Verizon 2014 DBIR Değerlendirme Raporu

Transkript

Verizon 2014 DBIR Değerlendirme Raporu Verizon 2014 DBIR Değerlendirme Raporu 11 Haziran 2014 Değerli Müşterimiz, Barikat ArGe olarak; bilişim güvenliği alanında önemli bulduğumuz çalışmaları Türkiye yerel parametreleri dikkate alarak değerlendiriyor ve yorumluyoruz. Bu dokümanımızda; Verizon 2014 DBIR (Data Breach Investigations Report) çalışmasını yorumladık. Yorumlarımızın sizlere yararlı olacağını umar, keyifli bir okuma dileriz. Saygılarımızla, Barikat Bilişim Güvenliği ArGE Birimi İletişim Adresi: Mutlukent Mahallesi, 1961. cadde No: 9 / A-‐1 PK: 06800 Ümitköy, Ankara, Türkiye Telefon : +90 312 235 44 41 Faks : +90 312 235 44 51 Web Sitesi : www.barikat.com.tr Eposta : [email protected] 1
BARİKAT BİLİŞİM GÜVENLİĞİ 1/37 Verizon 2014 DBIR Değerlendirme Raporu -‐BOŞ BIRAKILMAMIŞTIR-‐ Herbil Gürsel’in anısına... 2
BARİKAT BİLİŞİM GÜVENLİĞİ 2/37 Verizon 2014 DBIR Değerlendirme Raporu İÇİNDEKİLER 1. Yönetici Özeti ........................................................................................................................................ 4 2. Raporda Gözlenen Hususlar ................................................................................................................. 5 3. Analiz .................................................................................................................................................. 11 3.1. POS Saldırıları .................................................................................................................................. 14 3.2. Web Uygulama Saldırıları ................................................................................................................ 18 3.3. Dahili Bilgi Sahiplerinin ve Ayrıcalıkların Suistimali ......................................................................... 20 3.4. Hırsızlık ve Kayıp .............................................................................................................................. 22 3.5. Çeşitli Hatalar .................................................................................................................................. 23 3.6. Suç yazılımları .................................................................................................................................. 25 3.7. Sahte Ödeme Kartı Okuyucuları ...................................................................................................... 27 3.8. Siber Casusluk .................................................................................................................................. 28 3.9. Servis Dışı Bırakma Saldırıları ........................................................................................................... 32 4. Sonuç .................................................................................................................................................. 33 5. İLETİŞİM BİLGİLERİ .............................................................................................................................. 35 3
BARİKAT BİLİŞİM GÜVENLİĞİ 3/37 Verizon 2014 DBIR Değerlendirme Raporu 1. Yönetici Özeti Verizon; 2008 yılından beri, yılda bir defa olmak üzere DBIR (Data Breach Investigations Report) yayınlamaktadır. Bu raporlar, kapsam seneye ait rapor edilmiş olaylara (incident) ve sızıntılara (breach) ait verilerden derlenmektedir. Raporun esas hali bu dokümanımızda değinmediğimiz ilave kıymetli yorumlar ve tavsiyeler de içermektedir. Bizler bu değerlendirme raporumuzu incelemeniz sonrasında , eğer hala incelemediyseniz, Verizon 2014 DBIR’ı da incelemenizi tavsiye etmekteyiz. Barikat olarak bu raporla ilgili özel bir değerlendirme yapmamızın sebepleri ise şöyle sıralayabiliriz. • Değerlendirmelerin okuyucuya faydalı olacağını düşündük. • Temel alınan rapor geçmiş yıllardaki verileri dikkate alarak karşılaştırmalı olarak hazırlanmıştır. Değerlendirme raporu hazırlayarak bu kritik bilgileri bütün halinde sunmayı amaçladık. • Değerlendirmesi yapılan rapor yerleşmiş yanlış varsayımların yanlışlığını, gerçek verilerle ortaya koymaktadır. Bunların özellikle aktarmak istedik. • Güvenlik problemlerini kimsenin ürün yatırımıyla çözemediğini, ülkemizde de konunun böyle çözülemeyeceğini bilimsel verilere dayanarak tekrar etmek istedik. • Rapora temel olan olaylar ve sızıntılardan güvenlikle alakalı 9 temel kategori çıkartılabilmektedir. Bu kategorileri kendi kurumları için değerlendiren güvenlik uzmanları (savunanlar), saldırganlara karşı daha etkin olabileceklerdir. Bu bilgiyi yaymak istedik. DBIR 2014 raporun ve bizlerin bu çalışmasında bazı istatistiki verileri bulacaksınız. Bunlardan pek çok ülkemiz için henüz birebir aynı dağılımlarda olmadığını düşünebilirsiniz. Bizler de bu düşünceyi paylaşıyoruz. Ancak aynı dağılımlara birkaç sene sonra ülkemizde de ulaşılacağını (eğer gerekli tedbirler alınmazsa) değerlendirmenizi isteriz. Bu sebeple hem bizim değerlendirme raporumuz, hem esas rapor; ülkemiz bilişim güvenliği için erken uyarı sistemi olarak değerlendirilmelidir. Değerlendirme raporumuzun sonuç kısmındaki yorumlarımızı ise mutlaka gözden geçirmenizi tavsiye ediyoruz. Değerlendirme raporumuza esas Verizon 2014 http://www.verizonenterprise.com/DBIR/2014/ adresinden erişilebilirsiniz. 4
DBIR dosyasına BARİKAT BİLİŞİM GÜVENLİĞİ 4/37 VICTIM
DEMOGRAPHICS
2. Raporda Gözlenen Hususlar Verizon 2014 DBIR Değerlendirme Raporu 2013 yılı BIR Raporu 27 approach
ülkeden gelen eri ile hazırlanmıştır. ever before. Our ability to compare global trends has
(CSIRTs) than
Readers
of D
the
DBIR
frequently
us with
twovimportant
never
been
higher.
questions.
How
generally
representative
are
the
findings
of
this
2014 yılı DBIR raporu ise 95 ülkeden gelen veri ile hazırlanmıştır. report? Are these findings relevant to my organization? To help get
But
it’s
not
quite
simple.
The charter, focus, methods, and
2014 yılı raporunda 1,367 onaylanan sızma, 63,437 güvenlik olayı üthat
stüne hazırlanmıştır. you oriented with this year’s report, let’s see what the data has to
data differ so much between CSIRTs that it’s difficult to attribute
show us.
2014 yılı raporunda 2004-‐2012 yılları arasındaki sızıntılar da dikkate lınmıştır. differences
to trueavariations
in the threat environment.2 However,
regional
blind spots yaratan are getting hususlar smaller thanks
to our growing
list of
The dokümanda; 2013 DBIR featured
breaches
affecting organizations
in 27
Bu gizlilik, bütünlük veya devamlılığa aykırı durumlar ‘olay’; verinin contributors (see Appendix C), and we’re very happy with that.
countries. This year’s report ups that tally by 350%, to 95 distinct
kurum dışına çıktığı, yayıldığı olaylara da ‘sızıntı’ denecektir. countries (Figure 1). All major world regions are represented, and
we have more national Computer Security Incident Response Teams
Figure 1.
Countries represented in combined caseload
Countries represented in combined caseload (in alphabetical order): Afghanistan, Albania, Algeria, Argentina, Armenia, Australia, Austria, Azerbaijan, Bahrain, Belarus,
Belgium, Bosnia and Herzegovina, Botswana, Brazil, Brunei Darussalam, Bulgaria, Cambodia, Canada, Chile, China, Colombia, Congo, Croatia, Cyprus, Czech Republic, Denmark,
Egypt, Ethiopia, Finland, France, Georgia, Germany, Greece, Hong Kong, Hungary, India, Indonesia, Iran, Islamic Republic of, Iraq, Ireland, Israel, Italy, Japan, Jordan, Kazakhstan,
Kenya, Korea, Republic of, Kuwait, Kyrgyzstan, Latvia, Lebanon, Lithuania, Luxembourg, Macedonia, the former Yugoslav Republic of, Malaysia, Mali, Mauritania, Mexico,
Moldova, Republic of, Montenegro, Morocco, Mozambique, Nepal, Netherlands, New Zealand, Oman, Pakistan, Palestinian Territory, Occupied, Peru, Philippines, Poland,
Portugal, Qatar, Romania, Russian Federation, Saudi Arabia, Singapore, Slovakia, Slovenia, South Africa, Spain, Switzerland, Taiwan, Province of China, Tanzania, United
Republic of, Thailand, Turkey, Turkmenistan, Uganda, Ukraine, United Arab Emirates, United Kingdom, United States, Uzbekistan, Vietnam, Virgin Islands.
VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT
5
5
BARİKAT BİLİŞİM GÜVENLİĞİ 5/37 Verizon 2014 DBIR Değerlendirme Raporu Dış tehditlerin öneminin azaldığı, iç tehditlerin yoğunlaştığı sürekli söylenmektedir. Oysa veriler durumun aksini göstermektedir. Dış tehditler, iç tehditlere göre çok daha fazladır. Türkiye’de gerçekleşen olaylar veya sızıntılar için ideolojik veya siyasi sebepler 2013 yılına hakim olmuş olsa da; uluslar arası veriler farklı bir durum ortaya koymaktadır. 6
BARİKAT BİLİŞİM GÜVENLİĞİ 6/37 Verizon 2014 DBIR Değerlendirme Raporu Bu verilere bakarak (sızıntıların saldırganların motivasyonuna göre yorumu) ticari ve casusluk amaçlarıyla sızıntıların gerçekleştiği; siyasi ve ideolojik amaçların eser miktarda olduğu anlaşılabilmektedir (Web uygulama saldırıları kategorisi bu noktada bir istisna yaratmakta ama toplamda eser miktarda kalmaktadır) . Yukarıdaki grafiklerde bulunan finans alanı, finans kurumlarını vurgulamamaktadır. Saldırganların bu sızıntılardan ticari kazanç amaçladığı manasında finansal vurgu yapılmıştır. Türkiye’de, dış unsurlar tarafından gerçekleştirilebilecek olayların tespit edilmesinin zorluğu endişe vericidir. Ülkemizde durumun böyle olmadığını düşünmek, aşırı iyimserlik olacaktır. Geçmişte bilişim sistemlerimize saldırarak başarı kazanan (olaylara sebep olanlar) ve sızıntılara sebep olanlar hep olayları kendileri duyurmuşlardır. Böyle olmadığı durumda da tespit edilememişlerdir (firmamızın bazı çalışmaları istisna oluşturmaktadır fakat oransal olarak çok ufak kalmaktadır). Ayrıca, saldırganlar bazı verileri çıkartırken bunların ticari değerlerini de önemsemekte veya bu verileri çıkartma çabasına ticari kazanç elde etmek umuduyla girmektedir. Eğer saldırgan düzenli kazanç imkanı sağlamış ise, zaten olayın veya başka olayların açığa çıkmaması için de çabalamaktadır. 2014 DBIR’da görülen saldırı parametreleri ve verileri ülkemiz için henüz farklı olsa bile , ki biz bu dağılımın bazı alanlarda yaklaşık olarak benzer olması gerektiğini düşünüyoruz, ileride bu oranlarla karşılaşacağımızı düşünerek hazırlıklı olmalıyız. 7
BARİKAT BİLİŞİM GÜVENLİĞİ 7/37 Verizon 2014 DBIR Değerlendirme Raporu Verizon DBIR çalışmalarının ilk zamanında (2003) kullanılan veri sayısı 2013 yılı rakamlarının yanında epey az kalmaktadır. Ancak bir sonraki grafik de açıkça gözükmektedir ki; belirli tehdit kategorileri de zaman içerisinde daha yoğunluk kazanmıştır. Zararlı kodların (virüs, malware, 0. Gün tehditleri içeren yazılımların) artış oranlarından daha yüksek bir oranda sosyal saldırıların arttığı görülmektedir. Bu durum; sosyal saldırılara karşı da ülkemizde tedbirler alınması gerektiğini göstermektedir. Sosyal saldırılara karşı ülkemizde alınabilecek temel önlemlerden birisi kullanıcı güvenlik farkındalığını artırmaktır. Tüm kullanıcıların güvenlik farkındalığını artıracak eğitim ve seminerleri bir plan içerisinde daha fazla düzenlemek, bunları elektronik ortamda ulaşılabilir yapılarda tutmak gerekmektedir. ‘Hacking’ başlığı altında değerlendirilebilecek faaliyetler geniş küme oluşturuyor olsa da; ‘Social’ ve ‘Malware’ kategorisi toplamlarının ‘Hacking’ kategorisinden fazla olduğu görülmelidir. Bilgi sızıntısının gerçekleştiği olaylarda (breach), sızıntıların hangi varlıklarda olduğunun incelenmesini sağlayan tablo bir sonraki grafik de bulunmaktadır. 8
BARİKAT BİLİŞİM GÜVENLİĞİ 8/37 Verizon 2014 DBIR Değerlendirme Raporu Sızıntının gerçekleştiği sistemler içinde sunucu sistemlerin oranının yüksek olmasını normal bulmaktayız. Ancak, kullanıcı cihazları ve şahıslardan kaynaklanan sızıntılarının toplamlarının sunuculara yakın çıktığı gözlenmelidir. Bu da bizlere farkındalık eğitimlerinin ve kullanıcı sistemlerinin üstünde veri gizliliği anlamında alınması gereken tedbirlerin önemini bir kez daha hatırlatmaktadır. 2014 Verizon DBIR çalışmasında en çok ilgimizi çeken dağılım ise şu grafikte görülebilmektedir. 9
BARİKAT BİLİŞİM GÜVENLİĞİ 9/37 Verizon 2014 DBIR Değerlendirme Raporu Bu grafikte kırımızı ‘Time to compromise’ olarak belirtilen kısım, saldırganların gün veya daha az zamanda (saat, dakika vb) sistemlere nüfuz etme oranını göstermektedir. 2004 yılında incelenen sızıntıların %75 inde saldırganlar gün veya saat mertebesinde sistemlere nüfuz etmeyi başarmışlardır. Geriye kalan ve sızıntıların %25’ini oluşturan dilimde ise, saldırganlar sızıntı olan sistemlere ay veya yıl mertebesinde nüfuz edilebilmişlerdir. Bununla birlikte savunanlar 2004 yılında %20 civarındaki sızıntıyı ancak gün veya saat mertebesinde bulabilmiştir. Sızıntıların %80’ini ay veya daha fazla bir mertebede fark edebilmişlerdir. 2013 verisine bakıldığındaysa; saldırganların sızıntıların olduğu sistemlerinin %90’ına (2004 yılına göre %15 daha iyi!) gün ( veya daha az ) mertebesinde nüfuz edebildiği görülmektedir. Savunanlar ise 2004 yılı verilerine göre kayda geçen bir gelişme gösterememiş ve gene sızıntıların %20’sini gün (veya daha az) kalan %80’ini ay (veya daha fazla) mertebesinde fark edebilmişlerdir. Saldırganların saat veya gün mertebesinde ele geçirdiği sistemlerin ele geçirildiğini savunanlar ay veya yıl mertebesinde fark edebilmişlerdir. Bu sebeple bu grafik, 2014 DBIR çalışmasının en etkileyici grafiklerindendir. Bilişim güvenliği alanında 10 yıldır ne yapılageliyorsa; bu yapılanların yanına artık farklı şeyler koymamız ve bunu hemen yapmamız gerektiğinin kanıtı veya habercisi olarak da değerlendirilmelidir. 1
0
BARİKAT BİLİŞİM GÜVENLİĞİ 10/37 Verizon 2014 DBIR Değerlendirme Raporu 3. Analiz Verizon 2014 DBIR raporunun güvenlik sektörüne en kıymetli katkısı, gerçek verilerden çıkarttığı 9 saldırı kategorisidir. Detayları bu inceleme raporunun kapsamında olmayan ve esas dokümanda detaylı açıklanan sınıflandırma metodolojisi ile: • Son 1 yılın verilerinin %95’i • Son 3 yılın verilerinin %94’ü •
Son 10 yılın verilerinin %92’si açıklanabilmiştir. Verizon raporlarına konu olan olaylar dışında da (VCDB gibi) bu metodolojiyi kullanmış ve 100,000+ olayın %92’si, bu sınıflandırmalarla açıklanabilmiştir. Çalıştığımız kurum veya firmanın yapısı ne olursa olsun, sırf bu 9 kategoriye ve detayına eğilerek, karşılaşılabilecek saldırıların %90+ oranındaki bir küme adreslenebilmektedir. Bu savunan kesim için değerlendirilmesi gereken ciddi bir avantajdır. Bu kategoriler: • Satış noktası sistemleri saldırıları (POS intrusions) • Web uygulama saldırıları (Web APP Attacks) • Dahili Bilgi Sahiplerinin ve Ayrıcalıkların Suistimali (Insider Misuse) • Hırsızlık ve Kayıp (Physical Theft /Lost) • Çeşitli Hatalar (Miscellaneous Errors) • Suç yazılımları (Crimeware) • Sahte Ödeme Kartı Okuyucuları (Card Skimmers) • Siber Casusluk (Cyber-‐espionage) • Servis Dışı Bırakma Saldırıları (Dos-‐DDOS) Olarak belirtilmiştir. Bu 9 kategori çok çeşitli sektörlerden gelen verilerin incelenmesi sonucunda oluşturulmuştur. Ancak böyle olması, kategorilerin hepsinin bir kurum için geçerli olacağı anlamına da gelmemektedir. Kurumlar bu kategorileri kendi iş stratejileri ile eşleştirmeli ve ona göre bir aksiyon planı oluşturmalıdır. 1
1
BARİKAT BİLİŞİM GÜVENLİĞİ 11/37 But wait — there’s more! Act now, and we’ll throw in all security
incidents — not just breaches — from all partners and the VERIS
Community Database (VCDB) over the last ten years — for free! Yes,
all for the same price of nine patterns, you can describe 92% of 100K+
security incidents!
We dig into each incident pattern in the following sections, but you
Verizon 014 DBIR can see from Figure 16 that POS intrusions,
web2app
attacks,
cyberespionage, and card skimmers are
among the top concerns
when we
Değerlendirme Raporu focus on data disclosure. However, it’s not enough to just identify and
count the patterns as a whole.
Remember that promise from last year — “We may be able to reduce
Savunanların mücadele ettiği konuları sınıflandırılabilmesi metodolojik bir yaklaşımın temelidir. the majority of attacks by focusing on a handful of attack patterns?”
Consider it fulfilled. To us, this approach shows extreme promise as a
way to drastically simplify the seemingly endless array of threats we
Kategorileri verileriyle incelemek gerekirse, şu grafiğe bakmak gerekir. must deal with to protect information assets.
Figure 16.
Frequency of incident classification patterns
2013 incidents, n=63,437
2013 breaches, n=1,367
POS Intrusions
14%
<1%
35%
Web App Attacks
Physical Theft/Loss
<1%
Miscellaneous Errors
2%
Crimeware
21%
8%
18%
1%
25%
4%
20%
9%
1%
4%
14%
<1%
<1%
<1%
3%
Cyber-espionage
Everything else
6%
14%
Card Skimmers
DoS Attacks
31%
8%
Insider Misuse
2011-2013 breaches, n=2,861
1%
22%
6%
15%
12%
5%
Figure 17.
Figure 18.
Percent of selected incident classification patterns over time
Number of selected
incident
classification
patterns over time
Grafikten ilk bakışta göze çarpmayabilecek ama bizlerce önemli olan husus sızıntı (breach) ile olaylar 1,000
(incidents) arasındaki kategori oran farklılıklarıdır. 100%
Insider
Misuse
Bu kategori oran farkları, o kategorideki saldırıların etkinliği olarak değerlendirilip formüle edilebilir. 75%
750
Bir kategorinin sızıntı (breach) oranının olay (incident) oranına bölünmesi ile elde edilecek değer bu Web
App
POS Intrusions
manada kullanılabilir. POS
50%
Attacks
500
Intrusions
Card Skimmers
Web App Attacks
Bu tanıma göre en etkili 4 kategori şunlardır : 25%
Insider Misuse
• 250POS CyberCard
• Web Attack espionage
Skimmers
Cyber-espionage
• Card Skimmers 2009
2010
2011
2012
2013
2009
2010
2011
2012
2013
• Cyber Espionage POS (point of sale) sistemlerinde, 63,437 olayın %1’i görülmüştür. Ancak bu %1, 2013 yılında 1367 veri sızıntısının %14’ünü oluşturmaya, 2011-‐2013 yıllarında ise sızıntıların %31’ini oluşturmaya yeterli olmuştur. 14
1
2
VERIZON ENTERPRISE SOLUTIONS
BARİKAT BİLİŞİM GÜVENLİĞİ 12/37 Verizon 2014 DBIR Değerlendirme Raporu Bu manada saldırganlar için oldukça verimli bir saldırı vektörüdür. Ülkemizdeki elektronik olarak POS sistemleri barındıran (satış portallari vb) ve fiziksel olarak bu POS verilerini işleyen (büyük alışveriş zincirleri vb) yapıların bu bulguları dikkate alması, güvenlik yapısını bu bakış açısıyla değerlendirmesi ve gerekiyorsa ilave tedbirleri alması gerekmektedir. Web saldırıları, POS da olduğu kadar verimli (!) olmasa da; saldırganlar için sızıntı/olay oranı değerlendirildiğinde dikkat edilmesi gereken bir kategori olduğu ortaya çıkmaktadır. Web sayfaları ve uygulamaları güvenli kılmak, sadece bu bileşenler özelinde değerlendirilmemelidir. Bu bileşenler ele geçerse tüm kurumun ele geçmesine engel olacak yapılar tasarlanmalıdır. Böyle bir durumun erken tespitine imkan tanıyacak uyarı mekanizmalarının kurulması da, ilk üç yapılacak çalışma arasına alınmalıdır. Ticari ve ulusal çıkarlar anlamında değerlendirilmesi gereken siber casusluğun oranı tüm DBIR raporunun en can sıkıcı kısmıdır. Saldırganların sebep olduğu olayların içerisinde %1 oranında siber casusluk olayı olsa da; sızıntıların %22 si siber casusluk alanında olmuştur. Firmalar için ticari sırlarını saklayamamak olarak bakılabilecek, kamu kurum ve kuruluşlar olarak ulusal çıkarlara dolaylı zarar vermek olarak bakılabilecek bu başlık: • her hangi bir üretici ürünü beğenmek ve kullanmayı yeterli görmekten • her hangi bir bütünleştiricinin/entegratörün yaptığı satış odaklı çalışmaları yeni nesil güvenlik tedbirleri olarak değerlendirmekten • her hangi bir güvenlik bütçesinin yanlış önceliklerde kullanılmasından • her hangi bir güvenlik standardını uygulamayı yeter çözüm olarak görmekten • siber güvenlik konularıyla ilgilenen kurumları tek sorumlu ve aksiyon alması gereken otorite olarak değerlendirmekten kaynaklanmaktadır. Verizon 2014 DBIR’da toplanan verilerin ortaya koyduğu durumun ülkemizde de böyle olduğunu düşünmek ve buna göre kurumumuz veya firmamızda güvenlik çabalarını yönlendirmek doğru bir yaklaşım olacaktır. Tek başına bazı veriler bile; şimdiye kadar yaptığımız güvenlik yaklaşımı neyse onun yerine veya en azından yanına, çözüme odaklı metodolojik çabaları hemen koymamız gerektiğini göstermektedir. 1
3
BARİKAT BİLİŞİM GÜVENLİĞİ 13/37 T-OF-SALE (POS) INTRUSIONS
Verizon 2014 DBIR Değerlendirme Raporu 3.1.
NCE
POS Saldırıları ption
Remote attacks against the environments where retail transactions are conducted, specifically
DBIR 2014 raporunda konaklama, gıda ve perakende satış sektörü bu saldırılara daha çok maruz where card-present purchases are made. Crimes involving tampering with or swapping out
Skimming pattern.
devices arekalmıştır. covered in the
stries
Accommodation and Food Services, Retail
uency
dings
Geçen yıllara göre düşüş eğiliminde olan POS saldırılarında, saldırılan unsurlar Perakende zincirlerinde uç noktada kredi kartını işleyen istasyonlar 198 total•incidents
Perakende zincirlerinde merkezi olarak kredi kartları ile ilgili işlem yapan sistemler 198 with•confirmed
data disclosure
• Uç noktada tahsilat amaçlı kullanılan IP adresine sahip ve 3g/wifi bağlantı kuran sistemler Given recent headlines, some may be surprised to find that POS intrusions are trending down
• several
Diğer alakalı ödeme istemleri over the last
years.
That’s
mainly sbecause
we’ve seen comparatively fewer attack sprees
involving numerous small franchises. Brute forcing remote access connections to POS still leads
Olarak değerlendirilebilir. as the primary
intrusion
vector. A resurgence of RAM scraping malware is the most prominent
tactical development in 2013.
2013 yılı verilerine göre web uygulamaları tabanlı saldırılar ile POS tabanlı saldırılar arasında y of you will come to this section hoping to
ticulars and dirty laundry of a certain breach
jor U.S. retailer in late 2013. Prepare to be
we don’t name victims in this report nor do
nt-specific information on any breaches
y of the DBIR contributors. If you want up-tows on particular breaches, you’d best look
a consolation prize, however, we hope you’ll
rall analysis of two hundred POS intrusions
in 2013, along with recommendations on how
ncreasing that number in 2014.
Figure 20.
Comparison of POS Intrusions and Web App Attacks patterns,
2011-2013
60%
POS Intrusions
40%
20%
Web App Attacks
ost commonly affected by POS intrusions are
staurants, hotels, grocery stores, and other
r retailers are all potential targets. Recent
breaches of several large retailers have brought
es to the forefront. But at the risk of getting
2009
2010
2011
2012
2013
er on you — we’ve been talking about this for
s is the main cause of theWeb large dip
in 2012 seen
From
angattack
pattern standpoint, the most simplistic narrative
uygulamalarındaki artış özlenebilmektedir. ver time” charts in this report. We were writing
is as follows: compromise the POS device, install malware to
pers before anyone heardPOS of them
and we’re nasıl fark collect
magnetic
stripe data in process, retrieve data, and cash
olaylarının edildiği incelendiğinde all that into them anymore because they’ve sold
in. All of these attacks share financial gain as a motive, and most
nstream.
can be conclusively attributed (and
the rest most likely as well)
to organized criminal groups operating out of Eastern Europe.3
e POS hacks are getting more press recently,
Such groups are very efficient at what they do; they eat POSs like
been going on for years and we really have talked
yours for breakfast, then wash ‘em down with a shot of vodka.
them in previous DBIRs. The media frenzy
While the majority of these cases look very much alike, the steps
lash, but from a frequency standpoint, this
taken to compromise the point-of-sale environment offer some
small-and-medium business issue. Focusing
interesting variations.
iers and headlines can reflect cognitive bias.
me may be surprised that the number of POS
and 2013 is substantially
lower than the number
0 and 2011 (despite having ten times more
he latter years). Figure
20 reminds
us thatGour
BARİKAT BİLİŞİM ÜVENLİĞİ f risk should always come back to the data, not
d headlines and marketing fodder.
1
4
14/37 Verizon 2014 DBIR Değerlendirme Raporu Figure 24.
Top 5 discovery methods for POS Intrusions (n=197)
99%
All External
All Internal 1%
Ext - law
enforcement
75%
14%
Ext - fraud detection
Ext - customer
11%
The timelines in Figure 25 reinforce both th
vectors and the discovery methods. Entry is
quick, as one would expect when exploiting s
passwords. Most often it takes weeks to dis
based entirely on when the criminals want to
their bounty.
Figure 25.
Timespan of events within POS Intrusions
Compromise n=169
WEB APP
ATTACKS
POINT-OF-SALE
INTRUSIONS
Int - NIDS <1%
THING
SE
1
5
DOS
ATTACKS
Exfiltration n=169
Weeks
Days
Hours
Seconds
Never
Years
Months
Weeks
Days
Hours
Minutes
Minutes
Discovery n=178
Compromise n=169
Exfiltration n=169
Discovery n=178
Seconds
CYBERESPIONAGE
PAYMENT CARD
SKIMMERS
CRIMEWARE
MISCELLANEOUS
ERRORS
PHYSICAL THEFT
AND LOSS
INSIDER AND
PRIVILEGE MISUSE
51%
Int - reported by user <1%
36%
The timelines in Figure 25 reinforce both the compromise
21%
methods for POS Intrusions (n=197)
vectors
and the
Entry is often was
extremely
11%
Regardless
of discovery
how
large methods.
the victim
or which 5%
%99 oranında dış kaynaklı sebeplerle saldırıların fark eorganization
dildiği görülmektedir. 1%
quick,
as one
would
expect
when
exploiting
or weakthere
methods
were
used
to steal
payment
cardstolen
information,
ernal
99%
passwords.
Most
often it takes
weeks
toof
discover,
andsomeone
that’s
isele another
commonality
in 99%
the
cases:
Ayrıca saldırılarla ilgili geçirme, bilgi shared
sızdırma ve fark edilme davranışlarının 88%
sürelerine based
entirely
on when
thehad
criminals
want
to startThis
cashing
else told
the victim
they
suffered
a breach.
is no in on
ernal 1%
bakıldığında their
bounty.
different
than in years past, and we continue to see notification
- law
75%
by
law
enforcement
and fraud detection as the most common
ment
Figure 25.
discovery
methods.
In
many cases, investigations into breaches
14%
ction
Timespan of events within POS Intrusions
11%
will uncover other victims, which explains why law enforcement
1%
1% 1%
0%
omer
11%
is the top method of discovery and the top contributor of POS
intrusions in our dataset. Long story short, we’re still discovering
NIDS <1%
85%
51% card breaches only after the criminals begin using their
payment
user <1%
36% for fraud and other illicit purposes.
ill-gotten gains
21%
11%
ow large the victim organization was or which
5% 1%
1%
0%
sed to steal payment card information, there
13%
onality shared in 99% of the cases: someone
0%
0% 0% 1%
BOTNET88%
MITIGATION: AN INCENTIVE PROBLEM
tim they had suffered a breach. This is no
According to the NHTCU, the impact of botnets — the Swiss
years past, and we continue to see notification
Army knife of cybercriminals — remained high in 2013.
ent and fraud detection as the most common
Furthermore, they note an apparent incentive problem when
ds. In many cases, investigations into breaches
it comes to mitigating these crafty menaces. Since the
11%
er victims, which explains why law enforcement
1% of a botnet
1% is often
1% spread around
impact
0%federal
0% the
0%globe,
d of discovery and the top contributor of POS
authorities aren’t always able to amass resources to fight it
dataset. Long story short, we’re still discovering
on a national level. While the85%
total damage of such a botnet
eaches only after the criminals begin using their
might be large, specific countries only deal with a small
or fraud and other illicit purposes.
part of these damages. The initial costs for fighting such a
botnet don’t seem to outweigh the benefits of its takedown.
Nevertheless, the NHTCU continue13%
to fight botnets. In
February
of
2013,
public
broadcaster
NOS
presented
1%
1%
0%
0% 0%
0%
GATION: AN INCENTIVE PROBLEM
findings on part of a dropzone of the so-called Pobelka
he NHTCU, the impact of botnets — the Swiss
botnet. After an online checking tool was made available,
cybercriminals — remained high in 2013.
500,000 people checked to see if their machines had (at
they note an apparent incentive problem when
some time) been infected; of that group, 23,000 self tigating these crafty menaces. Since the
identified as victims.
tnet is often spread around the globe, federal
en’t always able to amass resources to fight it
By then, the dropzone had been examined for correlations
evel. While the total damage of such a botnet
with a 2012 malware outbreak that had prompted a
e, specific countries only deal with a small
criminal investigation. Sixteen organizations within the
damages. The initial costs for fighting such a
vital infrastructure
were informed of being infected, and
had been communicated to
eem to outweigh the benefits of its takedown.
relevant infected IP addresses
BARİKAT B
İLİŞİM G
ÜVENLİĞİ 15/37 the NHTCU continue to fight botnets. In
the respective ISPs.
013, public broadcaster NOS presented
rt of a dropzone of the so-called Pobelka
an online checking tool was made available,
le checked to see if their machines had (at
Verizon 2014 DBIR Değerlendirme Raporu POS sistemlerine sızmanın %87’sinin saat mertebesinde olduğu, verilerin saat mertebesinde çıkartıldığı ancak fark edilmenin haftalar mertebesinde olduğu görülebilmektedir. Sızıntının fark edilmesi ile ilgili diğer bir acı gerçek ise; sızıntının, kurbanlara başkaları tarafından bildirilmesidir. Başka bir sızıntının detaylarının araştırılması aşamasında diğer kurbanlar da tespit edilmekte ve emniyet güçlerine bildirilmektedir. Bu değerlendirme raporunun hedef aldığı okuyucu ve müşteri kitlesinde fiziksel POS sistemlerinin aktif olarak kullanıldığı tahmin edilmemekle birlikte, bu raporun okuyucuları arasında •
•
Çevrimiçi (online) sistemlerle kredi kartı bilgilerinin elektronik olarak işlendiği ve provizyon alan sistemleri yöneten sorumlular olduğu, Fiziksel POS sistemleriyle ilgili regülasyonları düzenleyen kurum ve kuruluşlarının çalışanlarının bulunduğu Değerlendirilmektedir. Bu sebeple elektronik olarak ödeme kartı işleyen uygulama ve sistemlerin işlediği bilgilerin bir kopyasının saklanmasını sağlayabilecek zararlı yazılımların bu sistemlere uzaktan veya merkezi olarak yüklenebileceği değerlendirilmelidir (http://thehackernews.com/2014/05/new-‐point-‐of-‐sale-‐
malware-‐compromises.html) . Bu manadaki sistemlere yönelik özel tedbir ve kontrollerin alınması tavsiye edilmektedir. Bu tavsiye ve kontrollerle alakalı firmamız tavsiyeler vermekten memnun olacaktır. POS sistemleri ile ilgili regülasyonlar koyan kurum ve kuruluşların, bu regülasyonlarda POS saldırı vektörlerine yönelik tedbirlere yer vermesinin yararlı olacağı düşünülmektedir. Bu vektörler belirlenirken 1
6
BARİKAT BİLİŞİM GÜVENLİĞİ 16/37 Let’s start with the most frequent scenario, which affects small
was that the same password was used for al
businesses that may or may not realize just how lucrative a
managed by the vendor. Once it was stolen, i
target they are. This event chain begins with the compromise of
a default password and the attackers also ga
Verizon 2014 DBIR the POS device with little to no legwork; the devices are open to
the customer base. Armed with this informa
Değerlendirme Raporu the entire Internet and, to make matters worse, protected with
modus operandi of installing malicious code
weak or default passwords (and sometimes no passwords).
transmitted the desired data began.
Figure 22.
Hacking variety within POS Intrusions (n=1
Figure 21.
Top 10 threat action varieties within POS Intrusions (n=196)
85%
RAM scraper [mal]
Brute force
79%
Export data [mal]
Use of stolen creds
50%
Brute force [hac]
37%
Use of stolen creds [hac]
8%
Offline cracking [hac]
Use of backdoor
or C2 [hac] 2%
Offline cracking
9%
Unknown
9%
Use of backdoor or C2
2%
SQLi <1%
Spyware/Keylogger[mal] 2%
Backdoor [mal] 1%
Figure 23.
Hacking vector within POS Intrusions (n=18
Misconfiguration [err] <1%
Phishing [soc] <1%
3rd party desktop
sharing
The top three
threatvektörler actions tell the
story rather
(Figure 21).
Verizon 2014 DBIR Raporunda geçen başlangıç için well
dikkate alınabilir. Desktop
Bu grafik, POS The
perpetrators
scan
the
Internet
for
open
remote-access
ports
Physical
access
sızmalarında en çok kullanılan 10 saldırı vektörünü içermektedir. Bu vektörleri ortadan kaldıracak and if the script identifies a device as a point of sale, it issues
Backdoor
or C2 1%
tedbirlerin neler olabileceği bu değerlendirme raporunun kapsamı değildir ancak POS saldırılarına likely credentials (Brute force) to access the device. They then
yönelik alınabilecek tedbirler ve tavsiyelerle ilgili detay aktarmamız için, Command hell
1%
install malware
(RAM scraper)
to collect
anddeğerlendirmelerimizi exfiltrate (Export
data)
payment
card
information.
firmamız web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları ([email protected]) VNP <1%
kullanarak bizlerle iletişime geçebilirsiniz. us is the renaissance of RAM scraping
One finding
that intrigued
Web application <1%
malware as the primary tool used to capture data. RAM scrapers
allow payment card data to be grabbed while processed in
memory (where it is unencrypted) rather than when stored on
disk or in transit across the network (where it is (ostensibly)
encrypted).
It’s interesting, but not necessarily surprising, that RAM
scraping has usurped keyloggers as the most common malware
functionality associated with POS compromises. One could
theorize that keyloggers (most of which were common varieties
such as Perfect Keylogger and Artemis) are more easily spotted
than the memory-scraping code we witnessed in this data set. Or
perhaps the RAM scrapers, which hook into specific processes of
the POS software, simply do the job better and more efficiently.
1
7
While not as common as the simpler POS int
does include several incidents from the first
that feature a compromise at a corporate lo
widespread compromise of individual locati
code installations across a multitude of stor
begun with a store compromise that led to p
corporate network, but the hub-and-spoke a
for efficient traversal of the network and th
compromise was magnified regardless of wh
located.
In years past, we analyzed attack sprees that spanned multiple
victims with no association with each other beyond the use
of truly awful passwords. This report features almost 200
incidents, but in prior years we saw over 200 victims for one
criminal group. The two biggest sprees in our 2013 dataset,
one involving several franchisees of the same company, and the
other affecting multiple corporations, are a bit different, and
lead us to our second common scenario: the use of stolen vendor
credentials. In one case the credentials stolen belonged to a
point-of-sale vendor and were compromised via Zeus malware
infecting the vendor’s systems. The big problem among these
BARİKAT BİLİŞİM GÜVENLİĞİ 17/37 VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT
9%
P
MISCELLANEOUS
ERRORS
3.2.
CRIMEWARE
There’s no question about it – the variety and combination
FINANCIALLY MOTIVATED ATTACKS
of techniques available to attackers make defending web
Financially motivated attackers are hyperapplications a complex task. Regrettably, our discussion of this
access to the money, so it follows that thei
complexity is hampered by the level of detail provided on these
industries are the financial and retail indus
incidents. Unless a forensics investigation was performed (a
that easily converts to money is abundant a
Verizon 2014 DBIR small subset of the overall dataset), the specific techniques
accessible). Within the financial industry, th
Raporu utilized went largely unreported or were recorded with broadDeğerlendirme access to the
user interface of the web (ba
categorizations.
While we have enough material to discuss web
the web application
more so than exploiting
application data breaches at a high level, our ability to draw
application grants logical access to the mo
conclusions drops as we dig further into the details (which often
target user credentials and simply use the
aren’t there).
protected with a single factor (password) a
Web Uygulama Saldırıları DOS
ATTACKS
CYBERESPIONAGE
PAYMENT CARD
SKIMMERS
goal. These could have been included in the
Greed takes a back seat to ideology when it comes to web app
(and some
slip through cracks in the alg
DBIR 2014 raporu bu saldırıların iki yolla yapıldığını belirtmektedir. Ya uygulama da didbulunan attacks in the 2013 dataset. Just under two out of every three
but
the
use
of
web
applications as a vector
web app attacks were attributable to activist groups driven by
zayıflıklar kullanılmakta, ya da çalınan/bulunan kullanıcı yetkileri ile o kullanıcıymış gibi uygulamada them
to
show
up
here.
The tactics used by a
ideology and lulz; just under one out of three came by the hand
hareket edilmektedir. usual
suspects:
a)
phishing
techniques to ei
of financially motivated actors; with the small remainder linked
into
supplying
credentials
or
installing malw
to espionage. After some slicing and dicing we found some very
system,
b)
the
old
stand-by
of
brute force p
distinct
sub-patterns
divided
alongzthese
motives.
The financial
Firmamızın yaptığı güvenlik analizleri (sızma testleri, afiyet analizleri vb) ve kurum ve kuruluşların and
c)
rarer
cases
of
targeting
the applicat
and ideological
attacks deserve
unique discussion since
the
yaşadıkları olaylara istinaden gerçekleştirdiğimiz incelemelerdeki tespitlerimiz de bu yöndedir. injection
or
other
application-level
attacks
treatment for each may be slightly different. While attacks
credentials,
bypass
the
authentication,
or o
perpetrated by those motivated by espionage are certainly
the
user-management
system.
When
attrib
Bu saldırıları gerçekleştirenlerin m
otivasyonları i
ncelendiği z
aman relevant, discussion of these is taken up in the Espionage
the majority of external attackers utilizing
section.
Figure 26.
External actor motives within Web App Attacks (n=1,126)
65%
Ideology/Fun
33%
Financial
Espionage
2%
somewhere along the attack chain hail from
Europe.
Within the retail industry, we see a slightly
primary aim is payment card information (t
the incidents), which is often accessible sim
web application. Social actions (such as phi
existent, most likely because exploiting vul
in web applications works plenty well enoug
leveraged in 27 of the 34 (80%) attacks ag
in the retail industry, followed by technique
web shells (remote file inclusion, etc.) in fiv
EVERYTHING
ELSE
İdeolojik amaçlı saldırıların 2013 yılındaki saldırılarda baskın unsur olduğu görülmektedir. Ülkemizde de benzer olaylar olduğunu hatırlayabiliriz. 20
Web uygulamalarına yönelik ideolojik saldırıların siyasi gündemle de değiştiğine dikkat ettiğimiz durumda; bu saldırılarının oranı ve frekansının değişebileceğini tespit etmek gerekir. Ancak değişmeyecek ve hatta oranları artacak önemli motivasyonun ticari ve casusluk amaçları olduğu görülmelidir. Web uygulama tabanlı saldırıların nasıl keşfedildiği incelendiğinde 1
8
BARİKAT BİLİŞİM GÜVENLİĞİ 18/37 VER
Verizon 2014 DBIR Değerlendirme Raporu 3%
Ext - law enforcement 2%
Int - fraud detection 2%
Int - reported by user 2%
POINT-OF-SALE
INTRUSIONS
WEB APP
ATTACKS
Ext - unrelated party
Ext - fraud detection 4%
Ext - law enforcement 1%
Int - reported by user <1%
Ext - actor disclosure 2%
Ext - monitor service 1%
Ext - actor disclosure <1%
INSIDER AND
PRIVILEGE MISUSE
Ext - audit 1%
Ext - customer <1%
Discovery method looks a little bleaker for activists. 99%
of the notifications were external parties (primarily CSIRTs)
Figure 29.
İdeolojik kaynaklı değerlendirilebilecek olayların %98 oranında ilgili olmayan dış unsurlar yardımıyla Int - unknown <1%
contacting victims to let them know their hosts were involved in
tespit edildiği; kaynaklı değerlendirilebilecek olayların çoğunun etkilenen Timespan
of events
within Webise Appsaldırıdan Attacks
other attacks.
This isfinansal heavily influenced
by ideological
attackers
<1%
Int
antivirus
quietly using the
platformkto
attack
others
rather than,
for
müşteriler (ödeme artı bilgisi çalınan insanlar) tarafından fark edildiği gözlenmektedir. instance, simple defacements (which are rare in the dataset).
42%
Int - fraud detection
<1%
Even though the timeline data is a little sparse, it paints the
Saldırıları dışarıdan kim tespit ederse etsin, saldırılan sistem sahibinin olaylardan (bu dokümanda picture of quick entry with 60% of the initial compromises
Other
olay kavramı başarılı saldırılar olarak değerlendirmektedir) haberi %92 <1%
oranında olmamaktadır. occurring within minutes or less. This reflects the highly
23%
19%
repetitive CMS exploits in this pattern; if it works, it works
quickly. Just over 85% of the incidents are discovered in days
12%
Bu verilere istinaden kurumsal web uygulamalarının korunması yanında bu sistemlerle alakalı uyarı or more, with about 50% taking months or longer to discover.
5%
mekanizmalarının a dsee
ikkatlice kurulması gerektiği değelendirilmelidir. Once discovered though,dwe
fairly good
reaction time,
with
0% 0%
0%
about half of the organizations taking days or less to respond
and contain the incident. This is far better than the norm, which is
Ülkemizdeyse bu uyarı sistemlerinin kurulmadığı gözlemlenmekte, gerçekleşen güvenlik typically weeks or longer.
yatırımlarının çoğunun bu amaca hizmet etmediği tahlil edilmektedir. 27%
Web uygulamaları için kurum ve kuruluşların, olaylardan (bu dokümanda olay, başarılı olan saldırılar 21%
21%
What we foundkis
a non-finding and the‘Korunma’ only valid conclusion
anlamında ullanılmaktadır) ve olayları ‘Fark etme’ manasında iki ayrı 18%sınıfta tedbir alması to draw from this is that more work is needed to understand
gerekmektedir. Bu iki alanda var olan envanterinizle neler yapılabileceğini; alınması 9% gereken diğer the relationship between web application vulnerabilities and
tedbirlerin neler olabileceğini sizlere aktarabiliriz. Bu 3%amaçla firmamız web sayfasındaki security incidents.
With a non-finding,
we can only
speculate
0% 0%
on
why
we
are
seeing
these
results.
Perhaps
this
is
telling
us
(www.barikat.com.tr) formaları veya diğer yolları ([email protected]) kullanarak bizlerle iletişime that no industry is doing enough. We know three out of four
geçebilirsiniz. web-based compromises occur in hours or less of first contact,
Compromise n=43
PHYSICAL THEFT
AND LOSS
CRIMEWARE
Discovery n=70
41%
DOS
ATTACKS
CRIMEWARE
CYBERESPIONAGE
Exfilteration n=33
MISCELLANEOUS
ERRORS
PAYMENT CARD
SKIMMERS
NT CARD
MERS
1
EVERYTHING
ELSE
ckly) patching web
s year we partnered
ombine and compare
inst the vulnerability
ens of thousands
most well-known
orth, we decided first to
and maybe fixing vulnerabilities in 10 days versus 70 days
ause patterns emerge
doesn’t help all that much. Plus, the attacker only exploits one
o compare two data
(maybe two) vulnerabilities. But a different explanation could
ncident data: the average
be that our lens was focused too wide, and we could
edian days to patch. learn
more by matching the high-quality WhiteHat data with specific
er vulnerabilities and
incident data within the same sample. Whatever the causes,
resented in the breach
BARİKAT BİLİŞİM GÜVENLİĞİ we do know that web application attacks occur often enough
o we applied some good
to repeat what is said in the WhiteHat Website Security
mittedly let down when
re expecting.
Statistics Report,5 “What’s needed is more secure software,
NOT more security software.”
1
9
93%
Ext - unrelated party
MISCELLANEOUS
ERRORS
MEFRAMES
4%
The writing’s on the
authentication on an
draw you out of a kn
web application see
verification. If you’r
consider mandating
your customers.
Total Internal 2%
6%
Int - IT audit
Single-pa
98%
Total External
PHYSICAL THEFT
AND LOSS
and the discovery
otification method that we
rhaps customers notice
lse, but something is
nternal mechanism. With
d, only 9% of victims
accord.
74%
Ext - customer
RECOMMEN
INSIDER AND
PRIVILEGE MISUSE
just the web server
ts compromised in the
et recorded in nearly all
otives. The actors didn’t
per and wider into the
t of simply not reporting
ident — so don’t take this
er — but it is logical and a
cks in our dataset.
12%
Total Internal
Ext - fraud detection
ation is social, political, or
out getting at the crown
tform (in all senses of the
not surprising that we
al attackers going after
essage or hijacking the
her victims.
88%
Total External
WEB APP
ATTACKS
ed portion of motives
tors also tend to be
ocus on tried and true
dated inputs in executed
ger scale than Content
oomla!, Drupal, and
added plugins than the
Figure 28.
Top 5 discovery methods for ideologically motivated incidents
within Web App Attacks (n=775)
Figure 27.
Top 10 discovery methods for financially motivated incidents
within Web App Attacks (n=122)
POINT-OF-SALE
INTRUSIONS
S:
0%
3%
11%
17% 16%
11% 19/37 0%
Rethink C
And we mean “rethin
active platform (Joo
an automated patch
isn’t viable, then dev
is especially true fo
rethink CMS is to co
executing code for e
static CMS will preneed to execute cod
Validate i
Even though we’ve b
the advice still hold
application won’t be
vulnerabilities befo
have access to the s
to have something i
when they’re found.
Enforce l
Brute force attacks
but they’re still wort
measures, such as a
ving trusted
go about acquiring
ent. In addition
ces, we observed ften by stealing
s, various forms of
ike keyloggers and
to physical theft,
her intellectual
original organization
suse (n=123)
71%
Let’s take a look at the people committing these crimes. While
payment chain personnel and end-users were still prominent,
managers (including those in the C-suite) came in higher than in
prior years. You know the type; one of those straight shooters
with upper management written all over him. They often have
access to trade secrets and other data of interest to the
competition and, tragically, are also more likely to be exempted
from following security policies because of their privileged
status in the company.6 One of those “white-collar resort
prisons” won’t do for their ilk.
3.3.
Verizon 2014 DBIR Değerlendirme Raporu Dahili Bilgi Sahiplerinin ve Ayrıcalıkların Suistimali Figure 33.
DBIR raporunda kullanılan ‘insider’ terimi bu değerlendirme dokümanında ‘Dahili bilgi Variety2014 of external
actors within
Insider Misuse
(n=25)
sahipleri’ manasında kullanılmaktadır. Genel anlamda; dışarıdan bilinmesi mümkün olmayan Organized crime
36%
konuları bilen ‘dahili bilgi sahipleri’ kavramsal olarak da bu çevrime uymaktadır. Former employee
24%
Kurum Unaffiliated
ve kuruluşların verileri içinde yer 24%
alan: Competitor
16%
• müşteri veya vatandaşa hizmet vermek için kullanılan kişisel bilgiler, 8% amacıyla çalışanların kişisel bilgileri Acquaintance
• bu hizmeti yerine getirmek •
bu hizmeti yerine getirmek için lazım gelen diğer bilgiler PHYSICAL THEFT
AND LOSS
INSIDER AND
PRIVILEGE MISUSE
WEB APP
ATTACKS
POINT-OF-SALE
INTRUSIONS
As mentioned in the beginning of this section, insiders aren’t the
N was the vector in
kurum ve who
kuruluşlarda yer aprivileges
lan toplam erilerin öFigure
nemli bir kısmını oluşturmaktadır. only ones
misuse entrusted
andvresources.
antage of physical
33 gives an account of external and partner actors who directly
eans the majority of
or indirectly participated in incidents of misuse. Organized
he office right under
With more
incidents than ever before involving trusted
Let’s take a look at the people committing these crimes. While
Özellikle ülkemizde bilişim güvenliği alanında çalışan firmaların ve şahısların (kurum içi, kurum dışı) criminals bribe insiders to steal data for fraud schemes. Former
g through proxiesparties, we could more easily see how they go about acquiring
payment chain personnel and end-users were still prominent,
employees
exploit
still active gösteren accounts or bir other
holes known
olduğu, güvenilirlik akreditasyonun olmadığı bilinmelidir. Kurum ve kuruluşların omeone wants tothe
usedatatabi when their own access is insufficient. In addition
managers (including those in the C-suite) came in higher than in
only to them. Competitors solicit intellectual property to gain
policies and tearto abusing
bilişim güvenliği bu manadaki incelemeleri yeterince entrusted
privilegesalanındaki and resources,tercihlerini we observed yaparken; prior years.
You know theilave type; one
of those straight
shooters
business advantages. To mount a proper defense, organizations
r plans — you have
hacking yapmadıkları gözlemlenmektedir. Kurum ve kuruluşların aldığı kararlarda da güvenilirlik konusunun techniques to elevate privileges (often by stealing
with upper management written all over him. They often have
must take into account that such players are on the field.
others’ credentials) and circumvent controls, various forms of
access to trade secrets and other data of interest to the
karar süreçlerine katkıda bulunmadığı değerlendirmektedir. Nearly all misuse
prior tolike
2013
centered and
on obtaining
social engineering,
and theincidents
use of malware
keyloggers
competition and, tragically, are also more likely to be exempted
information
tohave
use for
fraud.
As Figure
34 shows,
we saw more
backdoors.
These cads
even
resorted
to physical
theft,
from following security policies because of their privileged
nsider Misuse (n=99)
insiderDespionage
targeting
internal
organizational
data andstatus
“white-collar
resort
taking documents
suchdas
blueprints
and other
intellectual
in the company.
2014 BIR, ahili bilgi sahiplerinin suistimallerindeki motivasyonu ve 6bOne
una ofdthose
ış aktörlerin etkisini trade
secrets
than
ever before.
prisons”
won’t
do
for
their
ilk.
property,
often
denying
availability
to
the
original
organization
23%
by taking the only copy.
Figure 34.
Figure 33.
17%
Actor motives within Insider Misuse (n=125)
Variety of external actors within Insider Misuse (n=25)
Figure 31.
13%
Vector for threat actions within Insider Misuse (n=123)
Financial
72%
Organized crime
13%
36%
LAN access
71%
Espionage
18%
Former employee
24%
Physical access Grudge
28%
10%
24%
Unaffiliated
Remote access
Convenience 21%
4%
Competitor
16%
Other 2%
Fun 3%
8%
Acquaintance
Non-corporate 1%
N/A 2%
ENT CARD
IMMERS
CRIMEWARE
MISCELLANEOUS
ERRORS
2
0
As mentioned in the beginning of this section, insiders aren’t the
7
by onein
of our DBIR
tothat
Thethe
Recover
Report,
It’s also worth
noting
corporate
LANpublished
was the vector
According
only ones who misuse entrusted privileges and resources. Figure
contributors,
Mishcon
de took
Reya,advantage
the two most
common scenarios
71% of these
incidents,
and 28%
of physical
aktarmaktadır. 33 gives an account of external and partner actors who directly
involve
taking This
the data
to: the majority of
access within
theperpetrators
corporate facility.
means
or indirectly participated in incidents of misuse. Organized
• Start
their own
competing
company
(30%).
employees
perpetrated
their
acts while
in the office
right under
criminals bribe insiders to steal data for fraud schemes. Former
• ofHelp
with
(65%).
2014 Dsecure
BIR’a gemployment
öre dthan
ahili hopping
bilgi asrival
ahiplerinin suiistimali gerçekleştirmesinde finansal (kazanç) ve casusluk the noses
coworkers,
rather
through
proxies
employees exploit still active accounts or other holes known
from themotivasyon relative safetykaynağı of their house.
If someone
wants
to useda önemsenemeyecek oranda bir motivasyon kaynağı olmuştur. Ayrıca ‘hınç’ This kind of thing
is certainly
not new —
it’s largely
due to theonly to them. Competitors solicit intellectual property to gain
these statistics to loosen up work-at-home policies and tear
additiontespit of more
contributors
olarak edilmiştir. who have a view into this type of
business advantages. To mount a proper defense, organizations
down cube farms in favor of more open floor plans — you have
activity than ever before. So, whether it’s fraud-ready data sold
must take into account that such players are on the field.
our blessing.
on the quick to criminals or internal secrets eventually sold to a
Nearly all misuse incidents prior to 2013 centered on obtaining
competitor, insider crime is still “all about the Benjamins, baby.”
Figure 32.
information to use for fraud. As Figure 34 shows, we saw more
Top 10 varieties of internal actors within Insider Misuse (n=99)
insider espionage targeting internal organizational data and
trade secrets than ever before.
23% Cashier
BARİKAT BİLİŞİM GÜVENLİĞİ 20/37 End-user
17%
Finance
13%
Manager
13%
Figure 34.
Actor motives within Insider Misuse (n=125)
Financial
72%
Verizon 2014 DBIR Değerlendirme Raporu Aynı zamanda bu dahili bilgi sahiplerinin suiistimaline etki eden dış etkenlerin; organize suç orgütleri, eski çalışanlar, rakipler ve bağımsız odaklar olduğu değerlendirilmiştir. Kurum ve kuruluşların karşılaşabileceği ‘dahili bilgi sahipleri’ ile ilgili suistimallerin engellenmesi veya fark edilmesiyle ilgili alınabilecek tedbirlerin neler olabileceğini sizlere aktarmak isteriz. Bu amaçla firmamız web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları ([email protected]) kullanarak bizlerle iletişime geçebilirsiniz. 2
1
BARİKAT BİLİŞİM GÜVENLİĞİ 21/37 YSICAL THEFT MISCELLANEOUS
CRIMEWARE
AND LOSS
ERRORS
L THEFT MISCELLANEOUS
CRIMEWARE
OSS
ERRORS
lost and stolen assets in this report. We decided, however, that
To
honest,
we debated
whether
orfact
not that
to include
a section on
webe
simply
couldn’t
ignore the
blatant
such incidents
lost
and stolen
assets
in this report.
We decided,
however,
that
— while
not sexy
or “cyber-y”
— are among
the most
common
we
simply
couldn’t
ignore the reported
blatant fact
that such incidents
causes
of data
loss/exposure
by organizations.
This
— while not sexy or “cyber-y” — are among the most common
is especially apparent in industries like Healthcare, where the
causes of data loss/exposure reported by organizations. This
disclosure of all incidents that potentially expose sensitive data
is especially apparent in industries like Healthcare, where the
is mandatory. And if there’s anything we know to be true about
disclosure of all incidents that potentially
expose sensitive data
stealing
human
nature,And
it’s that
losinganything
things and
seem
to
is
mandatory.
if there’s
we know tothings
be true
about
be
inherent
predispositions.
human nature, it’s that losing things and stealing things seem to
be inherent predispositions.
across the board. Even farmers have problems with people that
noteworthy
that
this their
is thecrops
only incident
laptops. pattern that applies
come
and try to
snatch
across the board. Even farmers have problems with people that
Speaking
oftry
laptops,
they’re
thecrops
mostlaptops.
common variety of asset
come and
to snatch
their
reported with this pattern. Incident reports — especially to
Speaking of laptops, they’re the mostVerizon common variety
of asset
2014 CSIRTs — often don’t specify the asset lost
or stolen.
Thus,DBIR reported with this pattern. Incident reports — especially to
“some kind of user device” is all weDeğerlendirme can infer and explainsRwhy
aporu CSIRTs — often don’t specify the asset lost or stolen. Thus,
“Other
(user
dev)”
is
so
frequent.
Beyond
that,
it’s
what
you’d
“some kind of user device” is all we can infer and explains why expect:
andBeyond
drives. that, it’s what you’d
“Othercomputers,
(user dev)”documents,
is so frequent.
expect: computers, documents, and drives.
The
next thing to note is the ratio of loss to theft; losing
information
assets
way
more
by alosing
15-to-one
The next thing
to happens
note is the
ratio
ofthan
loss theft,
to theft;
the findings
yielded aand
fewthat’s
interesting
observations
that may help
inform practice,
where we’ll
focus our
Studying
information
way
more than
theft, by
15-to-one
difference.
Andassets
that’shappens
important
because
it suggests
theavast
that
may help
inform
practice,
that’s
we’ll
focus
attention
in this
section.
As we and
begin,
keepwhere
in mind
that
we’reour
difference.
And
that’s
important
because
it
suggests
the
vast
majority
of
incidents
in
this
pattern
are
not
due
to
malicious
DBIR 2014 raporunda bu kategori kurum ve kuruluşların sahip olduğu varlıkların kaybedilmesi veya attention
in talking
this section.
we begin, assets;
keep in10mind
that we’re
whatever
was
specifically
aboutAs
information
majority
of incidents
in this
pattern
are
not dueis
toto
malicious
10
or
intentional
actions.
Thus,
the
primary
challenge
a)
keep
whatever
specifically
talking
assets;
çalınmasına istinaden ortaya çıkan oinformation
laylara was
binakılarak orhintentional
azırlanmış bir kThus,
ategoridir. lost or stolen
had
toabout
store,information
process,
or transmit
the primary challenge is to a) keep
employees fromactions.
losing things (not
gonna happen) or b) minimize
lost or stolen had to store, process, or transmit information in
order to get our attention.
employees from losing things (not gonna happen) or b) minimize
order
the impact when they do. The smart money is on option b, though
to get our attention.
the impact when they do. The smart money is on option b, though
Basit bir adli konu veya kayıp wetazmini olarak değerlendirilebilecek bu başlığın aslında nasıl bilgi Observation
#1 relates
to demographics;
have evidence
bio-implanted computing devices
do hold some
future promise
Observation #1 relates to demographics; we have evidence
bio-implanted computing devices do hold some future promise
that
every
type
and
size
of
organization
loses
stuff
and/or
has
for
option
a.
That’s
about
all
we’re
going
to
say
about
loss,
butbut
güvenliğine tki size
edebileceği ise loses
yapılacak ufak rtaya çıkmaktadır. that every type e
and
of organization
stuff and/or
hasincelemelerle for option a.oThat’s
about
all we’re going to say about loss,
stuff
stolen.
That
may
not
be
much
of
a
shock,
but
it’s
at
least
theft
still
has
a
few
more
lessons
for
us.
stuff stolen. That may not be much of a shock, but it’s at least
theft still has a few more lessons for us.
3.4.
Hırsızlık ve interesting
Kayıp Studying the findings
yielded a few
observations
PAYMENT CARD
SKIMMERS
PAYMENT CARD
SKIMMERS
Figure 39.
Figure
Top
varieties of
ofTheft/Loss
Theft/Loss(n=9,678)
(n=9,678)
Top 10 action varieties
892
892
(user dev)
Laptop
Laptop
(user dev)
(user dev)
Documents
140
(media)
Documents
(media)
Disk drive
Disk drive
(media)
Tapes
(media)
(media)
Tapes
Other
Victim secure area
102
Partner facility
4%
Partner vehicle
4%
Partner facility
37
Partner vehicle
36
(server)
(media)
27
12
Public facility
4%
4%
3%
Public
2%
Victimfacility
grounds 3%
Victim
grounds
2%
Public
vehicle 2%
Other 12
Database
11
(media)
(server)
Database 11
(server)
5%
EVERYTHING
ELSE
EVERYTHING
ELSE
(media)
(server)
Other
Other
Victim secure area
5%
108
37
36
27
10%
Personal residence
102
(media)
10%
Personal residence
23%
DOS
ATTACKS
DOS
ATTACKS
(user dev)
Desktop
Flash drive
Personal vehicle
108
dev)
Flash(user
drive
23%
Personal vehicle
308
140
(media)
Desktop
43%
43%
Victim
work
area
Victim
work
area
308
CYBERESPIONAGE
CYBERESPIONAGE
Other
Other
(user dev)
Figure
40.
Figure
40.
Top
locations
theft
within
Theft/Loss
(n=332)
Top
1010
locations
forfor
theft
within
Theft/Loss
(n=332)
Public
vehicle
2%
Victim
public
area 2%
Victim public area
2%
2014 DBIR, ‘Other (user dev)’ kategorisini, olayları raporlayan kişilerin konu cihazları belirtilmemesi VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT
sebebiyle yaratmıştır. Kullanıcıların tüm sahip oldukları bilişim varlıklarını kaybedebildiklerini ve bunların ciddi bir güvenlik açığı yarattığını bu tespitlerden görebilmekteyiz. Ayrıca bu veriler, saldıranların isterlerse rahatça bu kullanıcı bileşenlerine çalabildiklerini göstermektedir. Şaşırtıcı tespitlerden bir tanesi de; şirket ofislerinden çalınan bileşen sayısının, araba veya evlerden çalınanlardan fazla olmasıdır. Yani varlıkları kapalı kapıların arkasında tutmanın çok da yeterli olmadığı görülmektedir. Bu sebeple sistemlerin ofislerde bulunmasını da bir güvenlik unsuru olarak kabul etmemek gerekmektedir. Kullanıcıların bileşenleri kaybetmesi veya bunların çalınması durumunda kurum ve kuruluşların yaşaması muhtemel olaylara nasıl tedbir alınması gerektiği konusundaki önerilerimizi aktarmak isteriz. Bu amaçla firmamız web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları ([email protected]) kullanarak bizlerle iletişime geçebilirsiniz. BARİKAT BİLİŞİM GÜVENLİĞİ 22/37 VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT
2
2
27
27
Misdelivery (sending paper documents or
emails to the wrong recipient) is the most
frequently seen error resulting
data
Verizon 2in014 DBIR disclosure.
Değerlendirme Raporu MISCELLANEOUS
ERRORS
YSICAL THEFT
AND LOSS
Nearly every incident involves some element of human error.
For example, failing to apply a WordPress patch certainly leaves
the application vulnerable to attack, but it doesn’t directly
compromise the system. Some other threat actor/action is
required to do that. Without drawing that distinction, this
category would be so bloated with “incidents” that it would be
difficult to extract useful information.
There are only two difficult problems in computer science: cache
It’s also worth noting that this pattern doesn’t include every
invalidation, naming things, and off-by-one errors. Misdelivery
incident in the Error category. Loss is a type of error, but we
(sending paper documents or emails to the wrong recipient)
grouped it with theft (under Physical) in a different pattern
is the most frequently seen error resulting in data disclosure.
because they share certain similarities (you no longer possess
One of the more common examples is a mass mailing where
the device) and because it’s often difficult to determine loss vs.
the documents and envelopes are out of sync (off-by-one)
theft.D
Please
this in mind
you view the
top actions
and bilgi ve belge paylaşımı, kullanıcı hataları ve benzeri 2014 BIR rkeep
aporunda bu as
kategori; yanlış kişilerle and sensitive documents are sent to the wrong recipient. A
assets in this section.
yes, but one that very often exposes data to
hataların yarattığı olayların veya sızıntıların kategorisi omundane
larak dblunder,
eğerlendirilmektedir. unauthorized parties.
Çeşitli Hatalar CRIMEWARE
3.5.
Figure 43.
Top 10 threat action varieties within Miscellaneous Errors
(n=558)
Figure 44.
Top 10 assets affected within Miscellaneous Errors (n=546)
Documents
44%
Misdelivery
9%
(user dev)
File
7%
(server)
6%
Misconfiguration
14%
(server)
Desktop
20%
Disposal error
49%
(media)
Web application
Database
5%
5%
(server)
3%
Other
Programming error
3%
Mail
(server)
(server)
4%
Gaffe
1%
Disk media
Omission
1%
Disk drive
1%
Other
1%
Other
1%
Maintenance error
<1%
(media)
(media)
(media)
DOS
ATTACKS
Malfunction
CYBERESPIONAGE
22%
Publishing error
3%
2
3
BARİKAT BİLİŞİM GÜVENLİĞİ 23/37 EVERYTHING
ELSE
Bu hataların yanlış sisteme web baskısı yapılmasından, yanlış eposta atılmasına kadar pek çok VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT
kullanıcı veya sorumlu tarafından yapılabildiği tespit edilmiştir. Bu hataların sorumluları ne yazık ki son kullanıcı, sistem yöneticileri, uygulama geliştiriciler gibi çoğunlukla iç kullanıcılardır. Kişisel hataların kategorisi olarak değerlendirilebilecek bu kategori de tespit, umulduğu kadar hızlı gerçekleşmemektedir. PAYMENT CARD
SKIMMERS
29
Verizon 2014 DBIR Değerlendirme Raporu VERNMENT MISDELIVERY
Figure 45.
Discovery and containment timeline within Miscellaneous
Errors
rding to our sample, government organizations
uently deliver non-public information to the wrong
Discovery n=127
Containment n=55
ient; so much so, in fact, that we had to remove it from
6%
Seconds 3%
e 43 so that you could see the other error varieties.
4%
9%
Minutes
is that number so large? The United States federal
rnment is the largest employer in that country, and
38%
10%
Hours
tains a massive volume of data on both its employees
Days
27%
17%
onstituents, so one can expect a high number of
elivery incidents. Public data laws and mandatory
13%
6%
Weeks
rting of security incidents also cover government
Months
6%
47%
cies. Since we have more visibility into government
2%
8%
Years
akes, it creates the impression that government
akes happen more frequently than everyone else’s,
Never 0%
6%
h may not be the case. This is not unlike the way we
igher numbers of overall breaches in U.S. states that
had disclosure laws on the books
the longest. Case
Organizations only discover their own mistakes about one-third
Bu olayların oluşmaması için nasıl tedbirlerin alınması gerektiği konusundaki önerilerimizi aktarmak int: even with government misdelivery removed from
of the time. Otherwise, an external entity makes them aware
isteriz. amaçla web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları esults, misdelivery still dominates
theBu list of
errors firmamız of the incident, and most frequently it’s the organization’s own
ting in exposed data.
([email protected]) kullanarak izlerle iletişime geçebilirsiniz customers.bYou
could try
the “Inconceivable!”
tactic when a
Dictionaries declared that “selfie” was 2013’s word of
posting content to the web and
r,13 but did you know that
gretting it was a meme in the corporate world too? That’s
he second most frequent error variety is publishing errors,
ften involve accidentally posting non-public information
blic resource, such as the company web server. That’s
b application takes the number two spot on the affected
chart (Figure 44). Rounding out the top three in this
ry is disposal error, where the affected asset is thrown
ithout being shredded or, in the case of digital media,
y cleared of sensitive data.
s making all these mistakes? Well, it’s
st entirely insiders, of course. End-users,
dmins, and developers lead the pack when
mes to mucking things up, though pretty
all of us are guilty.
making all these mistakes? Well, it’s almost entirely
s, of course. End-users, sysadmins, and developers lead
k when it comes to mucking things up, though pretty much
s are guilty. But the interesting thing is that there’s quite a
umber of incidents (70) caused by partner errors — more
y other pattern.
2
4
customer calls to say they found their unprotected personal data
on your website — but if you keep using that word, they’ll figure
out it doesn’t mean what you think it means.
Figure 46.
Top 10 discovery methods for Miscellaneous Error incidents
(n=148)
68%
Total External
32%
Total Internal
30%
Ext-customer
25%
Ext-unrelated party
18%
Int-reported by user
12%
Other
Int-unknown
5%
Int-IT audit
3%
Ext-law enforcement
2%
Ext-actor disclosure
2%
Ext-audit 1%
Int-log review 1%
BARİKAT BİLİŞİM GÜVENLİĞİ 24/37 VERIZON ENTERPRISE SOLUTIONS
Frequency
12,535 total incidents
50 with confirmed data disclosure
Key findings
The primary goal is to gain control of systems as a platform for illicit uses like stealing
credentials, DDoS attacks, spamming, etc. Web downloads and drive-bys are the most common
infection vectors.
Verizon 2014 DBIR Değerlendirme Raporu Many incidents in this section come from our CSIRT partners,
This one primarily targets Android and Blackberry mobile
reflecting a roll-up across many victim organizations. The
devices for similar purposes. While Zeus serves as an example
level of detail tends to be lower because there was no forensic
of crimeware families reported all around the world, others had
investigation or similar in-depth analysis (or the report wasn’t
a more localized presence. Nitol, for instance, was quite common
provided to the CSIRT), leaving VERIS metrics a bit sparse.
among incidents reported to MyCERT of Cybersecurity Malaysia,
But the high number of incidents
still2014’ün offers someözellikle insight into iyi incelenmesi but we have no instances
of it infecting
systems outsidebir Asia.tanesi de bu suç yazılımlarının DBIR gereken üç bölümünden day-to-day malware infections where the victim’s anti-virus (AV)
Nitol allows backdoor access and frequently causes infected
yarattığı olay ve sızıntıların incelendiği bu bölümdür. and intrusion prevention system (IPS) shields could not repel
systems to participate in DDoS attacks.
firepower of that magnitude.
Expanding online markets, where specialists offer cybercrimeAs expected, this incident pattern
consists mainly of
as-a-service,
became
a growing
trend
in 2013. A a
good
examplehizmet eden olaylar olduğu ve Bu kategorideki olayların çoğunun direk veya dolaylı finansal maçlara opportunistic infections tied to organized criminals with some
in the Netherlands was the wave of DDoS attacks on banks
bu omotive
layların suç rgütleri ile and
bağlantılı olduğu since
görülmelidir. kind of direct or indirect financial
(hence
theötitle
specific institutions
March, 2013. So-called
“booter
“crimeware”). Once malicious code has acquired a level of access
websites” have made this type of attack available to literally
and control of a device, the myriad possibilities to make a buck
anyone who wants to attack a company or institution. Naturally,
Suç yazılımları kategorisine gairen yother
azılımların hareket akıldığında are opened up for the attacker.
host of
malware families
madetarzlarına appearances b
last
year, but
these two stood out to us as worthy of a brief mention.
In not-so-shocking news, Zeus continues to be a favorite way
to make a buck with crimeware in 2013 (see sidebar for more
Figure 47.
detail). Zeus and its offspring, Citadel, primarily focus on
Top 10 threat action varieties within Crimeware (n=2,274)
stealing money via bank account takeovers, though they can also
be used for other functions. Zitmo (“Zeus in the Mobile”) also
86%
C2
shows up in the data.14
24%
Unknown
3.6.
Suç yazılımları Spyware/keylogger
ZEUS
Downloader
13%
10%
Zeus (sometimes called “Zbot”) is sort of the cockroach of
9%
Spam
malware. It has managed to survive and even thrive despite
many attempts to eradicate it. International arrests and the
6%
Client-side attack
supposed retirement of the original author have not slowed
4%
Backdoor
it down, and once the source code behind it was published,
other programmers could modify and extend Zeus for their
4%
DoS
own purposes, including evading antivirus software. In fact,
Adware 2%
Citadel started off as a variant of Zeus but has evolved
Victims don’t always report malware functionality, but when they
Figure 50.
substantially. Zeus can be used to install other malware
1%
Export C2
data
Top 10 assets affected within Crimeware (n=1,557)
do, they prefer
(according
to the most interesting CSIRTs
but often grabs login and banking credentials from within
in the world, at least). This makes perfect sense, as the goal is
Other
browsers. Despite the efforts of many, it has continued to
to achieve and maintain control of a device to command it to
(server)
elude the good guys that komuta are trying tokshut
it down.
ontrol merkezi üyesi (c2, command & control) yapayı amaçlayan hareketlerin ağır baskınlığı Other
do your bidding. Whether the little compromised minions are
19%
(user dev)
görülecektir. participating in a spam botnet, stealing banking credentials, or
VERIZON
ENTERPRISE
SOLUTIONS
hijacking a browser to artificially boost
ad revenue,
there
are
numerous ways to leverage compromised workstations that
Bu suç yazılımlarının tehdit vdon’t
ektörleri değerlendirildiğinde ise entail deeper
penetration into a network.
Web application
14%
(server)
Mail
13%
(server)
Other
10%
(people)
Desktop
Figure 48.
Top 10 vectors for malware actions within Crimeware (n=337)
Email link
2
5
BARİKAT BİLİŞİM GÜVENLİĞİ 4%
2%
Other
2%
Remote injection
1%
Unknown
1%
Removable media
1%
End-user
<1%
Mobile phone
<1%
(user dev)
5%
Download by malware
<1%
(people)
6%
Network propagation
The majority of crimeware incidents start via web activity —
downloads or drive-by infections from exploit kits and the like
— rather than links or attachments in email.15 Adware still shows
up, though Bonzi Buddy thankfully remains extinct. For malware
with a social engineering component, both scams and phishing
play important roles.16 Infected
assets usually weren’t identified,
but interestingly, those that were reported more servers than
user devices. Wow. So vectors. Much families. Many incident.
3%
Laptop
(user dev)
38%
Web download
Email attachment
Unknown
43%
Web drive-by
7%
(user dev)
Like us, your first reaction might be “why not technolog
IDS and AV?” This reflects the role of CSIRTs as the pri
provider of crimeware incidents in this dataset. The dis
method wasn’t known for 99% of incidents; it’s not usu
their visibility or responsibility. For all we know, CSIRTs
the 1% not discovered by AV or IDS. The discovery time
Figure 52 hints that this might, in fact, be the case. Not
difference in N between Figure 51 and Figure 52 and ho
infections are discovered within seconds — only autom
detection methods would be so quick.
Figure 51.
External vs. internal discovery methods within Crimew
(n=183)
25/37 External discovery
Internal discovery
16%
Verizon 2014 DBIR Değerlendirme Raporu web gezintilerinde sistemlere bulaşan ve webden erişilen dosyaların içinde bulunan suç yazılımlarının ağırlıklı tehdit vektörleri olduğu görülebilmektedir. Ülkemizde böyle bir araştırma yapılmış olsa da, tahminimiz ağ üstünden yayılma oranının daha yüksek çıkacağı yönündedir. Ancak web tabanlı saldırı vektörlerin baskınlığının ülkemiz için de geçerli olduğunu düşünmekteyiz. Ayrıca bu suç yazılımlarından etkilenen sistemlere bakıldığında Figure 50.
Top 10 assets affected within Crimeware (n=1,557)
Other
43%
(server)
Other
19%
(user dev)
Web application
14%
(server)
Mail
Other
10%
(people)
Desktop
tion
ent
Laptop
<1%
End-user
<1%
Mobile phone
<1%
(user dev)
38%
oad
(people)
6%
(user dev)
5%
3%
INSIDER AND
PRIVILEGE MISUSE
43%
e-by
7%
(user dev)
Unknown
WEB APP
ATTACKS
13%
(server)
or malware actions within Crimeware (n=337)
POINT-OF-SALE
INTRUSIONS
ays report malware functionality, but when they
2 (according to the most interesting CSIRTs
ast). This makes perfect sense, as the goal is
aintain control of a device to command it to
Whether the little compromised minions are
spam botnet, stealing banking credentials, or
er to artificially boost ad revenue, there are
o leverage compromised workstations that
er penetration into a network.
Like us, your first reaction might be “why not technologies like
and AV?”
This reflects ve the web role ofuygulamalarının CSIRTs as the primary
sunucu sistemlerinin, IDS
eposta sistemlerinin etkilenme oranlarının toplamın provider of crimeware incidents in this dataset. The discovery
ware 2%
büyük bölümü olduğunu görmekteyiz. Bu bileşenlerin istemciler için geçerli koruma tedbirlerinden method wasn’t known for 99% of incidents; it’s not usually within
her 2%
hariç tutulmaması ve htheir
atta visibility
özel tedbirlerin bu sistemler devreye alınması or responsibility.
For all weiçin know,
CSIRTs only
saw gerekmektedir. tion 1%
the 1% not discovered by AV or IDS. The discovery timeline in
Figure 52sunulmasına hints that this might,
in fact, be
the case.göz Notice
the
own 1%
Siber suçun ‘hizmet olarak’ yönelimin arttığını önünde bulundurmalıyız. Toplu difference in N between Figure 51 and Figure 52 and how many
olarak tüm bileşenlere (sunucu, uygulama vb) yönelik ve konuya metodolojik yaklaşmalıyız. Firma edia 1%
infections are discovered within seconds — only automated
düşüncemizse ülkemizde suç would
yazılımlarıyla detection
methods
be so quick. mücadelenin, genel güvenlik metodolojisinin rimeware incidents start olarak via web activity
—
ve-by infections from exploit
kits
and
the
like
parçası olarak düşünülmeden/tasarlanmadan ürün odaklı değerlendirildiğidir. Figure 51.
ks or attachments in email.15 Adware still shows
External vs. internal discovery methods within Crimeware
Buddy thankfully remains extinct. For malware
(n=183)
Daha doğru olduğuna inandığımız, kurum geneline yönelik farklı vektörleri adresleyen suç neering component, both scams and phishing
16
weren’t identified,
les. Infected assets usually
yazılımından korunma yaklaşımımızın detaylarını ve güvenlik metodolojisi içindeki yerini sizlere those that were reportedpaylaşmak more serversisteriz. than Bu amaçla 84%
Externalfirmamız discovery web sayfasındaki (www.barikat.com.tr) formaları veya diğer w. So vectors. Much families. Many incident.
yolları ([email protected]) kullanarak iletişime geçebilirsiniz. 16%
Internal
discovery bizlerle 4%
PHYSICAL THEFT
AND LOSS
link
MISCELLANEOUS
ERRORS
CRIMEWARE
als
ank
ent
nal
BARİKAT BİLİŞİM 71% GÜVENLİĞİ Seconds
Minutes
Hours
7%
32%
28%
CY
ESP
2
14%
64%
82%
Figure 52.
Discovery timeline within Crimeware
(n=1,017)
PAYMENT CARD
SKIMMERS
data within Crimeware (n=73)
26/37 Bluetooth, cellular transmission, etc.
All incidents in which a skimming device was physically implanted (tampering) on an asset that
reads magnetic stripe data from a payment
card (e.g.,
Figure
54. ATMs, gas pumps, POS terminals, etc.).
For a wide array of criminals ranging from highly organized crime
Assets affected within Card Skimmers (n=537)
industries
rings to gardenTop
variety
ne’er-do-wells
who are
turning out no
Finance,
Retail
Verizon 2014 DBIR good just like their mama warned them they would, skimming
ATM
87%
17
Frequency
(terminal) Değerlendirme Raporu continues to flourish
as a relatively easy
way
to
“get
rich
quick.
”
130 total incidents
Gas
terminal
9%
Eastern European actors,
While most incidents are linked to
(terminal)
130 with confirmed data disclosure
nearly all victims of payment card skimmers in this report are
Access reader 2%
(network)
U.S. organizations
(the
U.S. Secret Service
and
public
disclosures
There’s not
a ton
of variation
in this pattern at the VERIS level: criminal groups install skimmers
Key
findings
PED pad 2%
being the primary sources for this data).
While
some
don’t
think
on ATMs (most common) and other card swipe devices. On(terminal)
a more qualitative level, the skimmers
we should include this type of attackareingetting
the DBIR,
can’tinjustify
terminal
more we
realistic
appearance and morePOS
efficient
at exporting
2%data through the use of
(user dev)
excluding
a tried-and-true
method
used
criminals
steal etc. şahsını en çok ilgilendiren bölümdür. Bluetooth,
cellular transmission,
DBIR 2014 raporundaki bölümler iby
çerisinde otokuyucuların Backup 1%
(server)
payment card information.
Database 1%
(server)
Figure 53.
For a wide array of criminals ranging from highly organized crime Figure 54.
Mail 1%
Origin of external actors within Card Skimmers (n=40)
(server)
Assets affected within
Card Skimmers (n=537)
rings to garden variety ne’er-do-wells who are turning out no
Mainframe 1%
good
just like their mama warned them they would, skimming
Bulgaria
38%
ATM (server)
87%
(terminal)Proxy
continues to flourish as a relatively easy way to “get rich quick.”
1%
(server)
Armenia
Gas
terminal
18%
9%
While most incidents are linked to Eastern European actors,
(terminal)
In 2013, most skimming occurred on ATMs (87%) and gas pumps
nearly
all
victims
of
payment
card
skimmers
in
this
report
are
18%
Romania
Access reader 2%
(9%) due to
the relative ease with which they can be approached
(network)
U.S. organizations (the U.S. Secret Service and public disclosures
Brazil
8%
PED
pad
and
tampered
with.
2%Gas pump skimmers are often installed by
being the primary sources for this data). While some don’t think
(terminal)
a
small
group
of
people
acting in concert. One scenario involves
United
States
8%of attack in the DBIR, we can’t justify
we should
include this type
POS terminal 2%
(userconspirators
dev)
one
or
more
going into the station to make a
excluding
a tried-and-true method used by criminals to steal
Bosnia
and
2%
Backup
1%
purchase
and
distract
the
cashier’s attention, while a partner in
Herzegovina
(server)
payment card information.
crime
plants
the
device
inside
the machine using a universal key.
Cuba
2%
Database 1%
(server)
Figure
53.
Iran,
Islamic
ATM skimmers,
the other hand, are installed on the outside
2%
Mail on
1%
Republic
of
Origin of external
actors within Card Skimmers (n=40)
(server)
of the machine.
While some ATM skimming devices are clunky
Mexico
2%
Mainframe 1%
homemade(server)
affairs that might afford an opportunity for
Bulgaria
38%
Nigeria
2%
observantProxy
customers
1% to spot them, the design of many skimmers
(server)
Armenia
18%
(both those created by the criminal and those purchased
“off the
In shelf”)
2013, most
skimming
occurredinonappearance
ATMs (87%) and
gasthey
pumps
can
be
so
realistic
that
are
virtually
18%
Romania
(9%)
due to the
with
can be
approached
invisible
to relative
the endease
user.
Inwhich
mostthey
cases
they
can be snapped in
ATM sistemlerinin gerçekleşmesi için kullanılan en önemli bileşen olduğu Brazilbu saldırının 8%
and
tampered
with.
Gas
pump
skimmers
are
often
installed
by in sufficient
place in a matter of seconds and can be produced
a
small
group
of
people
acting
in
concert.
One
scenario
involves
görülmektedir. quantities to make the attacks scalable and highly organized.
United States
8%
one
or more
conspirators
goingthe
intonorm
the station
to make
a and warrants
This,
however,
has been
for some
time
Bosnia and
2%
purchase
and
distract
the
cashier’s
attention,
while
a
partner
in
Herzegovina
only a cursory mention in this report. What has changed
over
Ayrıca bu olayların gerçekleştiği ülkeler arasında ülkemizi görmemek sevindiricidir. Ancak bunun crime
plants
the
device
inside
the
machine
using
a
universal
key.
Cuba 2%
time, however, are the methods by which the data is retrieved by
gerçekten bu olayların ülkemizde daha az olması sebebiyle mi, yoksa bu rapora temel olan verileri theskimmers,
criminals.
Iran, Islamic 2%
ATM
on the other hand, are installed on the outside
Republic
of
üretmiyor olmamız sebebiyle mi olduğu bilinmemektedir. of the machine. While some ATM skimming devices are clunky
Mexico 2%
homemade affairs that might afford an opportunity for
2% REPORT
observant customers to spot them, the design of many skimmers
VERIZON 2014 DATA BREACHNigeria
INVESTIGATIONS
(both those created by the criminal and those purchased “off the
shelf”) can be so realistic in appearance that they are virtually
invisible to the end user. In most cases they can be snapped in
place in a matter of seconds and can be produced in sufficient
quantities to make the attacks scalable and highly organized.
This, however, has been the norm for some time and warrants
only a cursory mention in this report. What has changed over
time, however, are the methods by which the data is retrieved by
the criminals.
Description
3.7.
INSIDER AND
PRIVILEGE MISUSE
WEB APP
ATTACKS
Sahte Ödeme Kartı Okuyucuları PHYSICAL THEFT
AND LOSS
MISCELLANEOUS
ERRORS
CRIMEWARE
PAYMENT CARD
SKIMMERS
CYBERESPIONAGE
DOS
ATTACKS
EVERYTHING
ELSE
VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT
2
7
35
BARİKAT BİLİŞİM GÜVENLİĞİ 27/37 Verizon 2014 DBIR Değerlendirme Raporu 3.8.
Siber Casusluk DBIR 2014 raporun en iyi incelenmesi gereken bölümü olduğuna inanmaktayız. To set the tone, we need to understand the victims represented
Attribution is also probabilistic in nature. Be
within
the
data.
We
don’t
claim
to
cover
all
espionage
activity
in
intelligence vendors claiming to be 100% sur
Firmaların ticari sırlarının, rakipler veya rakiplerin vereceği bedellerin yüksek olacağını düşünen suç 2013 — quite far from it, actually. As is evident in Figure 57, the
actor group from Y country with Z motives; t
örgütleri tarafından, toplandığını ve periyodik olarak sızdırıldığını anlaşılmaktadır. sample is still largely (over half) U.S. based, but not as exclusively incorrect. There are many methods for deter
as in previous years. We expect this to continue as more global
— sometimes it’s following the breadcrumbs
organizations
join
the
cause.
We
can’t
help
but
wonder
why
we
Other timesbaşka it’s ruling
out the alternatives us
Ayrıca ülkelerin (veya altındaki/destekledikleri yapıların) dost düşman gözetmeksizin ülke have no examples of Italian victims of espionage in our dataset.
analysis of competing hypothesis.20 None of
sırlarına/kritik sistemlerine bu yolla ulaştıkları görülebilmektedir. are perfect. It’s important to carefully evalua
Our best hypothesis is that sophisticated actors remember the
to make sure one isn’t suffering from some ty
classic blunder of “go[ing] in against a Sicilian when death is on
bias.21 It would be more helpful if probabilist
the line”
when
selecting
targets
(the most famous blunder, of
Siber casusluk olaylarından hedef olan ülkeler incelendiğinde: Sherman Kent’s “Words of Estimative Probab
course, is getting involved in a land
war in Asia).
when describing attribution to particular cou
threat actors. With that in mind, the following
“Probable” and “Almost Certain.”
Figure 57.
Victim country within Cyber-espionage (n=470)
54%
United States
6%
South Korea
Japan
Russian Federation
4%
3%
State-affiliated
Organized crime
11%
Colombia
2%
Competitor
1%
Ukraine
2%
Former employee
1%
Vietnam 1%
Belarus 1%
Unknown <1%
As expected, most incidents in this category
to state-affiliated actors. But the data also r
Philippines 1%
organized criminal groups, competitors, and
former employees join in the game too. We al
Bu ülkeler arasında ülkemizin olması sevindiricidir. Ancak ülkemizin bu listede yer is not always the s
longer game
of espionage
In additionlistelenmemiş to geographic broadening,
we see a wide distribution
exhibits
a nearer-term,
more direct financial
of both sizes and types
of victim organizations.
Unfortunately,
almamasının, DBIR çalışmalarında kullanılmak üzere bulgu yollamadığımız için olduğunu An example would be a mercenary-style thef
victim size is often not tracked, so there are a lot of unknowns
düşünüyoruz . digital certificates contracted by a rival orga
here. Insofar as we can determine from the data before us,
interested party.
however, size doesn’t seem to be a significant targeting factor.
Saldırıların çeşitliliğine bIndustry,
akıldığında: on the other hand, does: the Public, Professional, and
Manufacturing sectors are more targeted by espionage than
Figure 59.
the rest of the field (which still runs a fairly wide gamut). There
Region of external actors within Cyber-espi
is little doubt that figures for the Public sector, which spans
Eastern Asia
embassies, economic programs, military, and other support
organizations, are boosted by our government contributors.
Unattributed
25
There is also little doubt that they are a prime target for
21%
Eastern Europe
espionage. Victims within the Professional, Scientific, and
Technical Services category typically deal with custom computer
Western Asia
4%
programming services, research and development, engineering
Northern America <1%
and design, and legal practices. Many of these organizations
are targeted because
of the contracts and relationships they
Europe <1%
have with other organizations. For some, they can serve as
Southern Asia <1%
both a valuable aggregation point
for victim data and a trusted
BARİKAT BİLİŞİM GÜVENLİĞİ 28/37 exfiltration point across several target organizations. Lastly, and
not unexpected, Manufacturing industries are also targeted for
their intellectual property, technology, and business processes.
Kazakhstan 1%
2
8
Figure 58.
Variety of external actors within Cyber-espi
tates
54%
6%
orea
INSIDER AND
PRIVILEGE MISUSE
within Cyber-espionage (n=470)
analysis of competing hypothesis.20 None of these methods
are perfect. It’s important to carefully evaluate information
to make sure one isn’t suffering from some type of cognitive
bias.21 It would be more helpful if probabilistic language like
Sherman Kent’s “Words of Estimative Probabilities”22 was used
Verizon 2014 DBIR when describing attribution to particular countries, regions, and
Değerlendirme Raporu threat actors. With that in mind, the following would fall between
“Probable” and “Almost Certain.”
WEB APP
ATTACKS
es of Italian victims of espionage in our dataset.
esis is that sophisticated actors remember the
of “go[ing] in against a Sicilian when death is on
electing targets (the most famous blunder, of
g involved in a land war in Asia).
Figure 58.
Variety of external actors within Cyber-espionage (n=437)
PHYSICAL THEFT
AND LOSS
4% the percentage of incidents
apan
o actor origin,
It’sState-affiliated
interesting that, while the array of tools is diverse, the87%
basic
East
is much less predominant in this year’s
methods of gaining access to a victim’s environment are not. The
ationAsia 3%
Organized crime
11%
ountries in particular, the People’s Republic of
most prolific is the old faithful: spear phishing. We (and others)
mbia 2% People’s Republic of Korea, represent
1%
Competitor
Democratic
have covered
this ad nauseam
in prior reports, but for both of
is
underscores
the
point
we
made
in
our
last
report
you
who
have
somehow
missed
it, here goes: A well-crafted and
raine 2%
Former employee 1%
our China-exclusive results, China definitely was
personally/professionally-relevant email is sent to a targeted
tnam 1%
<1%to open an attachment or click a link
Unknownthem
ountry conducting espionage.
user(s), prompting
within the message. Inevitably, they take the bait, at which
larus 1%
aset shows much more activity attributed to
Aspoint
expected,
most
incidents
in system,
this category
are attributed
malware
installs
on the
a backdoor
or command(siber casusluk olaylarının Devletle alakalı konuların fazlalığı görülebilmektedir. Bu çarpıcı gerçeğin 1% Russian-speaking ones in particular.
hstan
ean actors,
tochannel
actors.
But the begins
data also
us thatmoving
opens,
and
the
attacker
a chain
of actions
çoğunun devletle alakalı ostate-affiliated
lduğu) ülkemiz içinde geçerli ve dreminds
evletimizin sürekli siber saldırılara maruz don’t propose these are the
only active
regions/
pines 1%
and
organized
criminal
groups,
competitors,
andespionage
current23 incidents
toward their
objective.
The
proportion of
aged in espionage. More comprehensive
research
kaldığını düşünmekteyiz. former
employees
join inisthe
game
too.
Welast
also
see that
the 95%),
incorporating
phishing
lower
than
our
report
(it was
actor groups is continually driving better detection
longer
game
of espionage
always
the soleThis
motive;
it often
ographic broadening, we see a wide distribution
but not
because
of a dropisinnot
actual
frequency.
is primarily
n, and we hope future versions of this report will
nearer-term,
direct
financial element
as well.
d types of victim organizations.
to a big
inmore
the use
of strategic
web compromises
Siber cUnfortunately,
asusluk amacıyla exhibits
kdue
ullanılan sincrease
uç yazılımlarının s of those efforts. At a high
level,
there doesn’t
An
example
be aofmercenary-style
theft of source code or
ten not tracked, so there are a lot of unknowns
(SWCs)
as would
a method
gaining initial access.
ch difference in the industries targeted by East
digital certificates contracted by a rival organization or other
we can determine from the data before us,
tern European groups. Chinese actors appeared to
Figure 61.party.
interested
oesn’t seem to be a significant targeting factor.
er breadth of industries, but that’s because there
Vector for malware actions within Cyber-espionage (n=329)
other hand, does: the Public, Professional, and
mpaigns attributed to them.
sectors are more targeted by espionage than
Figure 59.
78%
Email attachment
ield
runs
a fairly
wide
gamut).
There
this (which
patternstill
that
sets
it apart
from
others
is the
Region of external actors within Cyber-espionage (n=230)
figures
for theMany
Public
which
spanshave
20%
fat
threat
actions.
ofsector,
the other
patterns
Web drive-by
Eastern Asia
nomic
military,
and
other support
s with programs,
relatively few
VERIS
actions.
Espionage
49%
4%
Direct install
re boosted
by our
government
contributors.
old
in a big way,
though
the specific
actions
Unattributed
25%
Downloaded by
le
that they
are readers.
a prime target
for
bedoubt
a surprise
to many
State-affiliated
malware 3%
21%
Eastern Europe
ms within
therange
Professional,
Scientific,
andhave
deploy
a wide
of tools (or
tools that
Email link 2%
ces
category typically
deal with
computer
capabilities),
which is evident
incustom
Figure 60.
Western Asia
4%
Email autoexecute <1%
ervices, research and development, engineering
Northern America <1%
legal practices. Many of these organizations
Network propagation <1%
ion varieties
within Cyber-espionage
(n=426)
cause
of the contracts
and relationships
they
Europe <1%
Remote injection <1%
organizations. For some, they can serve as
Southern Asia <1%
or C2 [hac] point for victim data and a70%
aggregation
trusted
Unknown <1%
nt across
several
target
organizations.
Lastly,
and
C2 [mal]
68%
Manufacturing industries are also targeted for
67%
shing [soc]
Instead of email bait, SWCs set a trap within (mostly) legitimate
eposta ile processes.
hedeflere daha çok ulaştırıldığı görülmektedir. Bu sebeple siber casusluğa konu olabilecek l property, technology, and
business
websites likely to be visited by the target demographic. When
kdoor [mal]
65%
kurum ve kuruluşların bu they
manada daha zel trap
tedbirler alması gerektiği açıktır. visit the
page,öthe
is sprung,
the system
infected,
and 60%
oader [mal]
the rest is the same as described above. Even if detected quickly,
57%
d data [mal]
provide
a very
high reward
for attackers. Furthermore,
Siber casusluğun hedefi oSWCs
lan vcan
erilerin neler olduğu incelendiğinde the industry has observed some maturation of the SWC
rt data [mal]
43%
technique, which assists the actors in focusing their targets and
ogger [mal]
38%
avoiding detection (see sidebar on next page for more on SWCs).
MISCELLANEOUS
ERRORS
CRIMEWARE
PAYMENT CARD
SKIMMERS
CYBERESPIONAGE
DOS
ATTACKS
37%
twork [mal]
37%
EVERYTHING
ELSE
t vuln [mal]
BREACH
INVESTIGATIONS REPORT
30%
creds [hac]
CAMPAIGN RESEARCH PUBLISHED IN 2013
ntrols [mal]
The DBIR focuses on overall trends and stats related
to espionage campaigns. Several of our contributors
have published in-depth research on specific actors and
campaigns,
some examples are listed below:
• Deputy Dog (FireEye), August-September
2013
• Ephemeral Hydra (FireEye),
November 2013
• MiniDuke (Kaspersky), February 2013
• Red October (Kaspersky), May 2007-January 2013
• Sunshop (FireEye), September 2011-October 2013 (But
likely ongoing)
28%
ootkit [mal]
24%
force [mal]
24%
force [hac]
2
9
umper [mal]
niffer [mal]
24%
BARİKAT BİLİŞİM GÜVENLİĞİ 19%
16%
raper [mal]
14%
Other [mal]
14%
39
29/37 Verizon 2014 DBIR Değerlendirme Raporu Figure 64.
Discovery timeline within Cyber-espionage
Figure 62.
Variety of at-risk data within Cyber-espionage (n=355)
Seconds 0%
85%
Internal
Minutes 0%
83%
Secrets
Hours
80%
System
Days
39%
Credentials
Personal
2%
Payment
1%
Years
Copyrighted <1%
Other <1%
dahili verilerin (Internal) Once
ağırlığı görülebilecektir. the phishing
email or SWC has done its work, and an
internal
system
is
infected,
the name of the game is moving
determinedly through the network to obtain the prize. This may
Siber casusluk saldırılarının fark edilmesine yönelik verilere bakıldığında ise happen quickly, but it also may last for years. Common methods
involving loading backdoors on systems
to maintain access,
85%
ernal
83%
crets
80%
stem
39%
ntials
5%
The most common method of discovery is ad
from threat intelligence and research organiz
observe, for instance, the victim communicat
infrastructure of a known threat group. While
per se, it does suggest intelligence operation
tool for combating espionage.
TOOLS OF THE TRADE: STRATEGIC WEBS
POINT-OF-SALE
INTRUSIONS
sk data within Cyber-espionage (n=355)
dropping
Figure
64.spyware/keyloggers and password dumpers to steal
user
credentials,
and
then Cyber-espionage
using those credentials
to elevate
Discovery timeline
within
(n=101)
privileges and expand control.
Seconds 0%
Figure 63.
Minutes 0%
Top 10 discovery methods within Cyber-espionage (n=302)
9%
Hours
85%
Total External
8%
Days
Total Internal
15%
16%
Weeks
67%
Ext
- unrelated party
Months
62%
Ext - law enforcement
16%
5%
Years
16%
Months
19%
Unknown
8%
Weeks
31%
Classified
9%
Strategic website compromises (SWCs) ha
an effective tactic of state-affiliated thre
the networks of target organizations. In 20
their debut with the “VOHO Affair”24 and co
with attacks focused against the Public, M
Professional, and Technical sectors.
WEB APP
ATTACKS
SWCs leverage websites that are of critica
complementary value to an industry’s line
31%
ified
distribute malware traditionally contained
19%
nown
emails. Visitors are hit with a drive-by dow
attackers access/ownership of the system
sonal 2%
8%
Int - antivirus
durumun ne derece vahim olduğu anlaşılabilecektir. Siber casusluk saldırıları, Amerika gibi bilişim SWCs in 2013 exhibited three new browse
ment 1%
The most common method of discovery is ad hoc notification
vulnerabilities (constituting over 75% of p
Int - NIDS 2%
ve bilişim güvenliği alanında ciddi kural ve yönetmeliklere sahip ülkeler için bile, ay mertebesinde from threat intelligence and research organizations that
ghted <1%
SWCs), which upped the rate of compromi
Int - reported
by user the
tespit edilebilmektedir. observe,
2%victim communicating with C2
for instance,
Other <1%
infrastructure of a known threat group. While this isn’t good news
So, why has the use of SWCs in espionage
Int - log review 1%
per se, it does suggest intelligence operations are an important
increased? Well, there’s no doubt that atta
değerlendirme raporumuzun farklı bölümlerinde siber casusluk saldırılarına özellikle dikkat ng email or SWC has doneBu its work,
and an
- unknown
1%
tool for Int
combating
espionage.
realized this tactic scales well and provide
is infected, the name of the
game is moving
çekmeye çalıştık. Siber casusluk saldırılarının artmasının önünde engel olabilecek bir husus da By opting out of
assurances
of ambiguity.
Other 1%
hrough the network to obtain
the
prize.
This
may
phishing, attackers
görülmemektedir. Ancak siber güvenlik saldırıları için alınabilecek tedbirlerin like
içerisinde; eldeki effectively remove
Ext - customer 1%
but it also may last for years. Common methods
from the tribulations of poor grammar, sca
imkanlarla ve iyileştirmelerle yapılabileceklerin yeri oldukça fazladır. g backdoors on systems to maintain access,
users. And by leveraging zero-day exploits
Ext - audit <1%
dumpers to steal
TOOLS OF THE TRADE: STRATEGIC WEBSITE COMPROMISE
re/keyloggers and password
higher success rate that no longer rely on c
s, and then using those credentials
elevate
Strategic
website
compromises
(SWCs)
have
proven
to
be
Güvenlik toüreticilerinin sürekli gündeme getirdiği teknolojik trendlerin yeri ise alınabilecek tedbirler actions.
Examining discovery timelines and methods for espionage
xpand control.
an
effective
tactic
of
state-affiliated
threats
to
infiltrate
arasında düşünüldüğü kincidents
adar fazla etkili değildir. reveals
ample
room for improvement. While this
In 2014, we’d like to predict SWCs will fad
the networks
of target
organizations.
In 2012,
SWCs made
information
is often
not known
or provided
(for
various
reasons,
seems unlikely. While there are downsides
24
with the and
continued there’s
in 2013
their debut
“VOHO
Affair”
including
the visibility
focus
of our and
contributors),
ry methods within Cyber-espionage (n=302)
attackers (high visibility and high cost to w
with attacks
focused
against
the Public,
Manufacturing,
state
enough
to discern
the general
of affairs.
It typically takes
burn a zero day), the benefits of a low-cost
Professional,
and
Technical
BARİKAT BİLİŞİM GÜVENLİĞİ sectors.
30/37 generally outweigh t
85%
ternal
victims
months or
more
to learn
they’ve been breached and it’s
long-term operations
usually
outsidewebsites
party notifying
them.
are
SWCsan
leverage
that
of critical or
ernal
15%
complementary value to an industry’s line of business to
67%
party
distribute malware traditionally contained in spear phishing
emails. Visitors are hit with a drive-by download, granting
INSIDER AND
PRIVILEGE MISUSE
PHYSICAL THEFT
AND LOSS
MISCELLANEOUS
ERRORS
CRIMEWAR
3
0
Verizon 2014 DBIR Değerlendirme Raporu Her şeyden önce siber casusluk konusu planlı bir dizi çalışma ve metodolojik yaklaşımı hak edecek derecede hassas bir bilişim güvenliği sorunudur. Doğru bir siber casusluktan korunma planı ve güvenlik metodolojisinde yerinin nereler olması gerektiğine dair firma görüşlerimizi sizlere paylaşmak isteriz. Bu amaçla firmamız web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları ([email protected]) kullanarak bizlerle iletişime geçebilirsiniz 3
1
BARİKAT BİLİŞİM GÜVENLİĞİ 31/37 Verizon 2014 DBIR Değerlendirme Raporu 3.9.
Servis Dışı Bırakma Saldırıları DBIR 2014 raporunda da bu kategorinin neden raporda olduğuna dair bazı açıklamalar yer almıştır. Firmamızın görüşü; DOS ve DDOS saldırılarıyla mücadele etmeye çalışmadan evvel; DOS/DDOS saldırılarına maruz kalabilecek sistemlerin kapasitelerinin belirlenmesi için yapılması gerekenler analizler olduğu yönündedir. Kurum ve kuruluşların devreye aldığı pek çok uygulamanın/sistemin beklenen kapasitenin çok altında performans göstermesi maalesef kolayca tespit edilebilecekken konu incelenmemektedir. Çeşitli teknik sebepler kapasitesi oranında performans gösteremeyen sistemlere yönelik gerçekleşen yoğun trafik ise DOS/DDOS saldırısı olarak da değerlendirilebilmektedir.. DOS ve DDOS saldırıları karmaşık bir konu olmamakla birlikte; bunlardan korunmak için bir dizi tedbirin eş zamanlı olarak aktif olması zaruridir. Eş zamanlı olarak devrede olması gereken tedbirlerin neler olduğuna dair firma görüşlerimizi sizlere paylaşmak isteriz. Bu amaçla firmamız web sayfasındaki (www.barikat.com.tr) formaları veya diğer yolları ([email protected]) kullanarak bizlerle iletişime geçebilirsiniz 3
2
BARİKAT BİLİŞİM GÜVENLİĞİ 32/37 Verizon 2014 DBIR Değerlendirme Raporu 4. Sonuç Ülkemizin özel ve devlet bilişim yapılarının, DBIR 2014 raporunda geçen tehditlerle karşılaşmadığını düşünmek aşırı iyimserlik olacaktır. Sistemlerimizle ilgili güvenlik olayları yaşamıyor olmanın geçerli ve sağlam bir güvenlik alt yapısından kaynaklandığını düşünmek ise zafiyete kapı açacak zararlı bir öz güvendir. Yıllardır güvenlik üreticilerin flaş teknolojilerine bütçe ayırıyor ve sadece ürünlerden sonuç bekliyor olmak sorunu çözmemiştir ve çözmeyecektir. Ürünler güvenliği sağlamak için kullanılan araçlardır. Esas katkılarını kurulduktan sonra (diğer IT sistemlerinden daha farklı olarak) etkin, güncel, sürekli ve bilinçli kullanılarak sağlarlar. Somut bir güvenlik metodolojisinin parçası olarak düşünülmedikleri ve buna istinaden temin edilmediklerindeyse sebepsiz bir araç olmanın ötesine geçememektedirler. İlk başta edinim sebepleri ne olursa olsun; sağlam bir güvenlik metodolojisine göre idame edilmediklerinde ve verimli kılınmadıkları sürece de; aslında var olmayan, sanal bir güvenlik hissi yaratırlar. Bu his, kurum ve kuruluşlara faydadan çok zarar getirir. Bilişim güvenliği ile ilgili ulusal bir bakışımızın oluşmasını bekler ve umarken; kurumsal ve sistemsel olarak tedbirlerimizi almak ise her pozisyonda görev yapan yöneticilerin ve çalışanların sorumluluğundadır. Firma olarak endişemizden biri, kritik sayılacak pek çok özel ve kamu sisteminin siber casusluk saldırılarına karşı gereken güvenlik seviyesinde olmadığıdır. Verizon 2014 Dbir raporuna göre siber casusluk saldırıları son bir yıl içerisinde 3 kat artmıştır. Buradaki tehdit kaynaklarının ülkemizin karşısında gördüğümüz ülkeler olduğunu düşünmek ise oldukça yanıltıcıdır. Siber casusluk saldırılarının, dost veya düşman olarak değerlendirdiğimiz pek çok ülke veya firma tarafından; ülkemiz devlet veya özel bilişim altyapılarına yapıldığını kabul ederek tedbirler almak durumundayız. Verizon DBIR 2014’de yer verilen güvenlik olaylarının (63,000 civarında olay) sadece %20’sini ilgili kurum veya kuruluşların kendisi fark etmiştir. Firma olarak endişelerimizden diğeri de bu oranın ülkemizde daha az olduğu ve fark etmediğimizin pek çok ihlalin gerçekleşe durduğudur. 3
3
BARİKAT BİLİŞİM GÜVENLİĞİ 33/37 Verizon 2014 DBIR Değerlendirme Raporu Tüm bunlar dikkate alındığında vardığımız çıkarımlar ve vurguladığımız verilerin işaret ettiği sonuçlar: •
Hızlı devreye alınabilen •
Kurumlara olayları fark etme kabiliyeti kazandıran •
Çalışanları prosedürlere boğmayan •
Bilgiyi kurumlara transfer etmeye imkan veren •
Atılması gereken adımları ve alınması gereken mesafeyi planlayan, ön gören güvenlik metodolojilerinin kurum ve kuruluşlarda hemen uygulanmaya başlanması gerektiği yönündedir. Firmamız araştırma ve geliştirme birimi; uygulanmaya başlandığı anda somut, ölçülebilir ve gözlemlenebilir faydaları olan yaklaşımları araştırmakta, geliştirmekte ve uygulanabilir bir metodoloji haline getirmektedir. Bu metodolojileri kurum ve kuruluşlarla paylaşmak bizleri mutlu edecektir. Saygılarımızla. 3
4
BARİKAT BİLİŞİM GÜVENLİĞİ 34/37 Verizon 2014 DBIR Değerlendirme Raporu 5. İLETİŞİM BİLGİLERİ İletişim Adresi: Mutlukent Mahallesi, 1961. cadde No: 9 / A-‐3 PK: 06800 Ümitköy, Ankara, Türkiye Telefon : +90 312 235 44 41 Faks : +90 312 235 44 51 Web Sitesi : www.barikat.com.tr Eposta : [email protected] 3
5
BARİKAT BİLİŞİM GÜVENLİĞİ 35/37 Verizon 2014 DBIR Değerlendirme Raporu 3
6
BARİKAT BİLİŞİM GÜVENLİĞİ 36/37

Verizon 2014 DBIR Değerlendirme Raporu

Transkript

Benzer belgeler

theory teori - Distributive Justice

Karavela Bilişim Adventure Game Project