Yanal hareket saldırısı, siber suçlunun başlangıç olarak bir hedefe saldırarak varlığı fark edilmeden ağ içindeki diğer cihazlar arasında hareket etmesi ile meydana gelir.
Makalemizde, yan tehditlerin neler olduğunu ve bunlardan nasıl kaçınılacağını ayrıntılı olarak açıklıyoruz.
Bir yanal hareket saldırısı kendini çeşitli şekillerde ve çeşitli amaçlarla gösterebilir.
Uygulamada, bu tür bir eylem ilk hedefe karşılık gelen bir giriş noktasına erişmekle ilgilidir, böylece saldırgan daha sonra ağdaki diğer konumlara erişebilir, veri çalabilir veya cihazlara bulaşabilir ve örneğin bir fidye ödemesi talep edebilir.
Ancak, yanal tehditleri zamanında tespit etmeye hazır bir BT ekibinin ve güçlü siber güvenlik çözümlerinin desteğiyle bu tehditlerden kaçınmak mümkündür.
Yanal hareket saldırısı nedir?
Yanal hareket saldırıları, siber suçlular ağın geri kalanında dolaşmak için mevcut erişimi kullandıklarında, tanımlanamayan hedeflerine ulaşana kadar bilgisayarlara ve dahili sunuculara bulaştıklarında meydana gelir.
İzinsiz girişten sonra, kötü niyetli saldırgan ayrıcalıklarını artırmak ve hassas verilere ve diğer yüksek değerli varlıklara erişim sağlamak için çeşitli kaynakları kullanır.
Siber suçluların tespit edilmesini önlediği için bu tür saldırılar, BT ortamında uzun süre kalmalarını mümkün kılar ve keşfedilmeleri haftalar hatta aylar sürebilir.
Nasıl gerçekleşir?
Yanal hareket saldırısı, çalınan bir kimlik bilgisi, kötü amaçlı yazılım bulaşmış bir makine veya diğer izinsiz giriş stratejileri olabilecek bir giriş noktasından başlar.
Bu nokta genellikle saldırganın komuta ve kontrol (C&C) sunucusuna bağlanır ve bu da kötü amaçlı yazılım bulaşmış uzaktan erişilen cihazlardan çalınan bilgileri depolamasına olanak tanır.
Bu noktada saldırgan, kullanıcıları ve cihazları gözlemleyerek ağı araştırır. Bu nedenle, ana bilgisayar isimlendirmelerini ve ağ hiyerarşilerini anlar, işletim sistemlerini tanımlar ve hedefe yönelik hamleler yapmak için bir plan oluştururlar.
Kötü niyetli ajanlar hala ağ üzerinde nerede bulunduklarını, nelere erişebildiklerini ve ne tür bir korumanın yürürlükte olduğunu keşfetmeyi mümkün kılan kaynakları kullanmaktadır.
Yanal hareket saldırısı örnekleri
Çeşitli siber saldırı türleri yanal hareket ile ilişkilendirilebilir. Bunlar arasında casusluk, veri sızıntısı, botnet ve fidye yazılımı bulaşmasını sayabiliriz.
Casusluk durumunda, rakip uluslar ve gruplarla veya rakip şirketlerle ilişkili bilgisayar korsanları, bir hükümetin veya kuruluşun eylemlerini izlemek için bir yanal hareket saldırısı gerçekleştirebilir.
Uygulamada, suçun motivasyonu mali kazançla ilgili olmadığında, kötü niyetli saldırganların uzun süre gizli kalmaya çalışma eğilimi vardır.
Veri sızdırmada, saldırgan bir şirkete ait bilgileri yetkisiz olarak taşır veya kopyalar. Bu tür bir saldırının motivasyonları, fikri mülkiyetin çalınması, çalınan veriler için fidye talep edilmesi veya kimlik hırsızlığı yapılması gibi çeşitli olabilir.
Botnet enfeksiyonu genellikle dağıtılmış hizmet reddi saldırılarında ortaya çıkar. Bu anlamda, bilgisayar korsanları botnet’lerine çok sayıda cihaz eklemek ve performansını artırmak için yanal hareketi kullanırlar.
Son olarak, yanal hareket saldırısı fidye yazılımlarıyla da ilgili olabilir ve siber suçluların fidye ödemesi talep etmek için mümkün olduğunca çok sayıda cihaza virüs bulaştırmasına neden olabilir.
Nasıl tespit edilir?
Kötü niyetli aktörler tarafından gerçekleştirilen eylemler, bir yanal hareket saldırısıyla başa çıkmaya hazırlanan bir BT ekibi için şüpheli hale gelebilir.
Çünkü bu profesyoneller, yanal hareket tehdidini temsil eden anormallikleri gözden kaçırma riskini almak yerine BT ortamındaki tüm hareketleri araştırarak olağandışı olaylara karşı tetikte olmalıdır.
BT ekiplerine bu görevde yardımcı olmak için, kuruluşların cihazlar ve/veya bilgisayarlar arasındaki etkileşimleri izleyen ve bulunan güvenlik açıkları hakkında bilgi sağlayan XDR gibi otomatik çözümlere sahip olması tavsiye edilir.
Uygulama, gerekli verileri toplayarak yazılımı kontrol etmeye başlar, yanal hareketler gerçekleştirmesi veya ayrıcalıklar elde etmesi engellenen kötü niyetli saldırganların erişimini önlemek için ağ güvenliği sağlar.
Bir yanal hareket saldırısının ana adımları, bir başlangıç hedefini istismar etmek, siber suçlu ile hedef arasında iletişim kurmak, başlangıç hedefinde ısrar etmek ve ağdaki diğer hedefleri belirlemek ve istismar etmektir.
Yanal hareket saldırısı nasıl önlenir?
Çoğu kuruluş kötü niyetli aktörlerin saldırılarıyla karşı karşıya kalmıştır ya da kaçınılmaz olarak kalacaktır. Bu nedenle ideal olan, bu tehditleri mümkün olan en kısa sürede kontrol altına almaya ve mali kayıpları önlemeye hazırlıklı olmalarıdır.
Fidye yazılımlarının ve diğer saldırı türlerinin yanal hareketini durdurmanın yollarından biri, varlıkları ve uygulamaları izole etmeyi ve kötü niyetli saldırganların ve fidye yazılımlarının ağ boyunca yayılmasını önlemeyi mümkün kılan mikro segmentasyondur.
Ayrıca, bir siber suçlunun tespit edilmeden ağa ne kadar nüfuz edebileceğini gösterecek bir sızma testi gerçekleştirmesi için etik bir hacker kiralayarak ağın savunmasız kısımlarını kapatmak da mümkündür.
Hacker tarafından elde edilen bulgularla şirket, güvensizlik yaratan kusurları düzeltebilecek.
Amacınız şirketinize yönelik bir yanal hareket saldırısını önlemekse, hiçbir kullanıcıya, bağlantıya veya cihaza varsayılan olarak güvenilmemesi gereken Sıfır Güven ağ güvenliği felsefesini benimsemeniz de kritik önem taşır.
Uç nokta güvenliği de göz ardı edilmemelidir. Bu nedenle, akıllı telefonlar, dizüstü bilgisayarlar ve masaüstü bilgisayarlar gibi cihazlara güvenlik teknolojilerinin uygulanması şiddetle tavsiye edilir.
Kötü niyetli bir saldırganın harekete geçmesini daha zor hale getiren Çoklu Kimlik Doğrulama Faktörü kullanımı da tavsiye edilmektedir, çünkü harekete geçmek için kimlik bilgilerine ek olarak bir belirteç veya hatta kullanıcının parmak izi gibi diğer kimlik doğrulama faktörlerine ihtiyaç duyacaklardır.
Son olarak, yanal hareket saldırılarını önlemek isteyen şirketler için en uygun çözüm olan PAM aracılığıyla kullanıcı ayrıcalıklarını sınırlandırmak esastır.
Uygulamada PAM’in rolü, normal kullanıcı hesaplarından yüksek ayrıcalıkları kaldırmak ve belirli etkinliklere sınırlı erişimi olan yönetici hesaplarını kullanmaktır. Bu, kötü niyetli saldırganın ayrıcalıksız bir kullanıcının hesabını ele geçirmesi durumunda başarılı bir yanal hareket saldırısı olasılığını azaltabilir.
Genellikle şirketler, BT ortamında idari görevlere izin veren çok sayıda ayrıcalıklı hesap bulundurur ve bu da dijital güvenlikleri için risk oluşturur. Bu nedenle, saldırı yüzeyini azaltmak ve sistemleri ve verileri diğer tehditlerin yanı sıra yanal hareket saldırılarına karşı korumak için PAM benimsenmelidir.
PAM senhasegura: yanal hareket saldırılarını önlemek için ideal çözüm
Bir önceki konuda da bahsettiğimiz gibi PAM, yanal hareket saldırılarını önlemek için vazgeçilmez bir çözümdür.
2001 yılından bu yana senhasegura olarak küresel pazara, dünyanın dört bir yanındaki kuruluşların dijital güvenliğini sağlayan özelliklere sahip bir PAM çözümü sunuyoruz. Faydaları arasında aşağıdakiler öne çıkmaktadır:
- Hızlı kurulum ve basit bakım
- Ayrıcalıklı erişimlerin tam yaşam döngüsü yönetimi
- Ekstra maliyet yok
- Yüksek performanslı donanım cihazlarının kişiselleştirilmiş teklifi
- DevOps sırlarının yönetimi
- Entegre Dijital Sertifika Yönetimi
- Bulut altyapısı vb. için çözümler
İlgili makale: PAM (Ayrıcalıklı Erişim Yönetimi) Kapsamlı Kılavuz
Otomotiv Sektöründe DLP (Veri Kaybını Önleme)
