TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE)'nde uzun yıllar çalışmış bilgi güvenliği uzmanları tarafından kurulan BTYÖN, Red Team ihtiyaçlarınız için sizlere en iyi hizmeti sunmayı hedefler. Offensive Security Certified Professional (OSCP), TSE Kıdemli Sızma Testi Uzmanı ve Certified Ethical Hacker - CEH sertifikalı uzmanlar tarafından gerçekleştirilecek Red Team operasyonlari ile zafiyetlerinizi bulan ilk siz olun.
Siber güvenlik tehditlerinin kapsamı dinamikleşmekte ve devamlı değişmektedir. Bugün saldırganlar gelenekselleşmiş ve yeni geliştirilmiş teknikleri karıştırarak ortaya bir saldırı türü getirmektedirler. Bunlara ek olarak her gün yeni saldırı çeşitleri türetilmektedir. Şirketlerin güvenlik zincirindeki en zayıf nokta bulunmaktadır ve bu nokta kullanılarak şirketlere zarar verilmektedir. Şirketlerde bu tarz zayıf noktaların olmaması ve güvenlik zincirinin güçlendirilmesi için Red Team adı verilen bir operasyon çeşidi ortaya çıkmıştır.
Red Team operasyonlarındaki amaç, büyük resmi görerek organizasyonun altyapısına bu perspektifi kazandırmaktır. Organizasyonlara belli bir kurgu simulasyonu hazırlanarak test yapılmakta ve ortaya çıkan fiziksel, network, uygulama ve sosyal mühendislik zafiyetleri değerlendirilerek organizasyon bilgilendirilmektedir. Kurgu ne kadar iyi ise, organizasyon gerçek hayattaki saldırılara o kadar iyi hazırlanmış olacaktır.
Herhangi bir kurum ile Red Team operasyonu gerçekleştirilebilmesi için öncelikle Red Team değerlendirilmesi yapılması gerekmektedir ve bu değerlendirmeler kurumun siber güvenlik alanındaki savunma hattına göre çeşitlilik göstermektedir. Bu değerlendirme yapılarak Red Team operasyonunu gerçekleştirecek kişiler IT ve network altyapı mimarisine daha iyi bir kurgu ile operasyon düzenleyebilmektedir. Özellikle aşağıdaki ilişkilendirilen maddeler kurum içinde dikkatle incelenmelidir:
• Dijital değerler
• Fiziksel değerler
• Teknik işlemler
• Operasyonel işlemler
Yukarıdaki maddelerin değerlendirilmesiyle beraber, Red Team aşağıdaki üç soruya cevap verebilmelidir:
1. Organizasyon değerleri büyük bir siber saldırı ile karşılaşırsa, organizasyon içinde hangi etkiler meydana gelir? Finansal ve saygınlık anlamında kurumdan neler kaybedilir?
2. Bütün değerlendirmeler ve işlemler yapıldıktan sonra güvenilen bazı altyapılara herhangi bir saldırı olması durumunda etkileri ne olabilmektedir?
3. Kurumun değerleri ve işlemleri baz alındığında en kolay hangisi saldırıya maruz kalabilmektedir?
Organizasyon için gerekli işlemler ve değerlendirmeler yapıldıktan sonra çeşitli zafiyetler ve siber saldırılar için bir gereksinim listesi çıkarılmaktadır. Penetrasyon testleri gibi Red Team operasyonlarının da takip ettiği bir liste veya şema vardır; fakat bu liste daha kapsamlı ve tehdit vektörleri açısından daha detaylı olmaktadır. Aşağıdaki örneklerde Red Team operasyonlarının saldırı yüzeyinden bahsedilmektedir:
1. Email ve Telefon bazlı Sosyal Mühendislik Saldırıları: Oltalama saldırısı olarakta bilinen bu saldırılarda, kuruma veya organizasyona giriş amaçlı ilk kapı olarak denenmektedir
.2. Network servisleri: Sunuculardaki ve ağ trafiğindeki akışlar inceleme altına alarak zafiyet veya zayıflık bulma eylemleri gerçekleştirilmeye çalışılmaktadır. En zafiyetli olanları yanlış konfigüre edilmiş veya güncellenmemiş sunuculardır ve bu durumlar Red Team operasyonlarında eylemi gerçekleştiren ekibe büyük bir avantaj sağlamaktadır.
3. Fiziksel Katman: Bu seviyede, Red Team operasyonunda kurum içinde fiziksel olarak bir zafiyet bulunmaya çalışılmakta ve kurum içine bir çalışan sıfatıyla girilip herhangi bir kimlik bilgisi veya veri merkezi gibi önemli yerlere girilebilmekte mi test edilmektedir.
4. Uygulama Katmanı: Bu seviyede, Red Team operasyonunda kuruma ait tespit edilen herhangi bir uygulamaya zafiyet değerlendirilmesi gerçekleştirilmektedir ve bu değerlendirilme sonucunda listelenen tehdit vektörleri saldırılmaktadır.
Penetrasyon testleri uygulanırken takip edilen bir metodoloji olduğu gibi Red Team operasyonlarında da takip edilen bir metodoloji olmaktadır. Örneğin, bütün IT ve network altyapısı değerlendirilmekte ve belli kesitlere ayrıştırılmaktadır. Belirli fonksiyonlar üzerinden kritik noktalar belirlenmektedir. Bu noktalar belirli bir yazılım (Web Uygulaması vb.) veya fiziksel bir nokta içinde yapılabilmektedir. Red Team için yaygın olan metodoloji şöyle devam etmektedir:
1. Kapsam(The Scope): Bu nokta yapılacak olan operasyonun genel amacını ve kapsamını belirlemektedir. Örneğin:a. Saldırılacak hedefler listelenmelidir.
b. Operasyon kuralları belirlenmelidir.
c. Saldırı yüzeyine dahil edilmeyecek noktalar belirlenmelidir.
d. Kabul edilebilir bir zaman dilimi belirlenmelidir.
e. Kurumdan gerekli izinler alınmalıdır.
2. Keşif ve Bilgi Toplama(Recon): Bu fazda, organizasyon hakkında gerekli bilgiler ve veriler toplanarak Red Team operasyonuna katkı sağlanmaktadır. Bu faz Red Team operasyonu için en kritik ve gerekli kısımdır. Aşağıdaki örnekler durumu daha iyi açıklamaktadır:
a. Kurumun IP adres aralığı, portları ve ilgili servisleri tespit edilmektedir.
b. Mobil veya kablosuz ağ cihazları ile ilişkili API endpointleri tespit edilmektedir.
c. Çalışanların mail, sosyal medya profilleri, telefon numaraları, ID numaraları gibi bilgiler elde edilmektedir.
d. Herhangi bir çalışanın kimlik bilgileri hedef alınabilmektedir.
e. Network ve IT ile ilgili herhangi bir gömülü yapı varsa tespit edilmektedir.
3. Planlama ve Harita Çıkarılması: Bu kısımda, yapılacak olan saldırıların hangi noktalara yapılacağı ve saldırının haritası çıkarılması işlenmektedir. Aşağıda, örnek faktörler sıralanmaktadır:
a. Public olarak erişilemeyen subdomainleri belirlenmelidir.
b. Cloud tabanlı altyapılarda yanlış yapılandırmalar belirlenmelidir.
c. Zayıf kimlik doğrulama noktaları belirlenmelidir.
d. Network ve uygulamalardaki zafiyetler, zayıflıklar not edilmelidir.
e. Zafiyetler sömürüldükten sonra nereye kadar gidilmeli ve karşılaşılabilecek zafiyetler tespit edilmelidir.
f. Sosyal mühendislik scriptleri hazırlanmalıdır.
4. Saldırının Gerçekleştirilmesi: Bu nokta, planlanan girdi noktalarına saldırı gerçekleştirilmesi ve yapılan hazırlıkların hayata geçirilme kısmıdır. Aşağıda, örnek saldırılar sıralanmaktadır:
a. Hedef uygulamalardaki bilinen zafiyetler sömürülmektedir.
b. Yazılım geliştirmek için kullanılan uygulamalarına etki edinilmektedir.
c. IT ve network altyapısındaki yapılara erişim sağlanmaya çalışılmaktadır. Bu yapılar güvenlik duvarları, routerlar, sunucular, WiFi noktaları olabilmektedir.
d. Kullanıcı taraflı uygulamalara saldırı yapılmaktadır.(Çoğunlukla Web uygulamaları)
5. Dökümantasyon ve Raporlama: Bu kısım metodolojinin son fazı olarak düşünülebilmektedir. Organizasyona yapılan operasyonun içerdiği bileşenler ve sonuçlarından bahsedilmektedir. Raporun içeriği şunlardan bahsetmektedir:
a. Hangi tür saldırılar meydana gelmekte ve etkileri neler olmaktadır.
b. Bulunan zafiyetlerin ve zayıflıklarının güvenliğe etkilerinden bahsedilmektedir.
c. Sömürülen noktaların güvenlik derecelerinden bahsedilmektedir.
d. Alınan aksiyonlarda bulunan açıkların iyileştirme kısımlarından bahsedilmektedir.
e. Gerekli önlemler alınmadığı noktada neler olabileceğinden bahsedilmektedir.
Siber saldırılara karşı alınan cevapların doğrulaması: Yapılan operasyonlar sonucu ortaya çıkan zafiyetlerin ve saldırı yüzeyi belirlenmektedir. Kurumun savunma çizgi noktasında ne kadar güvenilir olduğu ve tehditlerle nasıl başa çıktığı doğrulanmış olmaktadır.
Güvenlik Risk Sınıflaması Yaratılmaktadır: Kurum içinde zafiyetler ve zayıflıklar belirlenmektedir. IT ve network altyapısına ait yapılandırmalar ve güvenlik güncellemeleri kontrol edildikten sonra kurumun güvenlik anlamında hangi risk sınıfında olduğuna dair bir sonuç belirlenmektedir.
Güvenlik Zafiyetleri Ortaya Çıkarılmaktadır: Yapılan operasyonlar sonucunda Red Team güvenlik noktalarındaki zafiyetleri ortaya çıkarmaktadır.
Sonuç
Özet olarak, sızma testi gibi Red Team operasyonları da kuruma güvenlik noktasında önemli yararlar sağlamaktadır. Sızma testinden en büyük fark olarak Red Team operasyonlarında bir siber saldırı kurgusu yaratılırken, sızma testinde ise bu kurgu hayata geçirilmektedir. Red Team operasyonlarında kutunun dışından bakılarak gerçek hayat senaryoları meydana getirilmektedir ve saldırı vektörleri de bunlar üzerine kurulmaktadır.
Bilgi güvenliği ile ilgili zafiyet ve açıklıklarınızı önce siz keşfedin! Güvenlik tarama testi ve sızma testi hizmetlerimizden faydalanın.
Bilgi güvenliğinizin yönetimini uluslararası kabul görmüş ISO27001 standardına uygun olarak gerçekleştirmeniz için yanınızdayız.
Bilgi teknolojileri güvenliği ile ilgili yapısal, teknik, organizasyonel ve süreç kaynaklı tüm eksiklerinizi raporluyoruz.