Geleneksel siber suçlar ile devlet destekli gruplara atfedilen saldırılar arasındaki giderek bulanıklaşan çizgi, tehdit ortamının geleceği için ne anlama geliyor?
Hükümetler her zaman saldırgan siber operasyonlar yürütmüştür. Ancak son birkaç yılda, kampanyaların küstahlığında ve hacminde artış var gibi görünüyor. Başlıklar, kritik altyapıdan karmaşık tedarik zincirlerine kadar her şeyi hedef alan “devlet destekli” veya “ulus devlet” baskınları hakkında çığlık atıyor. Ancak daha yakından bakınca bunlar ve geleneksel siber suçlar arasındaki çizgiler giderek bulanıklaşıyor.
Bu, tehdit ortamının geleceği ve siber suçun küresel kuruluşlar üzerindeki artan etkisi için ne anlama geliyor? Bir tür jeopolitik fikir birliği olmadan, bu suç gruplarının ulus devletler tarafından etkili bir şekilde korunmalarını durdurmak çok daha zor olacak.
Geleneksel sınırlar
16 yıl önce siber güvenlik hakkında yazmaya başladığımda, ulus devlet saldırılarının keşfi nadirdi. Stuxnet kırıldığında onu bu kadar büyük bir olay yapan şey buydu. Çoğu zaman, benzer saldırılar “devlet destekli” olarak tanımlandı ve bu da ilişkilendirmeye biraz daha belirsizlik katıyor. Bir hükümetin bir kampanya emri verdiğini büyük olasılıkla tahmin ediyoruz çünkü hedef ve saldırı türü finansal hedefli sebeplerle tamamen örtüşmüyor ancak tetiği kendileri çekmemiş olabilir.
Bu iki terim muhtemelen yıllar içinde çok kez yanlış kullanılmıştır. Ancak hükümetlerin hoşuna giden yol budur; anonimleştirme teknikleri %100 ilişkilendirmeyi zorlaştırır. Her şey makul inkar edilebilirlikle ilgilidir.
İLGİLİ OKUMA: İğneler ve samanlıklar – tehdit atfetme sanatı
İster ulus devlet, ister devlet destekli olsun; saldırı kampanyaları birkaç temel unsuru içeriyordu:
- Ev yapımı veya ısmarlama kötü amaçlı yazılım ve araçlar, potansiyel sıfır gün güvenlik açıklarını bulmak ve kullanmak için yapılan zaman alıcı araştırmaların sonucudur. Bu bize EternalBlue ve NSA'dan çalındığı iddia edilen ilgili araçları veren bir yetenektir.
- Genellikle uzun süreli keşif çalışmaları ve ağların içinde uzun süre gizli kalma çabaları ile karakterize olan Gelişmiş Kalıcı Tehditler (APT'ler) olarak tanımlanan karmaşık çok aşamalı saldırılardır.
- Siber casusluk ve hatta yıkıcı saldırılara odaklanmak, çıplak kârın ötesinde jeopolitik amaçlar için tasarlanmıştır.
Bir dereceye kadar, bu noktaların çoğu bugün de geçerlidir. Ancak manzara da çok daha karmaşık hale geldi.
Bugünden görünüm
Şu anda küresel siber suçların her yıl trilyonlar değerine ulaştığı bir dünyada yaşıyoruz. Birçok ülkenin GSYİH'sinden daha fazlasını üreten ve birçok devletin arzu ettiği serbest kaynaklar, bilgi ve çalınan verilerle dolu tam işleyen bir ekonomidir. Meşru savunma müteahhitleri ve tedarikçileri özel sektörden hükümetler tarafından işe alındığı gibi, siber suçlular ve kaynakları giderek gayri resmi ve genellikle geçici dış kaynak anlaşmalarına konu olmaktadır.
Aynı zamanda tarihi jeopolitik normlardan çıkılmıştır. Siber uzay, hiçbir ülkenin henüz katılım şartlarını veya yol kurallarını kabul etmediği yeni bir savaş tiyatrosunu temsil ediyor. Bu, bazı ülkeler tarafından doğrudan veya dolaylı olarak ekonomik casusluğa sponsor olmanın kabul edilebilir olduğu bir boşluk bıraktı. Daha da ileri gitti: bazı durumlarda, organize siber suçların etkileri rakip ülkelere odaklandığı sürece kendi işlerini yapmalarına izin verildi.
İLGİLİ OKUMA: CyberwarCon – ulus‑devlet kirliliğinin geleceği
Bu nedenle, bugünkü manzara, geleneksel “devlet” ve “siber suçlar” arasındaki çizgilerin ayırt edilmesinin giderek daha zor olduğu bir manzaradır. Örneğin:
- Karanlık ağdaki birçok satıcı artık devlet aktörlerine istismarlar ve kötü amaçlı yazılımlar satıyor
- Devlet destekli saldırılar sadece ısmarlama araçları değil, aynı zamanda çevrimiçi satın alınan varlık kötü amaçlı yazılımlarını da kullanabilir
- Bazı devlet saldırıları aktif olarak yarı siber suç kampanyalarından gelir elde etmeye çalışıyor
- Bazı eyaletler üretken siber suç figürleri ve gruplarıyla bağlantılıydı
- Bazı hükümetler, bazı kampanyalara yardımcı olmak için serbest çalışan bilgisayar korsanlarını işe almakla suçlanırken, diğer faaliyetlere göz yumuyor
- Bazen hükümet ajanlarının, ekstra para kazanmaları için moonlight'a bile izin verildiği öne sürüldü
Proaktif olma zamanı
Gelecekte bizi neler bekliyor? Siber suç gruplarının enerji ve gıda tedarik zincirlerinde yaşanan ciddi aksamalar nedeniyle suçlandığı, bugünün fidye yazılımı salgınıyla ilgili öfkeye tanık olun. ABD, Evil Corp gibi bazı grupları resmi yaptırım listelerine koydu. Bu, mağdurların ve sigortacıların yasayı ihlal etmeden fidyeyi ödeyemeyeceği anlamına geliyor. Ancak bu gruplar, bu kuralları aşmak için yeniden markalaşmaya devam ediyor.
Sonuç olarak, hizmetleri için hala bir pazar olsa da, bu tür gruplar, ulus devletlerin gizli desteği veya aktif sponsorluğu ile çalışmaya devam edecektir.
Arada kalan tehdit araştırmacıları ve CISO'lar için bu çok rahat olmayabilir. Yine de bir umut ışığı var. Birçok C-seviye yönetici, rakiplerinin çok iyi kaynaklanmış ve sofistike olduklarını hissedip, onlara karşı savunma yapmaya çalışmanın bile bir anlamı olmadığını düşünerek devlet saldırılarına karşı kaderci bir tutum benimsemekten suçlu olabilir. Gerçek şu ki, saldırganlar mutlaka bütün bir ulusun cihazları ve zenginliğiyle desteklenen insanüstü varlıklar değildir. Varlık kötü amaçlı yazılımlarını ve hatta işe alınan tehdit aktörlerini kullanabilirler.
Bu, düşman ne olursa olsun güvenlik stratejinizin aynı olması gerektiği anlamına gelir. Sürekli risk profili oluşturma, çok katmanlı savunma, sıkı kurallar ve proaktif, hızlı tespit ve müdahale.
Daha fazla okuma:
Başlıca hedefler: Hükümetler siber güvenlik konusunda tek başlarına hareket etmemeliler.