Microsoft Digital Defense Report 2024 Analiz Serisi - Bölüm 1: 2024'ün Siber Tehdit Ortamı: Yeni Oyun, Yeni Kurallar Report this article
Halil ÖZTÜRKCİ Halil ÖZTÜRKCİ Published Nov 19, 2024
+ Follow
Siber uzayda tarih yeniden yazılıyor. Microsoft'un yakın zamanda yayınlanan Digital Defense Report 2024, siber güvenlik dünyasındaki dramatik dönüşümü gözler önüne seriyor. Artık bildiğimiz tüm kurallar değişiyor: devlet destekli aktörlerle organize siber suç grupları arasındaki sınırlar bulanıklaşıyor, yapay zeka destekli saldırıların sofistikasyonu artıyor ve hibrit savaş stratejileri dijital dünyayı yeniden şekillendiriyor.
Bu dönüşümün merkezinde çarpıcı bir gerçek yatıyor: Kuzey Kore'nin siber operasyonlarından elde ettiği gelirler, ülkenin nükleer programının finansmanının yarısından fazlasını karşılıyor. İran, siber saldırılarını artık sadece istihbarat toplama amacıyla değil, doğrudan finansal kazanç için de kullanıyor. Rusya ise Ukrayna'ya yönelik operasyonlarında siber suç gruplarıyla işbirliği yapıyor. Bu yeni dinamikler, geleneksel siber güvenlik yaklaşımlarını kökten sarsıyor.
Ancak tehdit ortamındaki bu dramatik değişim, savunma stratejilerinde de bir rönesansı tetikliyor. Yapay zeka destekli savunma mekanizmaları, proaktif tehdit avı teknikleri ve uluslararası işbirliği girişimleri, bu yeni tehditlere karşı umut vadeden çözümler sunuyor. Bu makalemizde, 2024'ün siber tehdit manzarasını derinlemesine inceliyor, dönüşen tehditleri ve evrimleşen savunma stratejilerini mercek altına alıyoruz.
Bu yolculukta sizlerle birlikte, devlet destekli saldırıların karanlık dünyasından, hibrit savaşın dijital cephelerine ve oradan da geleceğin savunma stratejilerine uzanan bir keşfe çıkacağız. Çünkü artık bir şey çok net: siber güvenliğin geleceği, dünün kurallarıyla yazılamayacak kadar farklı bir oyuna dönüşüyor.
Bu makale, Microsoft'un 2024 Digital Defense Report'unu derinlemesine analiz eden beş bölümlük bir serinin ilk parçasını oluşturuyor. Serinin devam eden bölümlerinde, yapay zekanın siber güvenlik üzerindeki etkilerini, kritik altyapı güvenliğini, demokratik süreçlerin korunmasını ve global AI güvenlik yönetişimine değineceğim. Her bir bölümde, hem Microsoft'un raporunda sunduğu zengin veri ve içgörülerini kullanacağız hem de kendi kişisel tecrübelerim ışığında pratik uygulamalar ve stratejik önerilerle bu iç görüleri birleştirerek, modern siber güvenlik profesyonellerine kapsamlı bir rehber sunmayı amaçlıyorum. Hadi gelin başlayalım.
Dönüşen Tehdit Ortamı: Yeni Nesil Siber Güvenlik Tehditleri
2024'ün siber güvenlik manzarası, geçmiş yıllardan çarpıcı biçimde farklılaşan bir görünüm sergiliyor. Microsoft'un son Digital Defense Report'u, bu dönüşümün en kritik boyutunu gözler önüne seriyor: Devlet destekli aktörler ile siber suç grupları arasındaki geleneksel sınırlar artık bulanıklaşıyor. Bu yakınsama, global güvenlik stratejilerinin yeniden değerlendirilmesini kaçınılmaz kılıyor.
Siber güvenlik uzmanları yıllardır devlet destekli tehdit aktörleri ile organize siber suç gruplarını ayrı kategorilerde değerlendiriyordu. Ancak Microsoft'un analizine göre, "Devlet destekli tehdit aktörleri finansal kazanç için operasyonlar yürütüyor, istihbarat toplamak için siber suçluları işe alıyor ve siber suç topluluğunun araçlarını kullanıyor." (sayfa 17) Bu trend, geleneksel tehdit modellerinin etkinliğini önemli ölçüde azaltıyor ve savunma stratejilerinde paradigma değişimini zorunlu kılıyor.
Kuzey Kore vakası, bu stratejik dönüşümün boyutlarını net bir şekilde ortaya koyuyor. BM verilerine göre Kuzey Koreli tehdit aktörleri, 2017'den bu yana 3 milyar dolardan fazla kripto para çaldı. 2023'te ise bu rakam 600 milyon ila 1 milyar dolar arasında gerçekleşti. Kritik olan nokta, bu fonların Kuzey Kore'nin nükleer ve füze programlarının finansmanının yarısından fazlasını karşılaması (sayfa 17).
Microsoft'un tespitlerine göre üç önemli Kuzey Kore kaynaklı tehdit grubu - Jade Sleet, Sapphire Sleet ve Citrine Sleet - kripto para organizasyonlarını hedef alan operasyonlarıyla öne çıkıyor. Daha da endişe verici olan gelişme, Moonstone Sleet adlı yeni bir Kuzey Kore aktörünün Mayıs 2024'te tespit edilmesi ve bu grubun FakePenny adlı özel bir fidye yazılımı geliştirmesi. Bu yazılımın havacılık ve savunma organizasyonlarında kullanılması, aktörün hem istihbarat toplama hem de finansal kazanç hedeflediğini gösteriyor.
İran kaynaklı tehdit aktörlerinin faaliyetleri, siber suç ekosisteminin nasıl evrildiğinin bir başka çarpıcı örneğini sunuyor. İsrail-Hamas çatışması sonrasında, İran'ın hedef aldığı kurumların yaklaşık %50'si İsrailli organizasyonlar oldu. Ancak dikkat çekici olan, saldırıların artık sadece istihbarat toplama amacıyla değil, doğrudan finansal kazanç elde etmek için de gerçekleştirilmesi (sayfa 18).
Özellikle İran Devrim Muhafızları Ordusu (IRGC) ile bağlantılı Cotton Sandstorm grubunun faaliyetleri, bu dönüşümü net biçimde yansıtıyor. Grup, Eylül 2023 ile Şubat 2024 arasında çalınan İsrail flört sitesi verilerini pazarlarken, kullanıcılara belirli bir ücret karşılığında profillerinin veri tabanından silinmesi teklifinde bulundu. Bu, geleneksel istihbarat operasyonlarının nasıl ticari bir boyut kazandığının çarpıcı bir göstergesi.
Microsoft'un tespitleri, Rus tehdit aktörlerinin giderek daha fazla ticari kötücül yazılım kullandığını ve bazı siber casusluk operasyonlarını suç gruplarına outsource ettiğini gösteriyor. Haziran 2024'te Storm-2049 (UAC-0184), Xworm ve Remcos RAT gibi suç gruplarıyla ilişkili araçları kullanarak en az 50 Ukrayna askeri cihazını kompromize etti. Bu kompromizasyonun belirgin bir siber suç amacı olmaması, grubun Rus hükümetinin hedefleri doğrultusunda faaliyet gösterdiğine işaret ediyor.
Daha da dikkat çekici olan, Haziran-Temmuz 2023 arasında, Federal Güvenlik Servisi (FSB) ile ilişkili Aqua Blizzard'ın 34 kompromize edilmiş Ukrayna cihazına erişimi siber suç grubu Storm-0593'e (Invisimole olarak da biliniyor) "devrettiği" gözlemlendi. Bu işbirliği, devlet destekli aktörlerle siber suç grupları arasındaki sınırların nasıl belirsizleştiğinin en somut örneklerinden biri.
Hibrit Savaş ve Modern Siber Çatışmalar
Modern çatışmalar artık sadece geleneksel savaş alanlarında değil, siber uzayda da yoğun şekilde yaşanıyor. Microsoft Digital Defense Report 2024, Ukrayna ve Orta Doğu'daki devam eden çatışmaların, siber operasyonların ve etki kampanyalarının nasıl kullanıldığını çarpıcı biçimde ortaya koyuyor. Bu faaliyetler, çatışma bölgelerinin coğrafi sınırlarını aşarak küresel bir etki yaratıyor.
Rusya'nın Ukrayna'ya Yönelik Çok Katmanlı Siber Stratejisi
Rus tehdit aktörleri, Ukrayna'nın askeri birimlerine ve onlara silah tedarik eden uluslararası ortaklara yönelik sofistike bir istihbarat toplama stratejisi izliyor. Haziran 2023'ten bu yana, Rus askeri istihbaratı (GRU) ve FSB ile bağlantılı tehdit aktörleri, en az iki farklı yaklaşım benimsedi.
Microsoft'un gözlemlediği ilk yaklaşım, USB üzerinden yayılan solucanların kullanımı. FSB bağlantılı Aqua Blizzard, günlük 500-750 Ukrayna bazlı cihaza, USB üzerinden dağıtılan Windows ShortCut dosyası ve gizlenmiş Powershell veya VBScript aracılığıyla erişim sağlamış. Bu scriptler, belirli dosya türlerinin çalınmasını kolaylaştıran komuta ve kontrol altyapısı kuruyor (sayfa 19).
İkinci yaklaşım, Amadey Bot ve torrent kullanımını içeriyor. FSB bağlantılı Secret Blizzard ve GRU bağlantılı Seashell Blizzard, mümkün olduğunca çok cihaza erişim sağlayarak ilgi alanlarındaki cihazları belirlemeye çalışıyor. Secret Blizzard, çok amaçlı Amadey botları gibi üçüncü taraf enfeksiyonlarını ele geçirerek, operatörlerin ilk aşama backdoor'larını dağıtıp dağıtmamaya karar vermesine yardımcı olan özel bir keşif aracı indiriyor (sayfa 19).
Çin'in Güney Çin Denizi'ndeki Siber Operasyonları
Çin merkezli siber aktörler Raspberry Typhoon, Flax Typhoon ve Granite Typhoon, Güney Çin Denizi çevresindeki BT, askeri ve hükümet çıkarlarıyla ilişkili kuruluşları yoğun şekilde hedef alıyor.
Raspberry Typhoon'un faaliyetleri özellikle dikkat çekici. Grup, Haziran 2023'te Endonezya, Çin ve Amerika Birleşik Devletleri'ni içeren bir deniz tatbikatı öncesinde, Endonezya'daki askeri ve yönetici kurumları ve Malezya denizcilik sistemlerini başarıyla sızmış. Benzer şekilde, Flax Typhoon ABD-Filipinler ortak askeri tatbikatlarıyla bağlantılı kuruluşlara odaklanmış (sayfa 21).
Ağustos 2023'ten bu yana, Flax Typhoon hedeflerini Filipinler, Hong Kong, Hindistan ve Amerika Birleşik Devletleri'ndeki BT ve hükümet kuruluşlarını içerecek şekilde genişletmiş. Bu, Çin'in bölgedeki stratejik çıkarlarını korumak için siber operasyonları nasıl kullandığının açık bir göstergesi.
Operasyonel Teknoloji Sistemlerine Yönelik Artan Tehditler
Modern hibrit çatışmalarda kritik altyapı, hem fiziksel saldırıların hem de siber saldırıların ana hedefi haline gelmiş durumda. 2023'ün sonlarından bu yana, Microsoft internete açık, zayıf güvenliğe sahip OT cihazlarına yönelik saldırılarda önemli bir artış gözlemlemiş. Bu durum özellikle endişe verici çünkü bu sistemlerin çoğu:
- Yamalanmamış durumda
- Varsayılan şifreler kullanıyor
- Bazı durumlarda hiç şifre kullanmıyor (sayfa 20)
ABD'deki su ve atık su sistemlerinde (WWS) internet erişimine açık OT ekipmanları, Ekim 2023 - Haziran 2024 arasında İran Devrim Muhafızları Ordusu (IRGC) bağlantılı CyberAv3ngers (Storm-0784) ve Rusya yanlısı hacktivistler dahil olmak üzere farklı devlet destekli aktörlerin saldırılarına maruz kalmış.
Bölgesel Savunma Stratejilerinin Evrimi
Japonya örneği, modern hibrit tehditlere karşı kapsamlı bir ulusal savunma stratejisinin nasıl olması gerektiğini gösteriyor. Üç önemli devlet destekli tehdit aktörünün (Rusya, Çin ve Kuzey Kore) gölgesinde yaşayan Japonya, Aralık 2022'de Ulusal Güvenlik Stratejisi'ni revize etti. Bu strateji, siber güvenliği ilk kez ulusal güvenlik meselesi olarak tanımlayarak Aktif Siber Savunma (ACD) girişimini başlatmış (sayfa 16).
Japonya'nın yaklaşımı şu kritik adımları içeriyor:
- 2027'ye kadar 20,000 personele sahip yeni bir Siber Komutanlık kurulması
- Kabine'nin siber güvenlik merkezinin (NISC) daha fazla yasal ve düzenleyici yetkiye sahip yeni bir hükümet ajansına dönüştürülmesi
- IT sistemleri ve tedarik zinciri yönetiminin güvenliğini güçlendirmek için ISMAP gibi gelişmiş sertifikasyon sistemlerinin devreye alınması
Bu stratejik yaklaşım, modern hibrit tehditlere karşı kapsamlı bir ulusal savunma çerçevesinin nasıl oluşturulabileceğine dair önemli dersler sunuyor bize.
Yeni Nesil Tehditler ve Modern Savunma Stratejileri
2024'ün siber güvenlik manzarasını şekillendiren tehdit trendleri ve bunlara karşı geliştirilen savunma stratejileri, siber güvenlik dünyasının nasıl hızla evrildiğini bize gösteriyor. Yapay zekanın hem saldırı hem de savunma tarafındaki artan rolü, bu dönüşümün merkezinde yer alıyor.
Tehdit aktörleri, yapay zekayı artık bir güç çarpanı olarak kullanıyor ve bu durum siber güvenlik savunmasını her zamankinden daha karmaşık hale getiriyor. Microsoft'un analizlerine göre, özellikle hedef belirleme ve sosyal mühendislik saldırılarında AI'ın kullanımı, saldırıları tespit etmeyi ve önlemeyi giderek zorlaştırıyor. "AI destekli siber tehditlere karşı savunma, AI araçları yardımıyla bile olsa, bu tehditleri tespit etmek ve savunmak daha zor olacak" (sayfa 89).
Pandemi sonrası dönemde QR kodların günlük hayatımıza hızlı entegrasyonu, tehdit aktörlerine yeni bir saldırı vektörü sunmuş durumda. Microsoft'un gözlemleri, 2023'ün ortalarından itibaren QR kod tabanlı phishing saldırılarında ciddi bir artışa işaret ediyor. Bu saldırılar, büyük ölçekli hesap ele geçirme operasyonları ve iş e-postası kompromizasyonu (BEC) saldırıları için verimli bir zemin hazırlıyor (sayfa 34).
Kritik altyapılar üzerindeki tehditler de evrim geçiriyor. DDoS ve özellikle "loop saldırıları" gibi yeni nesil tehditler, altyapı sistemlerini hedef alıyor. Helmholtz Bilgi Güvenliği Merkezi'nin araştırmasına göre, loop saldırıları dünya çapında 300,000'den fazla uygulama sunucusunu etkileme potansiyeline sahip. TFTP, DNS ve NTP gibi temel protokolleri hedef alan bu saldırılar, servis kalitesinde ve ağ performansında ciddi bozulmalara yol açıyor (sayfa 50).
Bu gelişen tehdit ortamına karşı savunma stratejileri de hızla evrilmek zorunda kalıyor. Microsoft'un SOC operasyonlarındaki deneyimleri, yapay zeka destekli savunma mekanizmalarının önemli avantajlar sağladığını gösteriyor. Veriler, yeni güvenlik analistlerinin AI desteğiyle %26 daha hızlı çalışabildiğini ve tüm görevlerde %44 daha yüksek doğruluk oranı elde edildiğini ortaya koyuyor (sayfa 96).
Modern savunma yaklaşımı, bütünsel bir bakış açısıyla şekilleniyor. Bulut varlıkları, yerinde cihazlar, veriler, kimlikler ve IoT sistemlerini kapsayan tek pencere görünümü, kritik varlıkların kapsamlı haritalandırması ve olası saldırı yollarının sürekli izlenmesi, bu yaklaşımın temel bileşenlerini oluşturuyor (sayfa 61).
Uluslararası standartlar da bu dönüşüme ayak uyduruyor. ISO/IEC 42001 ve 27090 standartları, AI sistemlerinin güvenliğini sağlamak için risk bazlı süreçlerden tedarik zinciri güvenliğine, güvenlik tehditlerinin belirlenmesinden ele alınmasına kadar kapsamlı bir çerçeve sunuyor (sayfa 105).
2024 ve sonrası için öngörüler, otomatik dolandırıcılık ve seçimlere müdahale, zararlı içerik üretimi, deepfake tabanlı saldırılar ve siber saldırı altyapısının otomatizasyonu alanlarında artış beklendiğine işaret ediyor (sayfa 87). Bu gelişen tehdit ortamında başarılı olmak isteyen organizasyonlar, yapay zeka entegrasyonunu hızlandırmalı, proaktif savunma stratejileri geliştirmeli ve uluslararası işbirliğine önem vermeli. Modern siber güvenlik ortamında sürdürülebilir başarı, bu stratejilerin bütüncül ve koordineli bir şekilde uygulanmasına bağlı. Organizasyonlar, sadece mevcut tehditlere karşı savunma geliştirmekle kalmamalı, aynı zamanda sürekli öğrenme ve adaptasyon kabiliyetlerini de güçlendirmeli. Çünkü yarının tehditleri, bugünün savunma mekanizmalarını çoktan aşmış olabilir.
Makale serisi devam edecek. Bir sonraki makalede görüşmek üzere.
