyle ilgili regülasyonları düzenleyen kurum ve kuruluşlarının çalışanlarının bulunduğu Değerlendirilmektedir. Bu sebeple elektronik olarak ödeme kartı işleyen uygulama ve sistemlerin işlediği bilgilerin bir kopyasının saklanmasını sağlayabilecek zararlı yazılımların bu sistemlere uzaktan veya merkezi olarak yüklenebileceği değerlendirilmelidir (http://thehackernews.com/2014/05/new-‐point-‐of-‐sale-‐ malware-‐compromises.html) . Bu manadaki sistemlere yönelik özel tedbir ve kontrollerin alınması tavsiye edilmektedir. Bu tavsiye ve kontrollerle alakalı firmamız tavsiyeler vermekten memnun olacaktır. POS sistemleri ile ilgili regülasyonlar koyan kurum ve kuruluşların, bu regülasyonlarda POS saldırı vektörlerine yönelik tedbirlere yer vermesinin yararlı olacağı düşünülmektedir. Bu vektörler belirlenirken 1 6 BARİKAT BİLİŞİM GÜVENLİĞİ 16/37 Let’s start with the most frequent scenario, which affects small was that the same password was used for al businesses that may or may not realize just how lucrative a managed by the vendor. Once it was stolen, i target they are. This event chain begins with the compromise of a default password and the attackers also ga Verizon 2014 DBIR the POS device with little to no legwork; the devices are open to the customer base. Armed with this informa Değerlendirme Raporu the entire Internet and, to make matters worse, protected with modus operandi of installing malicious code weak or default passwords (and sometimes no passwords). transmitted the desired data began. Figure 22. Hacking variety within POS Intrusions (n=1 Figure 21. Top 10 threat action varieties within POS Intrusions (n=196) 85% RAM scraper [mal] Brute force 79% Export data [mal] Use of stolen creds 50% Brute force [hac] 37% Use of stolen creds [hac] 8% Offline cracking [hac] Use of backdoor or C2 [hac] 2% Offline cracking 9% Unknown 9% Use of backdoor or C2 2% SQLi <1% Spyware/Keylogger[mal] 2% Backdoor [mal] 1% Figure 23. Hacking vector within POS Intrusions (n=18 Misconfiguration [err] <1% Phishing [soc] <1% 3rd party desktop sharing The top three threatvektörler actions tell the story rather (Figure 21). Verizon 2014 DBIR Raporunda geçen başlangıç için well dikkate alınabilir. Desktop Bu grafik, POS The perpetrators scan the Internet for open remote-access ports Physical access sızmalarında en çok kullanılan 10 saldırı vektörünü içermektedir. Bu vektörleri ortadan kaldıracak and if the script identifies a device as a point of sale, it issues Backdoor or C2 1% tedbirlerin neler olabileceği bu değerlendirme raporunun kapsamı değildir ancak POS saldırılarına likely credentials (Brute force) to access the device. They then yönelik alınabilecek tedbirler ve tavsiyelerle ilgili detay aktarmamız için, Command hell 1% install malware (RAM scraper) to collect anddeğerlendirmelerimizi exfiltrate (Export data) payment card information. firmamız web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları (bilgi@barikat.com.tr) VNP <1% kullanarak bizlerle iletişime geçebilirsiniz. us is the renaissance of RAM scraping One finding that intrigued Web application <1% malware as the primary tool used to capture data. RAM scrapers allow payment card data to be grabbed while processed in memory (where it is unencrypted) rather than when stored on disk or in transit across the network (where it is (ostensibly) encrypted). It’s interesting, but not necessarily surprising, that RAM scraping has usurped keyloggers as the most common malware functionality associated with POS compromises. One could theorize that keyloggers (most of which were common varieties such as Perfect Keylogger and Artemis) are more easily spotted than the memory-scraping code we witnessed in this data set. Or perhaps the RAM scrapers, which hook into specific processes of the POS software, simply do the job better and more efficiently. 1 7 While not as common as the simpler POS int does include several incidents from the first that feature a compromise at a corporate lo widespread compromise of individual locati code installations across a multitude of stor begun with a store compromise that led to p corporate network, but the hub-and-spoke a for efficient traversal of the network and th compromise was magnified regardless of wh located. In years past, we analyzed attack sprees that spanned multiple victims with no association with each other beyond the use of truly awful passwords. This report features almost 200 incidents, but in prior years we saw over 200 victims for one criminal group. The two biggest sprees in our 2013 dataset, one involving several franchisees of the same company, and the other affecting multiple corporations, are a bit different, and lead us to our second common scenario: the use of stolen vendor credentials. In one case the credentials stolen belonged to a point-of-sale vendor and were compromised via Zeus malware infecting the vendor’s systems. The big problem among these BARİKAT BİLİŞİM GÜVENLİĞİ 17/37 VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 9% P MISCELLANEOUS ERRORS 3.2. CRIMEWARE There’s no question about it – the variety and combination FINANCIALLY MOTIVATED ATTACKS of techniques available to attackers make defending web Financially motivated attackers are hyperapplications a complex task. Regrettably, our discussion of this access to the money, so it follows that thei complexity is hampered by the level of detail provided on these industries are the financial and retail indus incidents. Unless a forensics investigation was performed (a that easily converts to money is abundant a Verizon 2014 DBIR small subset of the overall dataset), the specific techniques accessible). Within the financial industry, th Raporu utilized went largely unreported or were recorded with broadDeğerlendirme access to the user interface of the web (ba categorizations. While we have enough material to discuss web the web application more so than exploiting application data breaches at a high level, our ability to draw application grants logical access to the mo conclusions drops as we dig further into the details (which often target user credentials and simply use the aren’t there). protected with a single factor (password) a Web Uygulama Saldırıları DOS ATTACKS CYBERESPIONAGE PAYMENT CARD SKIMMERS goal. These could have been included in the Greed takes a back seat to ideology when it comes to web app (and some slip through cracks in the alg DBIR 2014 raporu bu saldırıların iki yolla yapıldığını belirtmektedir. Ya uygulama da didbulunan attacks in the 2013 dataset. Just under two out of every three but the use of web applications as a vector web app attacks were attributable to activist groups driven by zayıflıklar kullanılmakta, ya da çalınan/bulunan kullanıcı yetkileri ile o kullanıcıymış gibi uygulamada them to show up here. The tactics used by a ideology and lulz; just under one out of three came by the hand hareket edilmektedir. usual suspects: a) phishing techniques to ei of financially motivated actors; with the small remainder linked into supplying credentials or installing malw to espionage. After some slicing and dicing we found some very system, b) the old stand-by of brute force p distinct sub-patterns divided alongzthese motives. The financial Firmamızın yaptığı güvenlik analizleri (sızma testleri, afiyet analizleri vb) ve kurum ve kuruluşların and c) rarer cases of targeting the applicat and ideological attacks deserve unique discussion since the yaşadıkları olaylara istinaden gerçekleştirdiğimiz incelemelerdeki tespitlerimiz de bu yöndedir. injection or other application-level attacks treatment for each may be slightly different. While attacks credentials, bypass the authentication, or o perpetrated by those motivated by espionage are certainly the user-management system. When attrib Bu saldırıları gerçekleştirenlerin m otivasyonları i ncelendiği z aman relevant, discussion of these is taken up in the Espionage the majority of external attackers utilizing section. Figure 26. External actor motives within Web App Attacks (n=1,126) 65% Ideology/Fun 33% Financial Espionage 2% somewhere along the attack chain hail from Europe. Within the retail industry, we see a slightly primary aim is payment card information (t the incidents), which is often accessible sim web application. Social actions (such as phi existent, most likely because exploiting vul in web applications works plenty well enoug leveraged in 27 of the 34 (80%) attacks ag in the retail industry, followed by technique web shells (remote file inclusion, etc.) in fiv EVERYTHING ELSE İdeolojik amaçlı saldırıların 2013 yılındaki saldırılarda baskın unsur olduğu görülmektedir. Ülkemizde de benzer olaylar olduğunu hatırlayabiliriz. 20 Web uygulamalarına yönelik ideolojik saldırıların siyasi gündemle de değiştiğine dikkat ettiğimiz durumda; bu saldırılarının oranı ve frekansının değişebileceğini tespit etmek gerekir. Ancak değişmeyecek ve hatta oranları artacak önemli motivasyonun ticari ve casusluk amaçları olduğu görülmelidir. Web uygulama tabanlı saldırıların nasıl keşfedildiği incelendiğinde 1 8 BARİKAT BİLİŞİM GÜVENLİĞİ 18/37 VER Verizon 2014 DBIR Değerlendirme Raporu 3% Ext - law enforcement 2% Int - fraud detection 2% Int - reported by user 2% POINT-OF-SALE INTRUSIONS WEB APP ATTACKS Ext - unrelated party Ext - fraud detection 4% Ext - law enforcement 1% Int - reported by user <1% Ext - actor disclosure 2% Ext - monitor service 1% Ext - actor disclosure <1% INSIDER AND PRIVILEGE MISUSE Ext - audit 1% Ext - customer <1% Discovery method looks a little bleaker for activists. 99% of the notifications were external parties (primarily CSIRTs) Figure 29. İdeolojik kaynaklı değerlendirilebilecek olayların %98 oranında ilgili olmayan dış unsurlar yardımıyla Int - unknown <1% contacting victims to let them know their hosts were involved in tespit edildiği; kaynaklı değerlendirilebilecek olayların çoğunun etkilenen Timespan of events within Webise Appsaldırıdan Attacks other attacks. This isfinansal heavily influenced by ideological attackers <1% Int antivirus quietly using the platformkto attack others rather than, for müşteriler (ödeme artı bilgisi çalınan insanlar) tarafından fark edildiği gözlenmektedir. instance, simple defacements (which are rare in the dataset). 42% Int - fraud detection <1% Even though the timeline data is a little sparse, it paints the Saldırıları dışarıdan kim tespit ederse etsin, saldırılan sistem sahibinin olaylardan (bu dokümanda picture of quick entry with 60% of the initial compromises Other olay kavramı başarılı saldırılar olarak değerlendirmektedir) haberi %92 <1% oranında olmamaktadır. occurring within minutes or less. This reflects the highly 23% 19% repetitive CMS exploits in this pattern; if it works, it works quickly. Just over 85% of the incidents are discovered in days 12% Bu verilere istinaden kurumsal web uygulamalarının korunması yanında bu sistemlerle alakalı uyarı or more, with about 50% taking months or longer to discover. 5% mekanizmalarının a dsee ikkatlice kurulması gerektiği değelendirilmelidir. Once discovered though,dwe fairly good reaction time, with 0% 0% 0% about half of the organizations taking days or less to respond and contain the incident. This is far better than the norm, which is Ülkemizdeyse bu uyarı sistemlerinin kurulmadığı gözlemlenmekte, gerçekleşen güvenlik typically weeks or longer. yatırımlarının çoğunun bu amaca hizmet etmediği tahlil edilmektedir. 27% Web uygulamaları için kurum ve kuruluşların, olaylardan (bu dokümanda olay, başarılı olan saldırılar 21% 21% What we foundkis a non-finding and the‘Korunma’ only valid conclusion anlamında ullanılmaktadır) ve olayları ‘Fark etme’ manasında iki ayrı 18%sınıfta tedbir alması to draw from this is that more work is needed to understand gerekmektedir. Bu iki alanda var olan envanterinizle neler yapılabileceğini; alınması 9% gereken diğer the relationship between web application vulnerabilities and tedbirlerin neler olabileceğini sizlere aktarabiliriz. Bu 3%amaçla firmamız web sayfasındaki security incidents. With a non-finding, we can only speculate 0% 0% on why we are seeing these results. Perhaps this is telling us (www.barikat.com.tr) formaları veya diğer yolları (bilgi@barikat.com.tr) kullanarak bizlerle iletişime that no industry is doing enough. We know three out of four geçebilirsiniz. web-based compromises occur in hours or less of first contact, Compromise n=43 PHYSICAL THEFT AND LOSS CRIMEWARE Discovery n=70 41% DOS ATTACKS CRIMEWARE CYBERESPIONAGE Exfilteration n=33 MISCELLANEOUS ERRORS PAYMENT CARD SKIMMERS NT CARD MERS 1 EVERYTHING ELSE ckly) patching web s year we partnered ombine and compare inst the vulnerability ens of thousands most well-known orth, we decided first to and maybe fixing vulnerabilities in 10 days versus 70 days ause patterns emerge doesn’t help all that much. Plus, the attacker only exploits one o compare two data (maybe two) vulnerabilities. But a different explanation could ncident data: the average be that our lens was focused too wide, and we could edian days to patch. learn more by matching the high-quality WhiteHat data with specific er vulnerabilities and incident data within the same sample. Whatever the causes, resented in the breach BARİKAT BİLİŞİM GÜVENLİĞİ we do know that web application attacks occur often enough o we applied some good to repeat what is said in the WhiteHat Website Security mittedly let down when re expecting. Statistics Report,5 “What’s needed is more secure software, NOT more security software.” 1 9 93% Ext - unrelated party MISCELLANEOUS ERRORS MEFRAMES 4% The writing’s on the authentication on an draw you out of a kn web application see verification. If you’r consider mandating your customers. Total Internal 2% 6% Int - IT audit Single-pa 98% Total External PHYSICAL THEFT AND LOSS and the discovery otification method that we rhaps customers notice lse, but something is nternal mechanism. With d, only 9% of victims accord. 74% Ext - customer RECOMMEN INSIDER AND PRIVILEGE MISUSE just the web server ts compromised in the et recorded in nearly all otives. The actors didn’t per and wider into the t of simply not reporting ident — so don’t take this er — but it is logical and a cks in our dataset. 12% Total Internal Ext - fraud detection ation is social, political, or out getting at the crown tform (in all senses of the not surprising that we al attackers going after essage or hijacking the her victims. 88% Total External WEB APP ATTACKS ed portion of motives tors also tend to be ocus on tried and true dated inputs in executed ger scale than Content oomla!, Drupal, and added plugins than the Figure 28. Top 5 discovery methods for ideologically motivated incidents within Web App Attacks (n=775) Figure 27. Top 10 discovery methods for financially motivated incidents within Web App Attacks (n=122) POINT-OF-SALE INTRUSIONS S: 0% 3% 11% 17% 16% 11% 19/37 0% Rethink C And we mean “rethin active platform (Joo an automated patch isn’t viable, then dev is especially true fo rethink CMS is to co executing code for e static CMS will preneed to execute cod Validate i Even though we’ve b the advice still hold application won’t be vulnerabilities befo have access to the s to have something i when they’re found. Enforce l Brute force attacks but they’re still wort measures, such as a ving trusted go about acquiring ent. In addition ces, we observed ften by stealing s, various forms of ike keyloggers and to physical theft, her intellectual original organization suse (n=123) 71% Let’s take a look at the people committing these crimes. While payment chain personnel and end-users were still prominent, managers (including those in the C-suite) came in higher than in prior years. You know the type; one of those straight shooters with upper management written all over him. They often have access to trade secrets and other data of interest to the competition and, tragically, are also more likely to be exempted from following security policies because of their privileged status in the company.6 One of those “white-collar resort prisons” won’t do for their ilk. 3.3. Verizon 2014 DBIR Değerlendirme Raporu Dahili Bilgi Sahiplerinin ve Ayrıcalıkların Suistimali Figure 33. DBIR raporunda kullanılan ‘insider’ terimi bu değerlendirme dokümanında ‘Dahili bilgi Variety2014 of external actors within Insider Misuse (n=25) sahipleri’ manasında kullanılmaktadır. Genel anlamda; dışarıdan bilinmesi mümkün olmayan Organized crime 36% konuları bilen ‘dahili bilgi sahipleri’ kavramsal olarak da bu çevrime uymaktadır. Former employee 24% Kurum Unaffiliated ve kuruluşların verileri içinde yer 24% alan: Competitor 16% • müşteri veya vatandaşa hizmet vermek için kullanılan kişisel bilgiler, 8% amacıyla çalışanların kişisel bilgileri Acquaintance • bu hizmeti yerine getirmek • bu hizmeti yerine getirmek için lazım gelen diğer bilgiler PHYSICAL THEFT AND LOSS INSIDER AND PRIVILEGE MISUSE WEB APP ATTACKS POINT-OF-SALE INTRUSIONS As mentioned in the beginning of this section, insiders aren’t the N was the vector in kurum ve who kuruluşlarda yer aprivileges lan toplam erilerin öFigure nemli bir kısmını oluşturmaktadır. only ones misuse entrusted andvresources. antage of physical 33 gives an account of external and partner actors who directly eans the majority of or indirectly participated in incidents of misuse. Organized he office right under With more incidents than ever before involving trusted Let’s take a look at the people committing these crimes. While Özellikle ülkemizde bilişim güvenliği alanında çalışan firmaların ve şahısların (kurum içi, kurum dışı) criminals bribe insiders to steal data for fraud schemes. Former g through proxiesparties, we could more easily see how they go about acquiring payment chain personnel and end-users were still prominent, employees exploit still active gösteren accounts or bir other holes known olduğu, güvenilirlik akreditasyonun olmadığı bilinmelidir. Kurum ve kuruluşların omeone wants tothe usedatatabi when their own access is insufficient. In addition managers (including those in the C-suite) came in higher than in only to them. Competitors solicit intellectual property to gain policies and tearto abusing bilişim güvenliği bu manadaki incelemeleri yeterince entrusted privilegesalanındaki and resources,tercihlerini we observed yaparken; prior years. You know theilave type; one of those straight shooters business advantages. To mount a proper defense, organizations r plans — you have hacking yapmadıkları gözlemlenmektedir. Kurum ve kuruluşların aldığı kararlarda da güvenilirlik konusunun techniques to elevate privileges (often by stealing with upper management written all over him. They often have must take into account that such players are on the field. others’ credentials) and circumvent controls, various forms of access to trade secrets and other data of interest to the karar süreçlerine katkıda bulunmadığı değerlendirmektedir. Nearly all misuse prior tolike 2013 centered and on obtaining social engineering, and theincidents use of malware keyloggers competition and, tragically, are also more likely to be exempted information tohave use for fraud. As Figure 34 shows, we saw more backdoors. These cads even resorted to physical theft, from following security policies because of their privileged nsider Misuse (n=99) insiderDespionage targeting internal organizational data andstatus “white-collar resort taking documents suchdas blueprints and other intellectual in the company. 2014 BIR, ahili bilgi sahiplerinin suistimallerindeki motivasyonu ve 6bOne una ofdthose ış aktörlerin etkisini trade secrets than ever before. prisons” won’t do for their ilk. property, often denying availability to the original organization 23% by taking the only copy. Figure 34. Figure 33. 17% Actor motives within Insider Misuse (n=125) Variety of external actors within Insider Misuse (n=25) Figure 31. 13% Vector for threat actions within Insider Misuse (n=123) Financial 72% Organized crime 13% 36% LAN access 71% Espionage 18% Former employee 24% Physical access Grudge 28% 10% 24% Unaffiliated Remote access Convenience 21% 4% Competitor 16% Other 2% Fun 3% 8% Acquaintance Non-corporate 1% N/A 2% ENT CARD IMMERS CRIMEWARE MISCELLANEOUS ERRORS 2 0 As mentioned in the beginning of this section, insiders aren’t the 7 by onein of our DBIR tothat Thethe Recover Report, It’s also worth noting corporate LANpublished was the vector According only ones who misuse entrusted privileges and resources. Figure contributors, Mishcon de took Reya,advantage the two most common scenarios 71% of these incidents, and 28% of physical aktarmaktadır. 33 gives an account of external and partner actors who directly involve taking This the data to: the majority of access within theperpetrators corporate facility. means or indirectly participated in incidents of misuse. Organized • Start their own competing company (30%). employees perpetrated their acts while in the office right under criminals bribe insiders to steal data for fraud schemes. Former • ofHelp with (65%). 2014 Dsecure BIR’a gemployment öre dthan ahili hopping bilgi asrival ahiplerinin suiistimali gerçekleştirmesinde finansal (kazanç) ve casusluk the noses coworkers, rather through proxies employees exploit still active accounts or other holes known from themotivasyon relative safetykaynağı of their house. If someone wants to useda önemsenemeyecek oranda bir motivasyon kaynağı olmuştur. Ayrıca ‘hınç’ This kind of thing is certainly not new — it’s largely due to theonly to them. Competitors solicit intellectual property to gain these statistics to loosen up work-at-home policies and tear additiontespit of more contributors olarak edilmiştir. who have a view into this type of business advantages. To mount a proper defense, organizations down cube farms in favor of more open floor plans — you have activity than ever before. So, whether it’s fraud-ready data sold must take into account that such players are on the field. our blessing. on the quick to criminals or internal secrets eventually sold to a Nearly all misuse incidents prior to 2013 centered on obtaining competitor, insider crime is still “all about the Benjamins, baby.” Figure 32. information to use for fraud. As Figure 34 shows, we saw more Top 10 varieties of internal actors within Insider Misuse (n=99) insider espionage targeting internal organizational data and trade secrets than ever before. VERIZON ENTERPRISE SOLUTIONS 23% Cashier BARİKAT BİLİŞİM GÜVENLİĞİ 20/37 End-user 17% Finance 13% Manager 13% Figure 34. Actor motives within Insider Misuse (n=125) Financial 72% Verizon 2014 DBIR Değerlendirme Raporu Aynı zamanda bu dahili bilgi sahiplerinin suiistimaline etki eden dış etkenlerin; organize suç orgütleri, eski çalışanlar, rakipler ve bağımsız odaklar olduğu değerlendirilmiştir. Kurum ve kuruluşların karşılaşabileceği ‘dahili bilgi sahipleri’ ile ilgili suistimallerin engellenmesi veya fark edilmesiyle ilgili alınabilecek tedbirlerin neler olabileceğini sizlere aktarmak isteriz. Bu amaçla firmamız web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları (bilgi@barikat.com.tr) kullanarak bizlerle iletişime geçebilirsiniz. 2 1 BARİKAT BİLİŞİM GÜVENLİĞİ 21/37 YSICAL THEFT MISCELLANEOUS CRIMEWARE AND LOSS ERRORS L THEFT MISCELLANEOUS CRIMEWARE OSS ERRORS lost and stolen assets in this report. We decided, however, that To honest, we debated whether orfact not that to include a section on webe simply couldn’t ignore the blatant such incidents lost and stolen assets in this report. We decided, however, that — while not sexy or “cyber-y” — are among the most common we simply couldn’t ignore the reported blatant fact that such incidents causes of data loss/exposure by organizations. This — while not sexy or “cyber-y” — are among the most common is especially apparent in industries like Healthcare, where the causes of data loss/exposure reported by organizations. This disclosure of all incidents that potentially expose sensitive data is especially apparent in industries like Healthcare, where the is mandatory. And if there’s anything we know to be true about disclosure of all incidents that potentially expose sensitive data stealing human nature,And it’s that losinganything things and seem to is mandatory. if there’s we know tothings be true about be inherent predispositions. human nature, it’s that losing things and stealing things seem to be inherent predispositions. across the board. Even farmers have problems with people that noteworthy that this their is thecrops only incident laptops. pattern that applies come and try to snatch across the board. Even farmers have problems with people that Speaking oftry laptops, they’re thecrops mostlaptops. common variety of asset come and to snatch their reported with this pattern. Incident reports — especially to Speaking of laptops, they’re the mostVerizon common variety of asset 2014 CSIRTs — often don’t specify the asset lost or stolen. Thus,DBIR reported with this pattern. Incident reports — especially to “some kind of user device” is all weDeğerlendirme can infer and explainsRwhy aporu CSIRTs — often don’t specify the asset lost or stolen. Thus, “Other (user dev)” is so frequent. Beyond that, it’s what you’d “some kind of user device” is all we can infer and explains why expect: andBeyond drives. that, it’s what you’d “Othercomputers, (user dev)”documents, is so frequent. expect: computers, documents, and drives. The next thing to note is the ratio of loss to theft; losing information assets way more by alosing 15-to-one The next thing to happens note is the ratio ofthan loss theft, to theft; the findings yielded aand fewthat’s interesting observations that may help inform practice, where we’ll focus our Studying information way more than theft, by 15-to-one difference. Andassets that’shappens important because it suggests theavast that may help inform practice, that’s we’ll focus attention in this section. As we and begin, keepwhere in mind that we’reour difference. And that’s important because it suggests the vast majority of incidents in this pattern are not due to malicious DBIR 2014 raporunda bu kategori kurum ve kuruluşların sahip olduğu varlıkların kaybedilmesi veya attention in talking this section. we begin, assets; keep in10mind that we’re whatever was specifically aboutAs information majority of incidents in this pattern are not dueis toto malicious 10 or intentional actions. Thus, the primary challenge a) keep whatever specifically talking assets; çalınmasına istinaden ortaya çıkan oinformation laylara was binakılarak orhintentional azırlanmış bir kThus, ategoridir. lost or stolen had toabout store,information process, or transmit the primary challenge is to a) keep employees fromactions. losing things (not gonna happen) or b) minimize lost or stolen had to store, process, or transmit information in order to get our attention. employees from losing things (not gonna happen) or b) minimize order the impact when they do. The smart money is on option b, though to get our attention. the impact when they do. The smart money is on option b, though Basit bir adli konu veya kayıp wetazmini olarak değerlendirilebilecek bu başlığın aslında nasıl bilgi Observation #1 relates to demographics; have evidence bio-implanted computing devices do hold some future promise Observation #1 relates to demographics; we have evidence bio-implanted computing devices do hold some future promise that every type and size of organization loses stuff and/or has for option a. That’s about all we’re going to say about loss, butbut güvenliğine tki size edebileceği ise loses yapılacak ufak rtaya çıkmaktadır. that every type e and of organization stuff and/or hasincelemelerle for option a.oThat’s about all we’re going to say about loss, stuff stolen. That may not be much of a shock, but it’s at least theft still has a few more lessons for us. stuff stolen. That may not be much of a shock, but it’s at least theft still has a few more lessons for us. 3.4. Hırsızlık ve interesting Kayıp Studying the findings yielded a few observations PAYMENT CARD SKIMMERS PAYMENT CARD SKIMMERS Figure 39. Figure Top varieties of ofTheft/Loss Theft/Loss(n=9,678) (n=9,678) Top 10 action varieties 892 892 (user dev) Laptop Laptop (user dev) (user dev) Documents 140 (media) Documents (media) Disk drive Disk drive (media) Tapes (media) (media) Tapes Other Victim secure area 102 Partner facility 4% Partner vehicle 4% Partner facility 37 Partner vehicle 36 (server) (media) 27 12 Public facility 4% 4% 3% Public 2% Victimfacility grounds 3% Victim grounds 2% Public vehicle 2% Other 12 Database 11 (media) (server) Database 11 (server) 5% EVERYTHING ELSE EVERYTHING ELSE (media) (server) Other Other Victim secure area 5% 108 37 36 27 10% Personal residence 102 (media) 10% Personal residence 23% DOS ATTACKS DOS ATTACKS (user dev) Desktop Flash drive Personal vehicle 108 dev) Flash(user drive 23% Personal vehicle 308 140 (media) Desktop 43% 43% Victim work area Victim work area 308 CYBERESPIONAGE CYBERESPIONAGE Other Other (user dev) Figure 40. Figure 40. Top locations theft within Theft/Loss (n=332) Top 1010 locations forfor theft within Theft/Loss (n=332) Public vehicle 2% Victim public area 2% Victim public area 2% 2014 DBIR, ‘Other (user dev)’ kategorisini, olayları raporlayan kişilerin konu cihazları belirtilmemesi VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT sebebiyle yaratmıştır. Kullanıcıların tüm sahip oldukları bilişim varlıklarını kaybedebildiklerini ve bunların ciddi bir güvenlik açığı yarattığını bu tespitlerden görebilmekteyiz. Ayrıca bu veriler, saldıranların isterlerse rahatça bu kullanıcı bileşenlerine çalabildiklerini göstermektedir. Şaşırtıcı tespitlerden bir tanesi de; şirket ofislerinden çalınan bileşen sayısının, araba veya evlerden çalınanlardan fazla olmasıdır. Yani varlıkları kapalı kapıların arkasında tutmanın çok da yeterli olmadığı görülmektedir. Bu sebeple sistemlerin ofislerde bulunmasını da bir güvenlik unsuru olarak kabul etmemek gerekmektedir. Kullanıcıların bileşenleri kaybetmesi veya bunların çalınması durumunda kurum ve kuruluşların yaşaması muhtemel olaylara nasıl tedbir alınması gerektiği konusundaki önerilerimizi aktarmak isteriz. Bu amaçla firmamız web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları (bilgi@barikat.com.tr) kullanarak bizlerle iletişime geçebilirsiniz. BARİKAT BİLİŞİM GÜVENLİĞİ 22/37 VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 2 2 27 27 Misdelivery (sending paper documents or emails to the wrong recipient) is the most frequently seen error resulting data Verizon 2in014 DBIR disclosure. Değerlendirme Raporu MISCELLANEOUS ERRORS YSICAL THEFT AND LOSS Nearly every incident involves some element of human error. For example, failing to apply a WordPress patch certainly leaves the application vulnerable to attack, but it doesn’t directly compromise the system. Some other threat actor/action is required to do that. Without drawing that distinction, this category would be so bloated with “incidents” that it would be difficult to extract useful information. There are only two difficult problems in computer science: cache It’s also worth noting that this pattern doesn’t include every invalidation, naming things, and off-by-one errors. Misdelivery incident in the Error category. Loss is a type of error, but we (sending paper documents or emails to the wrong recipient) grouped it with theft (under Physical) in a different pattern is the most frequently seen error resulting in data disclosure. because they share certain similarities (you no longer possess One of the more common examples is a mass mailing where the device) and because it’s often difficult to determine loss vs. the documents and envelopes are out of sync (off-by-one) theft.D Please this in mind you view the top actions and bilgi ve belge paylaşımı, kullanıcı hataları ve benzeri 2014 BIR rkeep aporunda bu as kategori; yanlış kişilerle and sensitive documents are sent to the wrong recipient. A assets in this section. yes, but one that very often exposes data to hataların yarattığı olayların veya sızıntıların kategorisi omundane larak dblunder, eğerlendirilmektedir. unauthorized parties. Çeşitli Hatalar CRIMEWARE 3.5. Figure 43. Top 10 threat action varieties within Miscellaneous Errors (n=558) Figure 44. Top 10 assets affected within Miscellaneous Errors (n=546) Documents 44% Misdelivery 9% (user dev) File 7% (server) 6% Misconfiguration 14% (server) Desktop 20% Disposal error 49% (media) Web application Database 5% 5% (server) 3% Other Programming error 3% Mail (server) (server) 4% Gaffe 1% Disk media Omission 1% Disk drive 1% Other 1% Other 1% Maintenance error <1% (media) (media) (media) DOS ATTACKS Malfunction CYBERESPIONAGE 22% Publishing error 3% 2 3 BARİKAT BİLİŞİM GÜVENLİĞİ 23/37 EVERYTHING ELSE Bu hataların yanlış sisteme web baskısı yapılmasından, yanlış eposta atılmasına kadar pek çok VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT kullanıcı veya sorumlu tarafından yapılabildiği tespit edilmiştir. Bu hataların sorumluları ne yazık ki son kullanıcı, sistem yöneticileri, uygulama geliştiriciler gibi çoğunlukla iç kullanıcılardır. Kişisel hataların kategorisi olarak değerlendirilebilecek bu kategori de tespit, umulduğu kadar hızlı gerçekleşmemektedir. PAYMENT CARD SKIMMERS 29 Verizon 2014 DBIR Değerlendirme Raporu VERNMENT MISDELIVERY Figure 45. Discovery and containment timeline within Miscellaneous Errors rding to our sample, government organizations uently deliver non-public information to the wrong Discovery n=127 Containment n=55 ient; so much so, in fact, that we had to remove it from 6% Seconds 3% e 43 so that you could see the other error varieties. 4% 9% Minutes is that number so large? The United States federal rnment is the largest employer in that country, and 38% 10% Hours tains a massive volume of data on both its employees Days 27% 17% onstituents, so one can expect a high number of elivery incidents. Public data laws and mandatory 13% 6% Weeks rting of security incidents also cover government Months 6% 47% cies. Since we have more visibility into government 2% 8% Years akes, it creates the impression that government akes happen more frequently than everyone else’s, Never 0% 6% h may not be the case. This is not unlike the way we igher numbers of overall breaches in U.S. states that had disclosure laws on the books the longest. Case Organizations only discover their own mistakes about one-third Bu olayların oluşmaması için nasıl tedbirlerin alınması gerektiği konusundaki önerilerimizi aktarmak int: even with government misdelivery removed from of the time. Otherwise, an external entity makes them aware isteriz. amaçla web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları esults, misdelivery still dominates theBu list of errors firmamız of the incident, and most frequently it’s the organization’s own ting in exposed data. (bilgi@barikat.com.tr) kullanarak izlerle iletişime geçebilirsiniz customers.bYou could try the “Inconceivable!” tactic when a Dictionaries declared that “selfie” was 2013’s word of posting content to the web and r,13 but did you know that gretting it was a meme in the corporate world too? That’s he second most frequent error variety is publishing errors, ften involve accidentally posting non-public information blic resource, such as the company web server. That’s b application takes the number two spot on the affected chart (Figure 44). Rounding out the top three in this ry is disposal error, where the affected asset is thrown ithout being shredded or, in the case of digital media, y cleared of sensitive data. s making all these mistakes? Well, it’s st entirely insiders, of course. End-users, dmins, and developers lead the pack when mes to mucking things up, though pretty all of us are guilty. making all these mistakes? Well, it’s almost entirely s, of course. End-users, sysadmins, and developers lead k when it comes to mucking things up, though pretty much s are guilty. But the interesting thing is that there’s quite a umber of incidents (70) caused by partner errors — more y other pattern. 2 4 customer calls to say they found their unprotected personal data on your website — but if you keep using that word, they’ll figure out it doesn’t mean what you think it means. Figure 46. Top 10 discovery methods for Miscellaneous Error incidents (n=148) 68% Total External 32% Total Internal 30% Ext-customer 25% Ext-unrelated party 18% Int-reported by user 12% Other Int-unknown 5% Int-IT audit 3% Ext-law enforcement 2% Ext-actor disclosure 2% Ext-audit 1% Int-log review 1% BARİKAT BİLİŞİM GÜVENLİĞİ 24/37 VERIZON ENTERPRISE SOLUTIONS Frequency 12,535 total incidents 50 with confirmed data disclosure Key findings The primary goal is to gain control of systems as a platform for illicit uses like stealing credentials, DDoS attacks, spamming, etc. Web downloads and drive-bys are the most common infection vectors. Verizon 2014 DBIR Değerlendirme Raporu Many incidents in this section come from our CSIRT partners, This one primarily targets Android and Blackberry mobile reflecting a roll-up across many victim organizations. The devices for similar purposes. While Zeus serves as an example level of detail tends to be lower because there was no forensic of crimeware families reported all around the world, others had investigation or similar in-depth analysis (or the report wasn’t a more localized presence. Nitol, for instance, was quite common provided to the CSIRT), leaving VERIS metrics a bit sparse. among incidents reported to MyCERT of Cybersecurity Malaysia, But the high number of incidents still2014’ün offers someözellikle insight into iyi incelenmesi but we have no instances of it infecting systems outsidebir Asia.tanesi de bu suç yazılımlarının DBIR gereken üç bölümünden day-to-day malware infections where the victim’s anti-virus (AV) Nitol allows backdoor access and frequently causes infected yarattığı olay ve sızıntıların incelendiği bu bölümdür. and intrusion prevention system (IPS) shields could not repel systems to participate in DDoS attacks. firepower of that magnitude. Expanding online markets, where specialists offer cybercrimeAs expected, this incident pattern consists mainly of as-a-service, became a growing trend in 2013. A a good examplehizmet eden olaylar olduğu ve Bu kategorideki olayların çoğunun direk veya dolaylı finansal maçlara opportunistic infections tied to organized criminals with some in the Netherlands was the wave of DDoS attacks on banks bu omotive layların suç rgütleri ile and bağlantılı olduğu since görülmelidir. kind of direct or indirect financial (hence theötitle specific institutions March, 2013. So-called “booter “crimeware”). Once malicious code has acquired a level of access websites” have made this type of attack available to literally and control of a device, the myriad possibilities to make a buck anyone who wants to attack a company or institution. Naturally, Suç yazılımları kategorisine gairen yother azılımların hareket akıldığında are opened up for the attacker. host of malware families madetarzlarına appearances b last year, but these two stood out to us as worthy of a brief mention. In not-so-shocking news, Zeus continues to be a favorite way to make a buck with crimeware in 2013 (see sidebar for more Figure 47. detail). Zeus and its offspring, Citadel, primarily focus on Top 10 threat action varieties within Crimeware (n=2,274) stealing money via bank account takeovers, though they can also be used for other functions. Zitmo (“Zeus in the Mobile”) also 86% C2 shows up in the data.14 24% Unknown 3.6. Suç yazılımları Spyware/keylogger ZEUS Downloader 13% 10% Zeus (sometimes called “Zbot”) is sort of the cockroach of 9% Spam malware. It has managed to survive and even thrive despite many attempts to eradicate it. International arrests and the 6% Client-side attack supposed retirement of the original author have not slowed 4% Backdoor it down, and once the source code behind it was published, other programmers could modify and extend Zeus for their 4% DoS own purposes, including evading antivirus software. In fact, Adware 2% Citadel started off as a variant of Zeus but has evolved Victims don’t always report malware functionality, but when they Figure 50. substantially. Zeus can be used to install other malware 1% Export C2 data Top 10 assets affected within Crimeware (n=1,557) do, they prefer (according to the most interesting CSIRTs but often grabs login and banking credentials from within in the world, at least). This makes perfect sense, as the goal is Other browsers. Despite the efforts of many, it has continued to to achieve and maintain control of a device to command it to (server) elude the good guys that komuta are trying tokshut it down. ontrol merkezi üyesi (c2, command & control) yapayı amaçlayan hareketlerin ağır baskınlığı Other do your bidding. Whether the little compromised minions are 19% (user dev) görülecektir. participating in a spam botnet, stealing banking credentials, or VERIZON ENTERPRISE SOLUTIONS hijacking a browser to artificially boost ad revenue, there are numerous ways to leverage compromised workstations that Bu suç yazılımlarının tehdit vdon’t ektörleri değerlendirildiğinde ise entail deeper penetration into a network. Web application 14% (server) Mail 13% (server) Other 10% (people) Desktop Figure 48. Top 10 vectors for malware actions within Crimeware (n=337) Email link 2 5 BARİKAT BİLİŞİM GÜVENLİĞİ 4% 2% Other 2% Remote injection 1% Unknown 1% Removable media 1% End-user <1% Mobile phone <1% (user dev) 5% Download by malware <1% (people) 6% Network propagation The majority of crimeware incidents start via web activity — downloads or drive-by infections from exploit kits and the like — rather than links or attachments in email.15 Adware still shows up, though Bonzi Buddy thankfully remains extinct. For malware with a social engineering component, both scams and phishing play important roles.16 Infected assets usually weren’t identified, but interestingly, those that were reported more servers than user devices. Wow. So vectors. Much families. Many incident. 3% Laptop (user dev) 38% Web download Email attachment Unknown 43% Web drive-by 7% (user dev) Like us, your first reaction might be “why not technolog IDS and AV?” This reflects the role of CSIRTs as the pri provider of crimeware incidents in this dataset. The dis method wasn’t known for 99% of incidents; it’s not usu their visibility or responsibility. For all we know, CSIRTs the 1% not discovered by AV or IDS. The discovery time Figure 52 hints that this might, in fact, be the case. Not difference in N between Figure 51 and Figure 52 and ho infections are discovered within seconds — only autom detection methods would be so quick. Figure 51. External vs. internal discovery methods within Crimew (n=183) 25/37 External discovery Internal discovery 16% Verizon 2014 DBIR Değerlendirme Raporu web gezintilerinde sistemlere bulaşan ve webden erişilen dosyaların içinde bulunan suç yazılımlarının ağırlıklı tehdit vektörleri olduğu görülebilmektedir. Ülkemizde böyle bir araştırma yapılmış olsa da, tahminimiz ağ üstünden yayılma oranının daha yüksek çıkacağı yönündedir. Ancak web tabanlı saldırı vektörlerin baskınlığının ülkemiz için de geçerli olduğunu düşünmekteyiz. Ayrıca bu suç yazılımlarından etkilenen sistemlere bakıldığında Figure 50. Top 10 assets affected within Crimeware (n=1,557) Other 43% (server) Other 19% (user dev) Web application 14% (server) Mail Other 10% (people) Desktop tion ent Laptop <1% End-user <1% Mobile phone <1% (user dev) 38% oad (people) 6% (user dev) 5% 3% INSIDER AND PRIVILEGE MISUSE 43% e-by 7% (user dev) Unknown WEB APP ATTACKS 13% (server) or malware actions within Crimeware (n=337) POINT-OF-SALE INTRUSIONS ays report malware functionality, but when they 2 (according to the most interesting CSIRTs ast). This makes perfect sense, as the goal is aintain control of a device to command it to Whether the little compromised minions are spam botnet, stealing banking credentials, or er to artificially boost ad revenue, there are o leverage compromised workstations that er penetration into a network. Like us, your first reaction might be “why not technologies like and AV?” This reflects ve the web role ofuygulamalarının CSIRTs as the primary sunucu sistemlerinin, IDS eposta sistemlerinin etkilenme oranlarının toplamın provider of crimeware incidents in this dataset. The discovery ware 2% büyük bölümü olduğunu görmekteyiz. Bu bileşenlerin istemciler için geçerli koruma tedbirlerinden method wasn’t known for 99% of incidents; it’s not usually within her 2% hariç tutulmaması ve htheir atta visibility özel tedbirlerin bu sistemler devreye alınması or responsibility. For all weiçin know, CSIRTs only saw gerekmektedir. tion 1% the 1% not discovered by AV or IDS. The discovery timeline in Figure 52sunulmasına hints that this might, in fact, be the case.göz Notice the own 1% Siber suçun ‘hizmet olarak’ yönelimin arttığını önünde bulundurmalıyız. Toplu difference in N between Figure 51 and Figure 52 and how many olarak tüm bileşenlere (sunucu, uygulama vb) yönelik ve konuya metodolojik yaklaşmalıyız. Firma edia 1% infections are discovered within seconds — only automated düşüncemizse ülkemizde suç would yazılımlarıyla detection methods be so quick. mücadelenin, genel güvenlik metodolojisinin rimeware incidents start olarak via web activity — ve-by infections from exploit kits and the like parçası olarak düşünülmeden/tasarlanmadan ürün odaklı değerlendirildiğidir. Figure 51. ks or attachments in email.15 Adware still shows External vs. internal discovery methods within Crimeware Buddy thankfully remains extinct. For malware (n=183) Daha doğru olduğuna inandığımız, kurum geneline yönelik farklı vektörleri adresleyen suç neering component, both scams and phishing 16 weren’t identified, les. Infected assets usually yazılımından korunma yaklaşımımızın detaylarını ve güvenlik metodolojisi içindeki yerini sizlere those that were reportedpaylaşmak more serversisteriz. than Bu amaçla 84% Externalfirmamız discovery web sayfasındaki (www.barikat.com.tr) formaları veya diğer w. So vectors. Much families. Many incident. yolları (bilgi@barikat.com.tr) kullanarak iletişime geçebilirsiniz. 16% Internal discovery bizlerle 4% PHYSICAL THEFT AND LOSS link MISCELLANEOUS ERRORS CRIMEWARE als ank ent nal BARİKAT BİLİŞİM 71% GÜVENLİĞİ Seconds Minutes Hours 7% 32% 28% CY ESP 2 14% 64% 82% Figure 52. Discovery timeline within Crimeware (n=1,017) PAYMENT CARD SKIMMERS data within Crimeware (n=73) 26/37 Bluetooth, cellular transmission, etc. All incidents in which a skimming device was physically implanted (tampering) on an asset that reads magnetic stripe data from a payment card (e.g., Figure 54. ATMs, gas pumps, POS terminals, etc.). For a wide array of criminals ranging from highly organized crime Assets affected within Card Skimmers (n=537) industries rings to gardenTop variety ne’er-do-wells who are turning out no Finance, Retail Verizon 2014 DBIR good just like their mama warned them they would, skimming ATM 87% 17 Frequency (terminal) Değerlendirme Raporu continues to flourish as a relatively easy way to “get rich quick. ” 130 total incidents Gas terminal 9% Eastern European actors, While most incidents are linked to (terminal) 130 with confirmed data disclosure nearly all victims of payment card skimmers in this report are Access reader 2% (network) U.S. organizations (the U.S. Secret Service and public disclosures There’s not a ton of variation in this pattern at the VERIS level: criminal groups install skimmers Key findings PED pad 2% being the primary sources for this data). While some don’t think on ATMs (most common) and other card swipe devices. On(terminal) a more qualitative level, the skimmers we should include this type of attackareingetting the DBIR, can’tinjustify terminal more we realistic appearance and morePOS efficient at exporting 2%data through the use of (user dev) excluding a tried-and-true method used criminals steal etc. şahsını en çok ilgilendiren bölümdür. Bluetooth, cellular transmission, DBIR 2014 raporundaki bölümler iby çerisinde otokuyucuların Backup 1% (server) payment card information. Database 1% (server) Figure 53. For a wide array of criminals ranging from highly organized crime Figure 54. Mail 1% Origin of external actors within Card Skimmers (n=40) (server) Assets affected within Card Skimmers (n=537) rings to garden variety ne’er-do-wells who are turning out no Mainframe 1% good just like their mama warned them they would, skimming Bulgaria 38% ATM (server) 87% (terminal)Proxy continues to flourish as a relatively easy way to “get rich quick.” 1% (server) Armenia Gas terminal 18% 9% While most incidents are linked to Eastern European actors, (terminal) In 2013, most skimming occurred on ATMs (87%) and gas pumps nearly all victims of payment card skimmers in this report are 18% Romania Access reader 2% (9%) due to the relative ease with which they can be approached (network) U.S. organizations (the U.S. Secret Service and public disclosures Brazil 8% PED pad and tampered with. 2%Gas pump skimmers are often installed by being the primary sources for this data). While some don’t think (terminal) a small group of people acting in concert. One scenario involves United States 8%of attack in the DBIR, we can’t justify we should include this type POS terminal 2% (userconspirators dev) one or more going into the station to make a excluding a tried-and-true method used by criminals to steal Bosnia and 2% Backup 1% purchase and distract the cashier’s attention, while a partner in Herzegovina (server) payment card information. crime plants the device inside the machine using a universal key. Cuba 2% Database 1% (server) Figure 53. Iran, Islamic ATM skimmers, the other hand, are installed on the outside 2% Mail on 1% Republic of Origin of external actors within Card Skimmers (n=40) (server) of the machine. While some ATM skimming devices are clunky Mexico 2% Mainframe 1% homemade(server) affairs that might afford an opportunity for Bulgaria 38% Nigeria 2% observantProxy customers 1% to spot them, the design of many skimmers (server) Armenia 18% (both those created by the criminal and those purchased “off the In shelf”) 2013, most skimming occurredinonappearance ATMs (87%) and gasthey pumps can be so realistic that are virtually 18% Romania (9%) due to the with can be approached invisible to relative the endease user. Inwhich mostthey cases they can be snapped in ATM sistemlerinin gerçekleşmesi için kullanılan en önemli bileşen olduğu Brazilbu saldırının 8% and tampered with. Gas pump skimmers are often installed by in sufficient place in a matter of seconds and can be produced a small group of people acting in concert. One scenario involves görülmektedir. quantities to make the attacks scalable and highly organized. United States 8% one or more conspirators goingthe intonorm the station to make a and warrants This, however, has been for some time Bosnia and 2% purchase and distract the cashier’s attention, while a partner in Herzegovina only a cursory mention in this report. What has changed over Ayrıca bu olayların gerçekleştiği ülkeler arasında ülkemizi görmemek sevindiricidir. Ancak bunun crime plants the device inside the machine using a universal key. Cuba 2% time, however, are the methods by which the data is retrieved by gerçekten bu olayların ülkemizde daha az olması sebebiyle mi, yoksa bu rapora temel olan verileri theskimmers, criminals. Iran, Islamic 2% ATM on the other hand, are installed on the outside Republic of üretmiyor olmamız sebebiyle mi olduğu bilinmemektedir. of the machine. While some ATM skimming devices are clunky Mexico 2% homemade affairs that might afford an opportunity for 2% REPORT observant customers to spot them, the design of many skimmers VERIZON 2014 DATA BREACHNigeria INVESTIGATIONS (both those created by the criminal and those purchased “off the shelf”) can be so realistic in appearance that they are virtually invisible to the end user. In most cases they can be snapped in place in a matter of seconds and can be produced in sufficient quantities to make the attacks scalable and highly organized. This, however, has been the norm for some time and warrants only a cursory mention in this report. What has changed over time, however, are the methods by which the data is retrieved by the criminals. Description 3.7. INSIDER AND PRIVILEGE MISUSE WEB APP ATTACKS Sahte Ödeme Kartı Okuyucuları PHYSICAL THEFT AND LOSS MISCELLANEOUS ERRORS CRIMEWARE PAYMENT CARD SKIMMERS CYBERESPIONAGE DOS ATTACKS EVERYTHING ELSE VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 2 7 35 BARİKAT BİLİŞİM GÜVENLİĞİ 27/37 Verizon 2014 DBIR Değerlendirme Raporu 3.8. Siber Casusluk DBIR 2014 raporun en iyi incelenmesi gereken bölümü olduğuna inanmaktayız. To set the tone, we need to understand the victims represented Attribution is also probabilistic in nature. Be within the data. We don’t claim to cover all espionage activity in intelligence vendors claiming to be 100% sur Firmaların ticari sırlarının, rakipler veya rakiplerin vereceği bedellerin yüksek olacağını düşünen suç 2013 — quite far from it, actually. As is evident in Figure 57, the actor group from Y country with Z motives; t örgütleri tarafından, toplandığını ve periyodik olarak sızdırıldığını anlaşılmaktadır. sample is still largely (over half) U.S. based, but not as exclusively incorrect. There are many methods for deter as in previous years. We expect this to continue as more global — sometimes it’s following the breadcrumbs organizations join the cause. We can’t help but wonder why we Other timesbaşka it’s ruling out the alternatives us Ayrıca ülkelerin (veya altındaki/destekledikleri yapıların) dost düşman gözetmeksizin ülke have no examples of Italian victims of espionage in our dataset. analysis of competing hypothesis.20 None of sırlarına/kritik sistemlerine bu yolla ulaştıkları görülebilmektedir. are perfect. It’s important to carefully evalua Our best hypothesis is that sophisticated actors remember the to make sure one isn’t suffering from some ty classic blunder of “go[ing] in against a Sicilian when death is on bias.21 It would be more helpful if probabilist the line” when selecting targets (the most famous blunder, of Siber casusluk olaylarından hedef olan ülkeler incelendiğinde: Sherman Kent’s “Words of Estimative Probab course, is getting involved in a land war in Asia). when describing attribution to particular cou threat actors. With that in mind, the following “Probable” and “Almost Certain.” Figure 57. Victim country within Cyber-espionage (n=470) 54% United States 6% South Korea Japan Russian Federation 4% 3% State-affiliated Organized crime 11% Colombia 2% Competitor 1% Ukraine 2% Former employee 1% Vietnam 1% Belarus 1% Unknown <1% As expected, most incidents in this category to state-affiliated actors. But the data also r Philippines 1% organized criminal groups, competitors, and former employees join in the game too. We al Bu ülkeler arasında ülkemizin olması sevindiricidir. Ancak ülkemizin bu listede yer is not always the s longer game of espionage In additionlistelenmemiş to geographic broadening, we see a wide distribution exhibits a nearer-term, more direct financial of both sizes and types of victim organizations. Unfortunately, almamasının, DBIR çalışmalarında kullanılmak üzere bulgu yollamadığımız için olduğunu An example would be a mercenary-style thef victim size is often not tracked, so there are a lot of unknowns düşünüyoruz . digital certificates contracted by a rival orga here. Insofar as we can determine from the data before us, interested party. however, size doesn’t seem to be a significant targeting factor. Saldırıların çeşitliliğine bIndustry, akıldığında: on the other hand, does: the Public, Professional, and Manufacturing sectors are more targeted by espionage than Figure 59. the rest of the field (which still runs a fairly wide gamut). There Region of external actors within Cyber-espi is little doubt that figures for the Public sector, which spans Eastern Asia embassies, economic programs, military, and other support organizations, are boosted by our government contributors. Unattributed 25 There is also little doubt that they are a prime target for 21% Eastern Europe espionage. Victims within the Professional, Scientific, and Technical Services category typically deal with custom computer Western Asia 4% programming services, research and development, engineering Northern America <1% and design, and legal practices. Many of these organizations are targeted because of the contracts and relationships they Europe <1% have with other organizations. For some, they can serve as Southern Asia <1% both a valuable aggregation point for victim data and a trusted BARİKAT BİLİŞİM GÜVENLİĞİ 28/37 exfiltration point across several target organizations. Lastly, and not unexpected, Manufacturing industries are also targeted for their intellectual property, technology, and business processes. Kazakhstan 1% 2 8 Figure 58. Variety of external actors within Cyber-espi tates 54% 6% orea INSIDER AND PRIVILEGE MISUSE within Cyber-espionage (n=470) analysis of competing hypothesis.20 None of these methods are perfect. It’s important to carefully evaluate information to make sure one isn’t suffering from some type of cognitive bias.21 It would be more helpful if probabilistic language like Sherman Kent’s “Words of Estimative Probabilities”22 was used Verizon 2014 DBIR when describing attribution to particular countries, regions, and Değerlendirme Raporu threat actors. With that in mind, the following would fall between “Probable” and “Almost Certain.” WEB APP ATTACKS es of Italian victims of espionage in our dataset. esis is that sophisticated actors remember the of “go[ing] in against a Sicilian when death is on electing targets (the most famous blunder, of g involved in a land war in Asia). Figure 58. Variety of external actors within Cyber-espionage (n=437) PHYSICAL THEFT AND LOSS 4% the percentage of incidents apan o actor origin, It’sState-affiliated interesting that, while the array of tools is diverse, the87% basic East is much less predominant in this year’s methods of gaining access to a victim’s environment are not. The ationAsia 3% Organized crime 11% ountries in particular, the People’s Republic of most prolific is the old faithful: spear phishing. We (and others) mbia 2% People’s Republic of Korea, represent 1% Competitor Democratic have covered this ad nauseam in prior reports, but for both of is underscores the point we made in our last report you who have somehow missed it, here goes: A well-crafted and raine 2% Former employee 1% our China-exclusive results, China definitely was personally/professionally-relevant email is sent to a targeted tnam 1% <1%to open an attachment or click a link Unknownthem ountry conducting espionage. user(s), prompting within the message. Inevitably, they take the bait, at which larus 1% aset shows much more activity attributed to Aspoint expected, most incidents in system, this category are attributed malware installs on the a backdoor or command(siber casusluk olaylarının Devletle alakalı konuların fazlalığı görülebilmektedir. Bu çarpıcı gerçeğin 1% Russian-speaking ones in particular. hstan ean actors, tochannel actors. But the begins data also us thatmoving opens, and the attacker a chain of actions çoğunun devletle alakalı ostate-affiliated lduğu) ülkemiz içinde geçerli ve dreminds evletimizin sürekli siber saldırılara maruz don’t propose these are the only active regions/ pines 1% and organized criminal groups, competitors, andespionage current23 incidents toward their objective. The proportion of aged in espionage. More comprehensive research kaldığını düşünmekteyiz. former employees join inisthe game too. Welast also see that the 95%), incorporating phishing lower than our report (it was actor groups is continually driving better detection longer game of espionage always the soleThis motive; it often ographic broadening, we see a wide distribution but not because of a dropisinnot actual frequency. is primarily n, and we hope future versions of this report will nearer-term, direct financial element as well. d types of victim organizations. to a big inmore the use of strategic web compromises Siber cUnfortunately, asusluk amacıyla exhibits kdue ullanılan sincrease uç yazılımlarının s of those efforts. At a high level, there doesn’t An example be aofmercenary-style theft of source code or ten not tracked, so there are a lot of unknowns (SWCs) as would a method gaining initial access. ch difference in the industries targeted by East digital certificates contracted by a rival organization or other we can determine from the data before us, tern European groups. Chinese actors appeared to Figure 61.party. interested oesn’t seem to be a significant targeting factor. er breadth of industries, but that’s because there Vector for malware actions within Cyber-espionage (n=329) other hand, does: the Public, Professional, and mpaigns attributed to them. sectors are more targeted by espionage than Figure 59. 78% Email attachment ield runs a fairly wide gamut). There this (which patternstill that sets it apart from others is the Region of external actors within Cyber-espionage (n=230) figures for theMany Public which spanshave 20% fat threat actions. ofsector, the other patterns Web drive-by Eastern Asia nomic military, and other support s with programs, relatively few VERIS actions. Espionage 49% 4% Direct install re boosted by our government contributors. old in a big way, though the specific actions Unattributed 25% Downloaded by le that they are readers. a prime target for bedoubt a surprise to many State-affiliated malware 3% 21% Eastern Europe ms within therange Professional, Scientific, andhave deploy a wide of tools (or tools that Email link 2% ces category typically deal with computer capabilities), which is evident incustom Figure 60. Western Asia 4% Email autoexecute <1% ervices, research and development, engineering Northern America <1% legal practices. Many of these organizations Network propagation <1% ion varieties within Cyber-espionage (n=426) cause of the contracts and relationships they Europe <1% Remote injection <1% organizations. For some, they can serve as Southern Asia <1% or C2 [hac] point for victim data and a70% aggregation trusted Unknown <1% nt across several target organizations. Lastly, and C2 [mal] 68% Manufacturing industries are also targeted for 67% shing [soc] Instead of email bait, SWCs set a trap within (mostly) legitimate eposta ile processes. hedeflere daha çok ulaştırıldığı görülmektedir. Bu sebeple siber casusluğa konu olabilecek l property, technology, and business websites likely to be visited by the target demographic. When kdoor [mal] 65% kurum ve kuruluşların bu they manada daha zel trap tedbirler alması gerektiği açıktır. visit the page,öthe is sprung, the system infected, and 60% oader [mal] the rest is the same as described above. Even if detected quickly, 57% d data [mal] provide a very high reward for attackers. Furthermore, Siber casusluğun hedefi oSWCs lan vcan erilerin neler olduğu incelendiğinde the industry has observed some maturation of the SWC rt data [mal] 43% technique, which assists the actors in focusing their targets and ogger [mal] 38% avoiding detection (see sidebar on next page for more on SWCs). MISCELLANEOUS ERRORS CRIMEWARE PAYMENT CARD SKIMMERS CYBERESPIONAGE DOS ATTACKS 37% twork [mal] 37% EVERYTHING ELSE t vuln [mal] BREACH INVESTIGATIONS REPORT 30% creds [hac] CAMPAIGN RESEARCH PUBLISHED IN 2013 ntrols [mal] The DBIR focuses on overall trends and stats related to espionage campaigns. Several of our contributors have published in-depth research on specific actors and campaigns, some examples are listed below: • Deputy Dog (FireEye), August-September 2013 • Ephemeral Hydra (FireEye), November 2013 • MiniDuke (Kaspersky), February 2013 • Red October (Kaspersky), May 2007-January 2013 • Sunshop (FireEye), September 2011-October 2013 (But likely ongoing) 28% ootkit [mal] 24% force [mal] 24% force [hac] 2 9 umper [mal] niffer [mal] 24% BARİKAT BİLİŞİM GÜVENLİĞİ 19% 16% raper [mal] 14% Other [mal] 14% 39 29/37 Verizon 2014 DBIR Değerlendirme Raporu Figure 64. Discovery timeline within Cyber-espionage Figure 62. Variety of at-risk data within Cyber-espionage (n=355) Seconds 0% 85% Internal Minutes 0% 83% Secrets Hours 80% System Days 39% Credentials Personal 2% Payment 1% Years Copyrighted <1% Other <1% dahili verilerin (Internal) Once ağırlığı görülebilecektir. the phishing email or SWC has done its work, and an internal system is infected, the name of the game is moving determinedly through the network to obtain the prize. This may Siber casusluk saldırılarının fark edilmesine yönelik verilere bakıldığında ise happen quickly, but it also may last for years. Common methods involving loading backdoors on systems to maintain access, 85% ernal 83% crets 80% stem 39% ntials 5% The most common method of discovery is ad from threat intelligence and research organiz observe, for instance, the victim communicat infrastructure of a known threat group. While per se, it does suggest intelligence operation tool for combating espionage. TOOLS OF THE TRADE: STRATEGIC WEBS POINT-OF-SALE INTRUSIONS sk data within Cyber-espionage (n=355) dropping Figure 64.spyware/keyloggers and password dumpers to steal user credentials, and then Cyber-espionage using those credentials to elevate Discovery timeline within (n=101) privileges and expand control. Seconds 0% Figure 63. Minutes 0% Top 10 discovery methods within Cyber-espionage (n=302) 9% Hours 85% Total External 8% Days Total Internal 15% 16% Weeks 67% Ext - unrelated party Months 62% Ext - law enforcement 16% 5% Years 16% Months 19% Unknown 8% Weeks 31% Classified 9% Strategic website compromises (SWCs) ha an effective tactic of state-affiliated thre the networks of target organizations. In 20 their debut with the “VOHO Affair”24 and co with attacks focused against the Public, M Professional, and Technical sectors. WEB APP ATTACKS SWCs leverage websites that are of critica complementary value to an industry’s line 31% ified distribute malware traditionally contained 19% nown emails. Visitors are hit with a drive-by dow attackers access/ownership of the system sonal 2% 8% Int - antivirus durumun ne derece vahim olduğu anlaşılabilecektir. Siber casusluk saldırıları, Amerika gibi bilişim SWCs in 2013 exhibited three new browse ment 1% The most common method of discovery is ad hoc notification vulnerabilities (constituting over 75% of p Int - NIDS 2% ve bilişim güvenliği alanında ciddi kural ve yönetmeliklere sahip ülkeler için bile, ay mertebesinde from threat intelligence and research organizations that ghted <1% SWCs), which upped the rate of compromi Int - reported by user the tespit edilebilmektedir. observe, 2%victim communicating with C2 for instance, Other <1% infrastructure of a known threat group. While this isn’t good news So, why has the use of SWCs in espionage Int - log review 1% per se, it does suggest intelligence operations are an important increased? Well, there’s no doubt that atta değerlendirme raporumuzun farklı bölümlerinde siber casusluk saldırılarına özellikle dikkat ng email or SWC has doneBu its work, and an - unknown 1% tool for Int combating espionage. realized this tactic scales well and provide is infected, the name of the game is moving çekmeye çalıştık. Siber casusluk saldırılarının artmasının önünde engel olabilecek bir husus da By opting out of assurances of ambiguity. Other 1% hrough the network to obtain the prize. This may phishing, attackers görülmemektedir. Ancak siber güvenlik saldırıları için alınabilecek tedbirlerin like içerisinde; eldeki effectively remove Ext - customer 1% but it also may last for years. Common methods from the tribulations of poor grammar, sca imkanlarla ve iyileştirmelerle yapılabileceklerin yeri oldukça fazladır. g backdoors on systems to maintain access, users. And by leveraging zero-day exploits Ext - audit <1% dumpers to steal TOOLS OF THE TRADE: STRATEGIC WEBSITE COMPROMISE re/keyloggers and password higher success rate that no longer rely on c s, and then using those credentials elevate Strategic website compromises (SWCs) have proven to be Güvenlik toüreticilerinin sürekli gündeme getirdiği teknolojik trendlerin yeri ise alınabilecek tedbirler actions. Examining discovery timelines and methods for espionage xpand control. an effective tactic of state-affiliated threats to infiltrate arasında düşünüldüğü kincidents adar fazla etkili değildir. reveals ample room for improvement. While this In 2014, we’d like to predict SWCs will fad the networks of target organizations. In 2012, SWCs made information is often not known or provided (for various reasons, seems unlikely. While there are downsides 24 with the and continued there’s in 2013 their debut “VOHO Affair” including the visibility focus of our and contributors), ry methods within Cyber-espionage (n=302) attackers (high visibility and high cost to w with attacks focused against the Public, Manufacturing, state enough to discern the general of affairs. It typically takes burn a zero day), the benefits of a low-cost Professional, and Technical BARİKAT BİLİŞİM GÜVENLİĞİ sectors. 30/37 generally outweigh t 85% ternal victims months or more to learn they’ve been breached and it’s long-term operations usually outsidewebsites party notifying them. are SWCsan leverage that of critical or ernal 15% complementary value to an industry’s line of business to 67% party distribute malware traditionally contained in spear phishing emails. Visitors are hit with a drive-by download, granting INSIDER AND PRIVILEGE MISUSE PHYSICAL THEFT AND LOSS MISCELLANEOUS ERRORS CRIMEWAR 3 0 Verizon 2014 DBIR Değerlendirme Raporu Her şeyden önce siber casusluk konusu planlı bir dizi çalışma ve metodolojik yaklaşımı hak edecek derecede hassas bir bilişim güvenliği sorunudur. Doğru bir siber casusluktan korunma planı ve güvenlik metodolojisinde yerinin nereler olması gerektiğine dair firma görüşlerimizi sizlere paylaşmak isteriz. Bu amaçla firmamız web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları (bilgi@barikat.com.tr) kullanarak bizlerle iletişime geçebilirsiniz 3 1 BARİKAT BİLİŞİM GÜVENLİĞİ 31/37 Verizon 2014 DBIR Değerlendirme Raporu 3.9. Servis Dışı Bırakma Saldırıları DBIR 2014 raporunda da bu kategorinin neden raporda olduğuna dair bazı açıklamalar yer almıştır. Firmamızın görüşü; DOS ve DDOS saldırılarıyla mücadele etmeye çalışmadan evvel; DOS/DDOS saldırılarına maruz kalabilecek sistemlerin kapasitelerinin belirlenmesi için yapılması gerekenler analizler olduğu yönündedir. Kurum ve kuruluşların devreye aldığı pek çok uygulamanın/sistemin beklenen kapasitenin çok altında performans göstermesi maalesef kolayca tespit edilebilecekken konu incelenmemektedir. Çeşitli teknik sebepler kapasitesi oranında performans gösteremeyen sistemlere yönelik gerçekleşen yoğun trafik ise DOS/DDOS saldırısı olarak da değerlendirilebilmektedir.. DOS ve DDOS saldırıları karmaşık bir konu olmamakla birlikte; bunlardan korunmak için bir dizi tedbirin eş zamanlı olarak aktif olması zaruridir. Eş zamanlı olarak devrede olması gereken tedbirlerin neler olduğuna dair firma görüşlerimizi sizlere paylaşmak isteriz. Bu amaçla firmamız web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları (bilgi@barikat.com.tr) kullanarak bizlerle iletişime geçebilirsiniz 3 2 BARİKAT BİLİŞİM GÜVENLİĞİ 32/37 Verizon 2014 DBIR Değerlendirme Raporu 4. Sonuç Ülkemizin özel ve devlet bilişim yapılarının, DBIR 2014 raporunda geçen tehditlerle karşılaşmadığını düşünmek aşırı iyimserlik olacaktır. Sistemlerimizle ilgili güvenlik olayları yaşamıyor olmanın geçerli ve sağlam bir güvenlik alt yapısından kaynaklandığını düşünmek ise zafiyete kapı açacak zararlı bir öz güvendir. Yıllardır güvenlik üreticilerin flaş teknolojilerine bütçe ayırıyor ve sadece ürünlerden sonuç bekliyor olmak sorunu çözmemiştir ve çözmeyecektir. Ürünler güvenliği sağlamak için kullanılan araçlardır. Esas katkılarını kurulduktan sonra (diğer IT sistemlerinden daha farklı olarak) etkin, güncel, sürekli ve bilinçli kullanılarak sağlarlar. Somut bir güvenlik metodolojisinin parçası olarak düşünülmedikleri ve buna istinaden temin edilmediklerindeyse sebepsiz bir araç olmanın ötesine geçememektedirler. İlk başta edinim sebepleri ne olursa olsun; sağlam bir güvenlik metodolojisine göre idame edilmediklerinde ve verimli kılınmadıkları sürece de; aslında var olmayan, sanal bir güvenlik hissi yaratırlar. Bu his, kurum ve kuruluşlara faydadan çok zarar getirir. Bilişim güvenliği ile ilgili ulusal bir bakışımızın oluşmasını bekler ve umarken; kurumsal ve sistemsel olarak tedbirlerimizi almak ise her pozisyonda görev yapan yöneticilerin ve çalışanların sorumluluğundadır. Firma olarak endişemizden biri, kritik sayılacak pek çok özel ve kamu sisteminin siber casusluk saldırılarına karşı gereken güvenlik seviyesinde olmadığıdır. Verizon 2014 Dbir raporuna göre siber casusluk saldırıları son bir yıl içerisinde 3 kat artmıştır. Buradaki tehdit kaynaklarının ülkemizin karşısında gördüğümüz ülkeler olduğunu düşünmek ise oldukça yanıltıcıdır. Siber casusluk saldırılarının, dost veya düşman olarak değerlendirdiğimiz pek çok ülke veya firma tarafından; ülkemiz devlet veya özel bilişim altyapılarına yapıldığını kabul ederek tedbirler almak durumundayız. Verizon DBIR 2014’de yer verilen güvenlik olaylarının (63,000 civarında olay) sadece %20’sini ilgili kurum veya kuruluşların kendisi fark etmiştir. Firma olarak endişelerimizden diğeri de bu oranın ülkemizde daha az olduğu ve fark etmediğimizin pek çok ihlalin gerçekleşe durduğudur. 3 3 BARİKAT BİLİŞİM GÜVENLİĞİ 33/37 Verizon 2014 DBIR Değerlendirme Raporu Tüm bunlar dikkate alındığında vardığımız çıkarımlar ve vurguladığımız verilerin işaret ettiği sonuçlar: • Hızlı devreye alınabilen • Kurumlara olayları fark etme kabiliyeti kazandıran • Çalışanları prosedürlere boğmayan • Bilgiyi kurumlara transfer etmeye imkan veren • Atılması gereken adımları ve alınması gereken mesafeyi planlayan, ön gören güvenlik metodolojilerinin kurum ve kuruluşlarda hemen uygulanmaya başlanması gerektiği yönündedir. Firmamız araştırma ve geliştirme birimi; uygulanmaya başlandığı anda somut, ölçülebilir ve gözlemlenebilir faydaları olan yaklaşımları araştırmakta, geliştirmekte ve uygulanabilir bir metodoloji haline getirmektedir. Bu metodolojileri kurum ve kuruluşlarla paylaşmak bizleri mutlu edecektir. Saygılarımızla. 3 4 BARİKAT BİLİŞİM GÜVENLİĞİ 34/37 Verizon 2014 DBIR Değerlendirme Raporu 5. İLETİŞİM BİLGİLERİ İletişim Adresi: Mutlukent Mahallesi, 1961. cadde No: 9 / A-‐3 PK: 06800 Ümitköy, Ankara, Türkiye Telefon : +90 312 235 44 41 Faks : +90 312 235 44 51 Web Sitesi : www.barikat.com.tr Eposta : bilgi@barikat.com.tr 3 5 BARİKAT BİLİŞİM GÜVENLİĞİ 35/37 Verizon 2014 DBIR Değerlendirme Raporu 3 6 BARİKAT BİLİŞİM GÜVENLİĞİ 36/37