Kendinizi Sıfırıncı Gün Saldırılarından Nasıl Korursunuz?
Farklı siber saldırı türleri söz konusu olduğunda, sıfır gün istismarları en kötüsüdür. Onlardan çok korkuyorum ve bilgisayar korsanları onları seviyor. Tamamen istismar edildiğinde, sıfır gün güvenlik açığının getirileri ölçülemez.
Ve tüm yapmanız gereken, değerini anlamak için karaborsadaki sıfırıncı gün sömürünün maliyetini kontrol etmektir. Trustwave adlı bir güvenlik firmasının araştırmacıları tarafından keşfedilen bir örnekte, bir Rus bilgisayar korsanı Windows'ta yerel ayrıcalık yükseltme (LPE) güvenlik açığı için 90.000 $ talep ediyordu.
Bu açık, Windows'un tüm sürümlerinde çalıştı ve bir saldırganın kurbanın sistemine uzaktan erişim elde etmesine ve aksi takdirde erişemeyeceği kaynaklara erişmesine olanak tanıyacaktı.
Karaborsa bir yana, sıfır gün güvenlik açığı için bir servet ödeyecek yasal istismar devralma şirketleri de var.
En popüler olanlardan biri, etkilenen sistemin popülerliğine ve güvenlik düzeyine bağlı olarak 10.000 ila 2.500.000 ABD Doları arasında herhangi bir yerde ödemeye açık olan Zerodium'dur.
Sıfır gün istismarı nedir
Sistem geliştiricisi ve sistem satıcısı tarafından bilinmeyen güvenlik açıklarından yararlanan sistemlere yönelik bir saldırıdır.
Sıfırıncı gün saldırılarını bu kadar yıkıcı yapan da budur. Güvenlik açığının keşfedildiği andan bir düzeltmenin oluşturulduğu ana kadar, bilgisayar korsanlarının sistemlere zarar vermek için yeterli zamanı vardır.
Ayrıca, güvenlik açığı önceden bilinmediğinden, geleneksel antivirüs yazılımı etkisiz olacaktır çünkü saldırıyı bir tehdit olarak algılamazlar. Saldırıları engellemek için zaten veritabanlarında bulunan kötü amaçlı yazılım imzalarına güvenirler.
Bu nedenle, geleneksel virüsten koruma yazılımının sizi sıfır gün saldırılarına karşı koruyabileceği tek zaman, bilgisayar korsanının sıfır gün kötü amaçlı yazılımı geliştirmesinden ve ilk saldırıyı gerçekleştirmesinden sonradır.
Ama o zamana kadar artık sıfır gün tehdidi olmayacak, değil mi?
Peki bunun yerine ne öneririm? Kendinizi sıfırıncı gün tehditlerinden korumak için atabileceğiniz birkaç adım var ve bunların hepsini bu yazıda tartışacağız.
Her şey, saldırıları durdurmak için geleneksel yöntemlere dayanmayan yeni nesil bir virüsten koruma yazılımına geçmenizle başlar.
Stuxnet saldırısı
Sıfır gün istismarlarından bahsederken, size en büyük ve en zekice gerçekleştirilen sıfır gün saldırısından bahsetmeme ne dersiniz? Stuxnet saldırısı.
İran'daki bir Uranyum fabrikasını hedef aldı ve İran'ın nükleer silah yaratma planını sabote etmek için oluşturuldu. Saldırıda kullanılan solucanın ABD ve İsrail hükümetleri arasında ortak bir çaba olduğuna ve Microsoft Windows işletim sistemindeki dört sıfır gün kusurundan yararlandığına inanılıyor.
Stuxnet saldırısıyla ilgili inanılmaz olan şey, dijital dünyayı aşması ve fiziksel dünyada hasara yol açmasıdır. Bildirildiğine göre, İran'ın nükleer santrifüjlerinin yaklaşık beşte birinin imhasına yol açtı.
Ayrıca solucan, santrifüjlere doğrudan bağlı olmayan bilgisayarlara çok az zarar vermesi veya hiç zarar vermemesi nedeniyle amacına yönelikti.
Daha ilginç hale geliyor. Nükleer santraller hava boşlukluydu, yani doğrudan internete bağlı değillerdi. Bu yüzden, saldırganların yaptığı şey, nükleer projeyle doğrudan ilgilenen beş İranlı örgütü hedef almak ve solucanı virüslü flash sürücüler yoluyla yaymak için onlara güvenmek oldu.
Stuxnet solucanının iki çeşidi keşfedildi. İlki 2007'de kullanıldı ve 2010'da önemli iyileştirmelerle ikincisi lanse edilene kadar tespit edilmeyi başardı.
Stuxnet solucanı nihayet keşfedildi, ancak bunun nedeni saldırı kapsamını yanlışlıkla Natanz nükleer santralinin ötesine genişletmesi.
Stuxnet saldırısı, sıfırıncı gün güvenlik açıklarından geleneksel olmayan bir şekilde nasıl yararlanılabileceğinin bir örneğidir. Ayrıca bu tür saldırıların şirketler üzerindeki etkilerine de dikkat çekiyor. Bunlar, üretkenlik kaybı, sistemin kapalı kalma süresi ve kuruluşa duyulan güven kaybını içerir.
Sıfırıncı gün güvenlik açıklarından yararlanmanın daha geleneksel yolları şunlardır:
- Hassas verileri çalmak için
- Kötü amaçlı yazılımları sistemlere yüklemek için
- Sistemlere yetkisiz erişim sağlamak için
- Diğer kötü amaçlı yazılımlar için ağ geçidi
2019'da sıfır gün saldırı örnekleri
Operasyon Sihirbazı Afyon
Bu sıfır gün güvenlik açığı Google Chrome'da bulundu ve bilgisayar korsanlarının etkilenen sisteme yetkisiz erişim elde etmesine izin verdi.
Güvenlik açığının istismar edilen ilk örneği, Kaspersky güvenlik çözümleri tarafından bir Kore haber sitesinde keşfedildi.
Bilgisayar korsanları, siteyi ziyaret eden okuyucuların google chrome'un hedeflenen sürümünü kullanıp kullanmadığını belirlemekten sorumlu olan kötü amaçlı kodu siteye enjekte etmişti.
Whatsapp sıfır gün istismarı
Bilgisayar korsanları, Whatsapp'ta kurbanın telefonuna casus yazılım enjekte etmelerine izin veren bir güvenlik açığından yararlanabildiler.
Saldırının NSO Group adlı İsrailli bir gözetim şirketi tarafından gerçekleştirildiğine ve 1400 kadar kişiyi etkilediğine inanılıyor.
iOS sıfır gün istismarı
Şubat 2019'da, Google'da bir güvenlik mühendisi olan Ben Hawkes, twitter kullanıcı adı aracılığıyla bilgisayar korsanlarının istismar ettiği iki iOS güvenlik açığını kamuoyuna açıkladı.
Bunların tümü, işletim sisteminin sonraki sürümünde, kullanıcıların yalnızca bir grup yüz yüze görüşme başlatarak diğer kullanıcıları gözetlemesine olanak tanıyan başka bir güvenlik açığıyla birlikte ele alındı.
Android sıfır gün istismarı
2019'un sonlarında, Google project zero ekibi, Android'de saldırganların Pixel, Samsung, Xiaomi ve Huawei gibi çeşitli telefon türlerine tam erişimini sağlayan bir istismar keşfetti.
Bu saldırılar İsrail firması NSO ile de bağlantılıydı ancak şirket bunu yalanladı.
Akıllı ev merkezlerinde sıfır gün tehditleri
İki etik çalışan, bir Amazon Echo'daki sıfırıncı gün güvenlik açığından başarıyla yararlandıktan sonra her yıl düzenlenen Pwn20wn bilgisayar korsanlığı yarışmasında toplam 60.000 $ ödül kazandı.
Echo cihazını kötü niyetli bir WiFi ağına bağlayarak istismardan yararlandılar. Yanlış ellerde, bu istismar sizi gözetlemek veya bilmeden akıllı ev cihazlarınızın kontrolünü ele geçirmek için kullanılabilir.
Farklı sistem türlerini hedef alan sıfırıncı gün saldırılarına kasıtlı olarak nasıl örnek verdiğimi gördünüz mü? Bu size kimsenin güvende olmadığını kanıtlamak içindir.
Yama uygulamasının kolay bir yolunu içermeyen IoT cihazlarının artan popülaritesi ile tehdit artık daha da yakın. Geliştiriciler güvenlikten çok işlevselliğe odaklanıyor.
Kendinizi sıfırıncı gün saldırılarından korumak için alabileceğiniz önlemler
1. Yeni Nesil Antivirüs (NGAV) çözümlerini kullanın
Geleneksel çözümlerin aksine, NGAV programları kötü amaçlı yazılımları tespit etmek için mevcut veritabanlarına güvenmez. Bunun yerine, bilgisayara zarar vermek anlamına gelip gelmediğini belirlemek için bir programın davranışını analiz ederler.
İşleri sizin için kolaylaştırmak için en iyi iki NGAV çözümüme kullanmanızı tavsiye edeceğim.
Kendinizi sıfır gün saldırılarına karşı korumak için en iyi Antivirüs programları
Bitdefender'ı birkaç nedenden dolayı seviyorum. Birincisi, güvenlik çözümlerini test eden ve derecelendiren bir kuruluş olan AV-Test tarafından incelenen birkaç güvenlik çözümünden biridir. Birden fazla çözüm, gelişmiş imzasız algılama yöntemleri kullandığını iddia ediyor, ancak bu sadece bir pazarlama hilesi.
Öte yandan Bitdefender'ın tüm sıfır gün saldırılarının% 99'unu engellediği ve birkaç testte en az sayıda yanlış pozitif kaydettiği kanıtlandı.
Bu antivirüs çözümü ayrıca, öncelikle potansiyel olarak savunmasız uygulamalara odaklanan ve uygulama üzerinde hareket eden herhangi bir süreci aktif olarak analiz eden bir istismar önleme özelliği ile birlikte gelir. Herhangi bir şüpheli etkinlik tespit edilirse, virüsten koruma yazılımını otomatik olarak engelleyecek şekilde yapılandırabilir veya doğru eylemi seçebilmeniz için bilgilendirilmeyi seçebilirsiniz.
Bu antivirüs, bir ev veya iş ortamında kullanmanıza bağlı olarak farklı paketlerde mevcuttur.
Norton, sizi her tür siber saldırıya karşı etkili bir şekilde yönlendirecek eksiksiz bir güvenlik paketidir.
Antivirüs, sizi bilinen ve bilinmeyen saldırılara karşı korumak için mevcut bir kötü amaçlı yazılım ve davranış analizi veritabanını kullanır.
Norton'un, en savunmasız uygulama ve sistemlere ekstra bir koruma katmanı ekleyen Proaktif Kötüye Kullanım Koruması (PEP) özelliğiyle gelmesi özellikle yararlıdır.
Bu, bilgisayarınızı tarayan ve bilgisayarınıza bulaşmış olabilecek yüksek riskli uygulamaları ve kötü amaçlı yazılımları kaldıran Güç silgi aracı tarafından daha da güçlendirilir.
Norton'un bir başka etkileyici yönü, çeşitli dosyaların ne işe yaradığını test edebileceği sanal bir ortam oluşturmasıdır. Ardından, dosyanın zararlı mı yoksa sağlıklı mı olduğunu belirlemek için makine öğrenimini kullanır.
Norton antivirüs dört planda mevcuttur ve her biri kendi işlevlerini sunar.
2. Windows Defender Exploit Guard
Normalde, Windows varsayılan programlarını öneren biri değilim, ancak Windows Defender güvenlik merkezine Exploit Guard'ın eklenmesi kararımı yumuşattı.
Exploit guard, farklı saldırı türlerine karşı korunmaya yardımcı olmak için dört ana bileşene bölünmüştür. İlki, ofis dosyalarına, komut dosyalarına ve e-postalara dayalı saldırıları engellemeye yardımcı olan Saldırı yüzeyini azaltmadır.
Ayrıca, tüm giden bağlantıları analiz eden ve hedefi şüpheli görünen tüm bağlantıları sonlandıran bir ağ koruma özelliği ile birlikte gelir. Bunu, hedefin ana bilgisayar adını ve IP adresini analiz ederek yapabilir.
Olumsuz tarafı, bu özellik yalnızca tarama için Microsoft Edge kullanıyorsanız çalışacaktır.
Diğer bileşen, kötü amaçlı işlemlerin korumalı klasörlere erişmesini ve bunları değiştirmesini önleyen Kontrollü Klasör Erişimi'dir.
Son olarak, Exploit guard, Windows Defender Antivirus ve üçüncü taraf antivirüs ile birlikte çalışarak, olası istismarların Uygulamalar ve sistemler üzerindeki etkilerini azaltmak için Exploit azaltma özelliğini sunar.
Bu dört bileşen, Windows Defender'ın geleneksel bir virüsten koruma yazılımından, bir sürecin davranışını kötü amaçlı olup olmadığını belirlemek için analiz eden yeni nesil bir güvenlik çözümüne dönüştürülmesini kolaylaştırmıştır.
Kuşkusuz, Windows Defender, birinci sınıf üçüncü taraf güvenlik çözümlerinin yerini alamaz. Ancak sabit bir bütçeniz varsa güzel bir alternatif.
3. Sistemlerinizi düzenli olarak yamalayın
Bir yama zaten yayınlanmışsa, bu, tehdidin artık sıfır gün olmadığı anlamına gelir çünkü geliştiriciler onun varlığının farkındadır.
Bununla birlikte, bu aynı zamanda güvenlik açığının artık halka açık olduğu ve gerekli becerilere sahip herhangi birinin bundan yararlanabileceği anlamına gelir.
İstismarın size karşı kullanılamayacağından emin olmak için yamayı yayınlanır yayınlanmaz uygulamalısınız.
Hatta sisteminizi aktif olarak yamaları tarayacak ve bulunursa otomatik olarak uygulayacak şekilde yapılandırmanızı tavsiye ederim. Bu, bir yamanın yayımlandığı andan kurulduğu zaman arasındaki herhangi bir gecikmeyi ortadan kaldıracaktır.