Aktif Siber Savunma ve Geri Hack’leme Nedir?

Günümüzde dijital dünyanın olmazsa olmaz gerekliliklerinden biri de siber güvenlik. Küresel düzlemde teknoloji güvenlik araçlarına yönelik yatırımlar her geçen gün artıyor. Ancak bu alanda ağ takibi ve güvenlik yazılımı gibi olgular için gerçekleştirilen yatırımların ötesine geçilmesi gerektiği düşüncesi son yıllarda öne çıkıyor.

Bazı sistemlerden internet bağlantısını çıkarmak, otomasyonu daha sınırlı ölçüde kullanmak, sürece insan faktörünü daha yoğun şekilde katmak gibi fikirler gün geçtikçe daha fazla gündeme geliyor. Gündemdeki ilgi çeken yaklaşımlardan biri de aktif siber savunma (aktif savunma).

Adıyla yakın ilişki içerisinde yani ‘aktif olmayı’ esas alan bu yaklaşım, temelde siber saldırılarla mücadelede daha aktif önlemler almayı içeriyor. Bu arada aktif savunma yaklaşımının ‘geri hack’leme’ ile karıştırılması gibi bir durum söz konusu. Geri hack’leme, siber saldırgana saldırma şeklinde özetlenebilir. Aktif savunma ise daha farklı. Özellikle etik değerler, etkinlik ve yasaya uygunluk açısından…

NATO’ya göre aktif savunma, “Bir siber sızma, siber saldırı ya da yaklaşan bir siber operasyonu tespit etmeyi veya onun hakkında bilgi toplamayı, saldırı kaynağını önleyen, ayrıca karşı operasyon düzenlemeyi içeren proaktif önlem.”

“Doğru anlaşıldığı taktirde tehlikeli bir yaklaşım değil”

Ulusal Siber Güvenlik Onur Listesi’nde yer alan, Information Warfare and Security (Enformasyon Savaşları ve Güvenlik) başta olmak üzere birçok kitap yazan Prof. Dorothy Denning’e göre aktif savunma, doğru anlaşıldığı taktirde saldırgan ve tehlikeli bir yaklaşım değil. Denning’in Aktif Siber Savunma: Hava Savunmasını Siber Alana Uyarlama başlıklı makalesi kavrama, “Dost güç ve varlıklara yöneltilen siber tehdidi ortadan kaldırmak, boşa çıkarmak veya zayıflatmak için başvurulan doğrudan savunma yöntemi” ifadesi ile çok daha açık bir tanım getiriyor. Dolayısıyla tespit edilen bir sızmaya yönelik detaylı bir savunma hamlesi olduğu belirtiliyor. Savunma hamlesinin bir de sınırı olduğunun altı çiziliyor; “sizin alanınıza saldırı yapıldığı anda aktif siber savunma yapılır” deniliyor.

Bir diğer önemli isim ABD Siber Komutanlığı’nda 2011-2015 yılları arasında yöneticilik yapan Robert M. Lee ise “…Alanınıza giren kötü niyetli bir oyuncuya karşı aktif bir mücadeleye hazır olmalısınız. Başka birinin sahasına füze atmak saldırıdır, size atılan füzeyi gözetlemek pasif savunmadır. Üzerinize gelen füzeyi hava sahanızda vurup düşürmek ise aktif savunmadır.

Denning, ilgili bir başka örnekte, ‘sızma girişimlerini takip ederek kaynağın diğer ağ bağlantılarına erişimine engel olarak karşılık veren ve sistem yöneticisini uyaran sistem, aktif savunma örneğidir’ diyor. DDoS saldırısını önlemek için atılan adımları da aktif siber savunma için örnek gösterebiliriz. Pasif savunma ise iletişim ve veri depolamaya yönelik şifreleme sistemleri ile örneklendirilebilir.

Sun Tzu, Savaş Sanatı adlı meşhur kitabında şöyle der; “Yenilgi karşısında güvenliği koruyabilmek savunma taktiği gerektirir; düşmanı alt etmek içinse saldırıya geçmek gerekir.” Aktif siber savunmanın esası da budur.

Yaşanmış bir aktif savunma örneği

Gürcistan’da devlet bilgisayarlarına kötü amaçlı kodlar gönderen bir Rus siber korsan, aktif savunma ile açığa çıkarılmıştı. Kötü amaçlı yazılım, belirli sözcüklerin yer aldığı belgeleri arayarak elde ettiği verileri bir sunucuya yükledi. Gürcistan tarafından bu saldırıya aranan belirli sözcüklerin yer aldığı bir dosyaya ‘casus yazılım’ yüklenerek karşılık verildi. Belge araması yapılarak aynı sunucuya yüklenen doküman, siber korsanın veriyi yüklemesi üzerine kendi bilgisayarının hack’lenmesine yol açtı. Kimliği tamamen açığa çıkarılan siber korsan, çaldığı dosyaları Gürcistan hükümetine geri gönderdi.

Burada akıllara şu gelebilir? Acaba bu bir geri hack’leme mi? Yanıtı hayır, çünkü casus yazılım, siber korsanın bilgisayarına kendi eylemleri sonucunda yüklenmiş oldu.

Öte yandan tanıma ilişkin bariz belirsizlikler de aşikâr. Bunun nedeni başta da vurguladığımız gibi aktif siber savunmanın geri hack’leme ile karıştırılması. Hatta yakın zamandaki bir araştırma yazısında geri hack’leme ile aktif savunmanın ‘aynı anlama geldiği’ bile öne sürüldü. Bu tamamen yanlış, çünkü geri hack’leme saldırgana ‘onun kendi alanında’ saldırmayı temsil ediyor.

Etik bir aktif savunma stratejisi geliştirmek

DDoS saldırılarına engelleyebiliyorsanız zaten aktif savunmayı politikalarınıza yerleştirmişsiniz demektir. Dijital kayıtların tutulmasına yani log oluşturabilecek hizmetleri kullanıyorsanız da benzer şekilde aktif siber savunma yapıyorsunuz anlamı çıkar.

Temelde şirketler, bilmedikleri halde yoğun şekilde aktif savunma yapıyor. Bu noktada iş birliği de önemli. Aktif savunmanın olabilecek en zararsız şekilde uygulanabilmesinin kilit rol üstlenici unsurlarından biri de birlikte hareket edebilen organizasyonlar.  Tüm şirket, vb. yapıların kritik verilerinin korunmasına yönelik politikalarında önemli bir yere sahip ve her geçen gün daha fazla sayıda organizasyon pasif güvenlik tedbirleri ile yetinmek yerine aktif savunma tedbirlerine yöneliyor.