Hacker Psikolojisi : Kim Sizi Neden
Hacklemeye Çalışır ????


Radore’nin CEO’su ve sektörün duayenlerinden
Barbaros Özdemir’le LinkedIn’de siber saldırganların motivasyonları hakkında
kısa bir yazışmamız oldu. Konu birkaç satıra sığdırılamayacak kadar çetrefilli
olduğu için ayrıca bir yazı yazmakta fayda gördüm.  




Saldırgan motivasyonunu anlamak siber güvenlik
duruşumuzu doğrudan etkileyecektir. Daha doğrusu etkilemelidir… Saldırganı
düşünmeden savunmayla ilgili bir karar alıyorsak büyük ihtimalle yanlış karardır.
Kendilerini yapılan her saldırının doğrudan hedefi olarak görenden “bize kim
niye saldırsın?” diyene kadar geniş bir yelpazede kuruluşla çalışma fırsatım
oldu. Siber güvenlik yatırımı planlarken saldırgandan yola çıkarak bir planlama
yapmak karşılaşmanız muhtemel siber saldırıları doğru öngörmenizi sağlayacağı
için yatırım getirisi (frenklerin Return on Investment – ROI dedikleri) en
yüksek kararları vermenize imkân sağlıyor. 

Bu noktada önerdiğimiz hizmetler tehdit modellemesi,
sızma testi ve MITRE ATT&CK saldırı simülasyonları oluyor. 




Siber saldırganların motivasyonlarına bakacak olursak,
Varonis tarafından yayımlanan bir araştırma sonucuna göre saldırıların %90’ı
maddi kazanç ve casusluk amacıyla yapılıyor. Şirket olarak son 12 ayda olay
müdahalesi desteği verdiğimiz kuruluşların tamamında saldırılar maddi kazanç
elde etmeyi amaçlıyordu. Online alışveriş siteniz olmasa veya kredi kartı
bilgisi tutmasanız bile Business E-mail Compromise veya fidye yazılım
saldırıların hedefi olabilirsiniz. Bu durumda saldırgan yine parasını kazanmış
olur.


Sektörde yaygın olarak kabul edilen saldırgan
motivasyonlarına bakacak olursak karşımıza aşağıdakiler çıkacaktır;




A.   Maddi kazanç: Saldırgan para kazanmayı amaçlar


B.   Siyasi/ideolojik: Saldırgan belli bir ideolojiyi
yaymak/duyurmak için veya bu ideolojinin çıkarlarına hizmet etmek için eylem
düzenler.


C.   Duygusal/Kişisel: Saldırgan kişisel
sebeplerden veya kişisel tatmin amacıyla hareket eder.


D.   Tanıtım/Reklam: Kişisel reklamını veya
bağlantısı/sempatisi olan bir grubun adını duyurmak amacıyla hareket
eder. 


Saldırgan profilini çıkartmak zor bir iştir ancak bunu
basitçe (bkz. sonucun doğruluğundan bir miktar ödün vermeyi gerektiriyor)
yapmanın bir yolu olabilir.

Öncelikle maddi kazanç amacıyla düzenlenen saldırılara
hedef olacağımızı kabul etmemiz gerekiyor. Modeli sadeleştirip her saldırgan
grubuna 10 puan verebiliriz (gerçekte modeli daha gerçekçi kurguluyoruz
elbette). Bir miktar marka değerimiz varsa, örneğin televizyona reklam
veriyorsak veya finans, savunma sanayi, Telekom gibi kritik bir sektörde
faaliyet gösteriyorsanız b grubundaki saldırganlar için de hedef olabileceğinizi
düşünmeniz gerekir. İlaveten yakın zamanda işten çıkartmalar olduysa veya
kuruluşunuz toplumda hassas bir konuda bir duruş sergilediyse (örn. LGBT
hakları) C grubunun da ilgisini çekmiş olursunuz. Bu durumda toplam 30 puan ile
geniş tabanlı ve motivasyonu yüksek saldırgan gruplarıyla mücadele etmeniz
gerektiği ortadadır.


Buna karşılık küçük çaplı, suya sabuna dokunmayan,
adını duyurmayan bir kuruluşsanız sadece maddi kazanç peşinde olan siber
saldırganları düşünerek bazı kararlar almak mümkündür. 




Hizmet dışı bırakma saldırılarının (DoS/DDoS – Denial
of Service/Distributed Denial of Service) da maddi kazanç elde etmeye imkan
verdiğini görebiliyoruz. 2019 yılının ekim ayında dalga halinde ve dünyanın
birçok ülkesinde kuruluşlardan DDoS saldırısı tehdidiyle para istendiğine şahit
olmuştuk. DDoS saldırılarının düşük maliyetlerle kiralanabilir olması (DDoS as
a Service) nedeniyle de eski çalışanlardan rakiplere kadar değişik saldırganlar
tarafından intikam veya iş bozma amacıyla kullanıldığını da görüyoruz. 




Science Publishing Group tarafından psikoloji ve
davranış bilimi başlığı altında 2016 yılında yayımlanan bir makalede hackerları
5 temel kişilik özelliğine göre değerlendirilmiş. Çalışmada beyaz şapkalı,
siyah şapkalı ve gri şapkalı hackerlar aşağıdaki 5 kişilik özelliğine göre
sınıflandırılmış;


  • Dışa dönüklük
  • Karşısındaki tarafından olumlu algılanma
  • Deneyimlere açıklık
  •  Görev bilinci
  • Duygusal istikrar



Kuruluşun siber güvenlik risk seviyesini etkileyen faktörler
düşünüldüğünde; saldırganın psikolojik durumundan çok motivasyonunun (başarılı
olana kadar hangi miktarda efor harcamaya hazır olduğu) ve teknik beceri
düzeyinin değerlendirilmesinde fayda vardır.


Maddi çıkar amaçlı saldıran grubun heterojen yapısı
gereği hem teknik olarak becerikli hem de daha temel düzeyde saldırganların bu
grupta yer aldığını söyleyebiliriz. Buna karşılık siyasi/ideolojik amaçlarla
hareket eden grupların önemli bir kısmının devlet destekli olması nedeniyle bu
grubun teknik becerisi genel olarak daha yüksektir. 




Saldırgan motivasyonu ve teknik beceri düzeyine de
ayrıca bir puan verilmesi gerekiyor.


Son olarak kuruluşunuz bünyesinde bulunan zafiyetler
ve bunların istismar edilme kolaylığı risk seviyesinin belirlenmesini sağlayacaktır.
Bu aşamada biz bütün çalışmayı MITRE ATT&CK çatısına yerleştirerek
kuruluşun siber güvenlik duruşunda iyileştirilmesi gereken noktaları ortaya
çıkartıyoruz. 




Kuruluşunuzda benzer bir çalışma yürüterek hangi
noktaların zayıf kaldığı ve daha önemlisi hangi saldırgan profiline karşı daha
savunmasız olduğunuzu belirleyebilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

cialis 5 mg viagra satın al Elektronik Sigara https://wwv.stag9000.shop http://umraniyetip.org/anadolu-yakasi/maltepe-escort/ perabet