Siber güvenlik olayı nedir?

Bir siber güvenlik olayı, dijital varlıklar, bilgisayar sistemleri, ağlar veya verilerin güvenlik ihlalini içeren özel bir gizlilik olayıdır. Dijital güvenlik açıklarının kötüye kullanıldığı kötü amaçlı yazılım, bilgisayar korsanlığı saldırıları, veri ihlalleri veya DoS saldırıları gibi kasıtlı eylemlerle ilgili olayları kapsar. Siber güvenlik olayları, kapsam, etki ve önem derecesi açısından farklılıklar gösterebilir. Potansiyel zararların önlenmesi için bunların anında ele alınması ve yanıtlanması gerekir.

Siber güvenlik olaylarının güvenlik olayları ve gizlilik olayları ile alakası nedir?

Sonuç olarak, siber güvenlik olayı, gizlilik olaylarının yetkisiz erişime veya potansiyel hasara yol açan doğrulanmış dijital güvenlik ihlallerini içeren bir alt kümesidir. Güvenlik ilkelerinin önemli ölçüde ihlal edildiği anlamına gelir. Buna karşılık, güvenlik olayları olası tehditlere dair erken aşamalarında mevcut olan göstergelerdir ve BT ortamlarındaki olağan dışı etkinlikleri vurgularlar. Güvenlik olayları gizlilik olayların öncülü olabilecek olsa da, siber güvenlik olayı hem küçük güvenlik olaylarını hem de büyük gizlilik olaylarını kapsayan, daha geniş kapsamlı olarak kullanılan bir terimdir. Gizlilik olayları, bir kuruluşun ağının bütünlüğüne yönelik olarak gerçek zamanlı bir tehdit oluşturan etkinlikleri ifade eder. Kuruluşlar, siber güvenlik duruşlarını geliştirmek ve gizlilik olaylarına karşı korunmak üzere siber güvenlik olaylarını özenle izlemeli ve bunlara yanıt vermelidir.

Örneğin, siber güvenlik olayları için gerçek hayattan bir örnek olarak Mart 2023'te ChatGPT ile yaşanan olay gösterilebilir. OpenAI, bazı kullanıcıların kredi kartı bilgileri, e-posta kimlikleri, üyelik numaraları, adları ve adreslerinin başka kullanıcılar tarafından görülebildiğini kabul eden bir bildiri yayınlayarak bir ihlal yaşandığını kabul etmiştir. Bu bilgiler dokuz saatlik bir süre boyunca erişilebilir durumda kalmış ve bu zaman diliminde aktif olan kullanıcılar, bilgilerinin başka kullanıcılar tarafından görülebilme riskiyle karşı karşıya kalmıştır. Bu ihlal, ChatGPT tarafından kullanılan açık kaynaklı AI'daki bir hataya atfedilmektedir.

Siber güvenliğin her geçen gün artan önemi

Dijital çağda ilerleme gösterdiğimiz süreçte siber suçlarla ilişkili riskler de artmaktadır. CyberCrime Dergisi, siber suçların 2025 yılına kadar dünya genelinde yıllık 10 trilyon ABD doları üzerinde maliyete neden olacağını öngörmüştür. Bir kuruluşun siber güvenlik harcamalarına bütçe ayırırken yatırım getirisini hesaplaması zor olsa da bu, en önemli etmenlerden biri olmaya devam etmektedir. Bank of America CEO'su Brian Moynihan, siber güvenlik için harcama bütçelerinin sınırsız olduğunu ifade ederek siber güvenliğin önemine vurgu yapmıştır.

Siber güvenlik olaylarının inceliklerinin anlaşılması, bunların güvenlik olaylarından ve başka olaylardan ayırt edilmesi büyük önem taşır.

Güvenlik olayı ile gizlilik olayı arasındaki fark

Güvenlik olayı ile gizlilik olayı arasındaki farkı bilmek önemlidir. Güvenlik olayları, ağda bir güvenlik ihlaline yol açabilecek olayları ifade eder. Bir güvenlik olayının ihlale yol açtığı doğrulandığında, bu olaya gizlilik olayı denir. Bir gizlilik olayı, bir kuruluşun kaynakları ve varlıklarında risk veya hasar oluşmasına yol açar. Tespit edilen ihlale dayalı olarak, hasarı sınırlı tutmak ve olayın daha da kötüleşmesini önlemek için yeterli önlemler alınmalıdır.

Güvenlik olayları

Güvenlik olayları, bir tehdidi veya saldırıyı belirlemenin ilk adımıdır. Bir kuruluş günde binlerce güvenlik olayıyla karşı karşıya kalabilir. Ancak, tüm güvenlik olayları bir siber saldırıya işaret etmeyebilir. Örneğin, bir kullanıcının istenmeyen bir e-posta alması bir güvenlik olayını tetikler. Bir güvenlik olayının bir gizlilik olayına yol açıp açmadığını tespit etmek için bu olayların bir SIEM çözümü kullanılarak izlenmesi gerekir.

Bir ağda analiz edilmesi gereken en yaygın güvenlik olaylarından bazılarını aşağıda bulabilirsiniz.

Güvenlik Duvarları

Bir güvenlik duvarı, ağa giden ve ağdan gelen trafiği kontrol eder. Güvenlik duvarı günlükleri, saldırganlar tarafından gerçekleştirilen bir yetkisiz erişime dair ilk kanıtı sağlar. Bu sebeple, güvenlik duvarı günlüklerinden tespit edilen güvenlik olaylarının dikkatlice izlenmesi gerekir. Aşağıda, güvenlik duvarı günlüklerindeki izlemeniz gereken yaygın güvenlik ve gizlilik olaylarından bazıları listelenmiştir.

• Gelen veya giden trafikte ani artış: Gelen veya giden trafikte ani artış görülmesi, kritik bir güvenlik olayını ifade eder. Güvenlik duvarı günlükleri daha ayrıntılı olarak incelendiğinde, kuruluşunuzun tanımadığı kaynak IP adreslerinden birden fazla paket alınması olası bir DDoS saldırısına işaret ettiğinden, bu durum bir gizlilik olayı olarak ele alınır.
• Güvenlik duvarı ilkelerinde yapılandırma değişiklikleri yapılması: Güvenlik duvarı yapılandırmalarındaki değişiklikler, gizlilik olayı değil, güvenlik olaylarıdır. Ancak, ayrıcalıkları yakın zamanda yükseltilmiş olan bir kullanıcının güvenlik duvarı yapılandırmalarını değiştirmeye çalışması bir gizlilik olayı olarak adlandırılır.
• Güvenlik duvarı ayarlarında değişiklik yapılması: Güvenlik duvarı kurallarında yapılan değişiklikler, kötü amaçlı bir C2C sunucusundan veya verilerin sızdırılması için başka bir kötü amaçlı kaynaktan gelen ya da bu sunucuya giden trafiğe izin vermediği sürece normal olaylar olarak görülebilir. Bu gibi durumlarda, değişiklik bir gizlilik olayına dönüşür. Dolayısıyla bu değişikliklerin dikkatlice izlenmesi gerekir.

Kritik sunucular

İlgili sistemlerde güvenlik ihlalinin bulunması, ağın veya verilerin kontrolünün büyük ölçüde ele geçirilmesi anlamına geldiğinden, dosya sunucuları, web sunucuları ve etki alanı denetleyicileri gibi kritik sunucular, saldırılara karşı oldukça hassastır. Bu sunuculardaki tüm kullanıcı etkinliklerini ve yapılandırma değişikliklerini izlemek kritik önem taşır. Kritik sunucularda izlemeniz gereken yaygın güvenlik olaylarından bazılarını aşağıda bulabilirsiniz:

• Kullanıcı oturum açma işlemleri.
• Sunuculara erişmek için yapılan kullanıcı izin değişiklikleri.
• Sistem ayarlarında yapılan değişiklikler.
• Güvenlik yapılandırmalarında yapılan değişiklikler.

İnceleme sonrasında yukarıdaki olayların şüpheli bir kaynaktan geldiği veya olağan dışı kullanıcı davranışları gösterdiği açığa çıkarsa bunlar gizlilik olayı olarak kabul edilir.

İzlemeniz gereken yaygın olaylardan bazıları aşağıda listelenmiştir. Sunucuların işlevselliğine bağlı olarak, izleme için başka olaylar ekleyebilirsiniz. Örneğin, bir web sunucusunda, ekleme girişimleri için günlüklerin izlenmesi esastır.

Veritabanları

Veritabanları, çalışan bilgilerini, gizli iş verilerini ve daha fazlasının depolandığı konumlar olarak saldırganların en sık hedef aldığı yerlerdir. Veritabanlarındaki yaygın görülen güvenlik olaylarından bazılarını aşağıda bulabilirsiniz:

• Veritabanı tablolarında yapılan değişiklikler: Ayrıcalıklı hesap kullanıcıları tarafından bir veritabanındaki tablolarda yapılan değişiklikler güvenlik olayları olarak kabul edilir. Bu tür bir kullanıcı birden fazla tabloyu değiştirmeye devam ettiği takdirde bu durum bir gizlilik olayı olarak kabul edilir.
• Kullanıcı ayrıcalıklarında yapılan değişiklikler: Bir kullanıcının ayrıcalıkları veritabanı kaynaklarına erişmek amacıyla yükseltildiğinde, bu durum bir güvenlik olayı teşkil eder. Bu, yakın zamanda ayrıcalıkları yükseltilmiş olan kullanıcı, veritabanı yöneticileri güvenlik grubuna üye ekleyerek veya bu gruptaki üyeleri kaldırarak başka kullanıcıların ayrıcalıklarını değiştirmeye çalıştığı takdirde bir gizlilik olayına dönüşür.
• Hassas verilere erişim veya hassas verileri ayıklama: Hassas kurumsal bilgilere örnek olarak çalışan biyometrik bilgileri, müşteri kayıtları ve işlem bilgileri gösterilebilir. Bir kullanıcının veritabanından bu tür bilgileri ayıklamaya çalışması durumunda, bu durum bir gizlilik olayıdır.

Uç Noktalar

Dizüstü bilgisayarlar ve masaüstü bilgisayarlar gibi uç noktalarda tek bir günde çok fazla sayıda güvenlik olayı oluşur. Uç noktalarda izlemeniz gereken yaygın güvenlik olaylarından bazılarını aşağıda bulabilirsiniz:

• Başarısız oturum açma girişimleri: Bir kullanıcı yinelenen başarısız girişimlerden sonra cihazında oturum açtığında, bu durum bir güvenlik olayı olarak ele alınır. Böyle bir olayın ardından kullanıcının ayrıcalıklarını yükseltmeye çalışması bir gizlilik olayı oluşturur.
• Yazılımların yetkisiz bir biçimde yüklenmesi: Bir cihaza yazılımların yetkisiz bir biçimde indirilmesi ve yüklenmesi bir güvenlik olayı teşkil eder. Böyle bir uygulama başka uygulamaların işleyişine zarar verir ve cihazın arızalanmasına neden olursa, bu durum bir gizlilik olayı haline gelir.

Gizlilik olayları

Gizlilik olayları, bir saldırı veya güvenlik tehdidinin bir parçası olarak ağ kaynakları veya verilerin zarar gördüğü güvenlik olaylarıdır. Bir olay her zaman doğrudan hasara neden olmayabilecek olsa da kuruluşun güvenliğini riske atar. Örneğin, bir kullanıcının istenmeyen bir e-postadaki bağlantıya tıklaması bir gizlilik olayıdır. Bu olay doğrudan herhangi bir hasara neden olmasa da fidye yazılımı saldırısına yol açabilecek kötü amaçlı bir yazılımın yüklenmesine neden olabilir.

Ağınızda izlemeniz gereken gizlilik olaylarından bazılarını aşağıda bulabilirsiniz:

• Bilinen kötü amaçlı IP adreslerinden gelen trafik: Birkaç IP adresi, bunlar aracılığıyla gerçekleştirilen şüpheli kötü amaçlı etkinlikler nedeniyle kötü amaçlı olarak tanımlanmıştır. Kötü amaçlı IP adresleri ile ilgili bilgilere tehdit bilgileri veya tehdit akışı adı verilir. Kötü amaçlı kaynaklardan gelen trafiğin izlenmesi için, SIEM aracı gibi güvenlik çözümlerini, dinamik olarak güncellenen bu tehdit akışları ile ağ trafiği bilgileriniz arasında veri korelasyonu gerçekleştirecek biçimde yapılandırmanız gerekir. Böyle bir IP adresi ağa erişme girişiminde bulunduğunda, SIEM çözümünüz bu girişimi tespit ederek anında karşı tedbirler alabilir.
• Uç noktalarda şüpheli kötü amaçlı yazılım yükleme işlemleri: Her gün insanlara ekleri gerçek gibi görünen milyonlarca kötü amaçlı e-posta gönderilmektedir. Böyle bir ek, bu durumdan şüphelenmeyen bir kullanıcı tarafından açıldığında, cihaza kötü amaçlı yazılımlar yüklenebilir. Saldırgan, kötü amaçlı yazılım aracılığıyla kullanıcının cihazında depolanan hassas bilgileri ayıklayabilir veya kuruluşun ağ kaynaklarına giriş sağlayabilir; bunların her ikisi de bu durumun bir gizlilik olayı olarak kabul edilmesine neden olur.
• Bilinmeyen oturum açma girişimleri: Şirketler, uzak kullanıcıların kuruluşun ağına bağlanmasına yardımcı olmak için VPN hizmetlerinden faydalanır. Bir saldırgan uzak bir kullanıcının kimlik bilgilerini ele geçirme konusunda başarılı olursa, ağa erişim sağlayarak tam ölçekli bir siber saldırı başlatabilir. Bir kullanıcı kimlik bilgilerinde güvenlik ihlali bulunduğunu ve yakın zamanda ağa giriş yapmadığını bildirirse, bu durum BT yöneticisinin hızla yanıt vermesi gereken ciddi bir gizlilik olayına işaret eder.
• Ayrıcalık yükseltme işlemleri: Bir saldırgan kuruluşun ağına erişim sağladıktan sonra, kimlik bilgilerini kullandığı kullanıcı gibi davranarak ancak sınırlı düzeyde zarara neden olabilir. Bu nedenle de çoğu zaman attıkları bir sonraki adım ayrıcalık yükseltmesi yapmak olur. Ayrıcalık yükseltmesi, saldırganın daha geniş kapsamlı erişim elde etmesini ve dolayısıyla da ağ üzerinde daha fazla kontrol sahibi olmasını mümkün kılar.
• Kritik cihazların yapılandırmalarında yetkisiz olarak yapılan değişiklikler: Güvenlik duvarları gibi kritik hizmetlerde yetkisiz bir biçimde değişiklik yapma girişiminde bulunulması, ağda olası bir saldırı bulunduğuna işaret eder; dolayısıyla, bu durum bir gizlilik olayı olarak kaydedilir.
• Çıkarılabilir medya aracılığıyla kötü amaçlı yazılımların bulaştırılması: USB sürücüleri ve sabit diskler gibi çıkarılabilir medyaların bir iş istasyonuna takılması, ilgili harici cihaz kötü amaçlı yazılım içerdiği takdirde zararlı olabilir. Bir antivirüs sistemi kötü amaçlı yazılım içeren harici bir cihazı algıladığında, bir gizlilik olayı kaydedilir.
• Veritabanlarındaki verilerin manipülasyonu: Bir kuruluşun veritabanlarında bulunan verilerin yetkisiz bir kullanıcı tarafından silinmesi veya değiştirilmesi durumunda, bu durum bir güvenlik ihlali olarak adlandırılır ve kuruluşun ağında daha fazla hasar oluşmasını önlemek için BT yöneticisinin anında harekete geçmesi gerekir.

Kuruluşlar, siber güvenlik duruşlarını güçlendirmek ve siber savunmalarını potansiyel tehditlere karşı geliştirmek için siber güvenlik olaylarını titizlikle izlemeli ve yanıtlamalıdır. Bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümünün uygulamaya koyulması, bu tür olayların tespit edilmesi, yönetilmesi ve hafifletilmesinde etkili olabilir ve ağınızı koruma konusunda proaktif bir yaklaşım sunabilir.