Siber Taksonomi: Tehdit Sınıflandırması

Siber Taksonomi: Tehdit Sınıflandırması

Siber olayı, herhangi bir izinsiz çabanın sonucu veya bu tür birçok teknik eylemin sonucu olarak tanımlıyorum. Herhangi bir siber olayın iki tür birincil amacı olabilir: hedef kuruluşun işlevlerinin aksaması veya yasa dışı bilgi edinimi. Bir saldırgan, bir kuruluşun ürün üretme, hizmet sunma veya dış dünyayla iletişim kurma becerisini çeşitli şekillerde bozabilir. Alternatif olarak bilgisayar korsanları, kuruluşun operasyonlarını aksatmadan mali veya başka faydalar elde etmek için kredi kartı kullanıcı hesaplarını çalmaya çalışabilir.

Siber Taksonomi ise siber güvenlik ihlallerinin sınıflandırmak için kullanılan bir terimdir. Sınıflandırmanın en büyük amacı ise gelen tehditleri anlamak ve buna uygun başa çıkma yöntemini kullanmaktır. Bu taksonomi, tehditleri anlamak, riskleri değerlendirmek ve savunma stratejilerini geliştirmek için temel bir araç olarak kullanılabilir.

 Siber faaliyetlerin birincil etkilerini ayırt etmek için özel, kapsamlı ve tutarlı bir sınıflandırmaya sahip olmak, kurumsal liderlerin ve politika yapıcıların farklı tehdit türleri ve uygun risklerle ilgili daha karmaşık tartışmalar yapmalarına ve azaltma stratejileri geliştirmelerine yardımcı olabilir.

Siber Taksonomiye ihtiyaç duyulmasının bazı nedenleri vardır. Bunlar ;

  • Karmaşıklığı yönetme ihtiyacı: Siber saldırı ve ihlallerin giderek karmaşık hale gelmesinden dolayı tehditlerin anlaşılması ve sınıflandırılması zorlaşır. Siber taksonomi bu karmaşıklığı yönetmek için kullanılıyor.
  • Risk değerlendirmesi: Siber taksonomi organizasyonların hangi tehditlere karşı daha savunmasız olduklarını belirleme ve risklerin daha iyi değerlendirilmelerine yardımcı olur.
  • Savunma Stratejileri Geliştirmek: Savunmasız olunan noktalarda organizasyonların geliştirmesine yardımcı olur. Belirli tehditlere karşı etkili savunma önlemleri almak için kullanılabilir.

 

Bu nedenlerle, cyber taksonomi, organizasyonların siber güvenlik stratejilerini geliştirmelerine ve siber tehditlere karşı daha etkili bir şekilde korunmalarına yardımcı olur.

Siber Olay Sınıflandırması:

Yıkıcı Olaylar

Kötü niyetli bir aktör, bir kuruluşun temel işlevlerini yerine getirmek için bilgi teknolojisini nasıl kullandığına bağlı olarak son derece farklı yıkıcı etkilere sahip birden fazla taktik kullanabilir. Örneğin, bir aktör bir veya daha fazla kurumsal ağdaki verileri silebilir, fidye yazılımı dağıtabilir, müşterilerin bir kuruluşun web sitesine erişmesini engelleyebilir veya bir kuruluşa erişimi engelleyebilir.

Yıkıcı etkiler, bir kuruluşun BT altyapısının en ciddi şekilde etkilenen kısmına bağlı olarak, bu sonuca ulaşmak için hangi taktik veya tekniklerin kullanıldığına bakılmaksızın beş alt kategoride sınıflandırılabilir. Bunlar: Mesaj Manipülasyonu, Harici Hizmet Reddi, Dahili Hizmet Reddi, Veri Saldırısı ve Fiziksel Saldırı.

Mesaj Manipülasyonu: Bir mağdurun "mesajını" kullanıcısına veya müşteri tabanına doğru bir şekilde sunma, iletme becerisine müdahale eden herhangi bir siber olay bu olaya örnektir. Facebook veya Twitter gibi sosyal medya hesaplarının ele geçirilmesini veya meşru siteyi siyasi bir amacı destekleyen sayfalarla değiştirerek bir şirketin web sitesini bozmayı hedeflemektedir.

Harici Hizmet Reddi: Bir saldırgan, hedef kuruluşun ağı dışındaki cihazlardan kurbanın diğer sistemlerle iletişim kurma becerisini azaltan veya engelleyen bir siber saldırı gerçekleştirirsebu Harici Hizmet Reddi olayı olarak sınıflandırılır.

Dahili Hizmet Reddi:Bir kurbanın ağının içinden gerçekleştirilen bir siber olay, diğer dahili sistemlere erişimi bozduğunda veya erişimi engellediğinde, bu bir Dahili Hizmet Reddi saldırısıdır

Veri Saldırısı:Bir kurbanın ağındaki verileri manipüle eden, yok eden veya şifreleyen her türlü siber olay, Veri Saldırısı olarak sınıflandırılır. Yaygın teknikler arasında silme virüslerinin ve fidye yazılımlarının kullanımıda yer alır.

Fiziksel Saldırı: Fiziksel sistemleri manipüle eden, bozan veya yok eden bir siber olay, Fiziksel Saldırı olarak sınıflandırılır. Bu tür bir etkiyi elde etmek için kullanılan mevcut teknikler arasında, elektrik kesicilerini açmak veya kapatmak için Programlanabilir Mantıksal Kontrolörlerin manipülasyonu veya yüksek fırının aşırı ısınması ve fiziksel ekipmana zarar verilmesi için insan makine arayüzündeki ayarlara erişmek ve ayarları değiştirmek için kullanıcı şifrelerini kullanmak yer alır.

İstismar Olayları

Bazı siber olaylar, operasyonları aksatmak yerine bilgi çalmak için tasarlanmıştır. Bilgisayar korsanları müşteri verilerini, gizli ulusal güvenlik bilgilerini veya kuruluşun kendisiyle ilgili hassas ayrıntıları arıyor olabilir. Kötü niyetli kişilerin kullandığı taktik veya teknikler aktörler düzenli olarak değişebilir, ancak bu bilgiyi aldıkları yer değişmez. Bunlar: Sensörlerin Kullanımı, Son Ana Bilgisayarların Kullanımı, Altyapıdan Yararlanma, Uygulama Sunucularından Yararlanma ve Aktarım Halindeki Verilerden Yararlanma.

Sensörlerin Kullanımı: Kredi kartı okuyucusu, otomobil, akıllı ampul veya ağa bağlı termostat gibi çevresel bir cihazdan veri kaybına neden olan bir siber olaydır. Sensörün İstismarı olayı olarak kategorize edilir. Bilgisayar korsanlarının yüzlerce satış noktası makinesine erişim sağladığı ve binlerce müşterinin kredi kartı numaralarını sistematik olarak çaldığı siber saldırılar bu kategoriye girer.

Son Ana Bilgisayarların Kullanımı: Bilgisayar korsanları genellikle kullanıcının masaüstü bilgisayarlarında, dizüstü bilgisayarlarında veya mobil cihazlarında depolanan verilerle ilgilenir. Verilerin doğrudan bir kuruluşun çalışanları veya özel kişiler tarafından kullanılan cihazlara yasa dışı erişim yoluyla çalınması ve Son Ana Bilgisayardan Yararlanma siber olayı olarak sınıflandırılır. Bu tür saldırılarda kullanılan taktikler kullanıcının tıklaması için kötü amaçlı bir bağlantı göndermeyi veya bir hesaba giriş yapmak için güvenliği ihlal edilmiş kullanıcı kimlik bilgilerinden yararlanmayı içerir.

Ağ Altyapısının Kullanımı:Yönlendiriciler, anahtarlar ve modemler gibi ağ ekipmanlarına doğrudan erişim yoluyla verilerin güvenliği ihlal edildiğinde saldırı ağ altyapısının istismarı olayı olarak sınıflandırılır.

Uygulama Sunucusunun Kullanımı: Yanlış yapılandırma veya güvenlik açığı nedeniyle sunucu tarafındaki bir uygulamada (örneğin veritabanı) veya sunucunun kendisinde bulunan verilere erişim sağlayan kötü niyetli aktörler, Uygulama Sunucusunun Kötüye Kullanılması olayı oluşturacaktır.

Aktarım Halindeki Verilerin Kullanımı: Cihazlar arasında aktarılırken verileri elde eden bilgisayar korsanları, Aktarım Sırasında Verilerin İstismarı olaylarına neden olur. Bu tür olayların örnekleri arasında bir PoS cihazından bir veritabanına gönderilirken veya yerel bir kafedeki güvenli olmayan bir kablosuz bağlantı noktası aracılığıyla bir son kullanıcı cihazından taşınırken şifrelenmemiş verilerin elde edilmesi yer alır.

Sonuç olarak, iyi tasarlanmış bir taksonomi, siber güvenlik alanında önemli bir araçtır. Doğru yapılandırılmış bir taksonomi, tüm tehditleri kapsar, kategoriler arasında net bir ayrım yapar ve her bir tehdidi benzersiz bir özellikle tanımlar. Bu, kuruluşların siber tehditleri daha iyi anlamalarına ve etkili savunma stratejileri geliştirmelerine olanak tanır.

Umarım sizler için faydalı olmuştur. Zaman ayırıp okuduğunuz için teşekkür ederim.