Sizce Kontroller ile kastedilen nedir? Target veri ihlalini aklayan bu makalenin yazar, farkl kontrollerin Target iin bu kt olay nleyebileceini savunuyor. Yazarn nermesine katlmadan veya katlmadan nce, size unu soraym: Hedef durumundaki "kontroller" terimleriyle yazarn ne demek istediini dnyorsunuz?

Target Corporation, Walmart'n ardndan Amerika Birleik Devletleri'ndeki en byk ikinci indirimli maaza perakendecisidir ve S&P 500 Endeksinin bir bileenidir. Halk arasnda "Tar-jay" olarak da bilinir.

stismar ve kaybedilen varlklar

27 Kasm 2014 ile 15 Aralk 2014 arasnda Target'n gvenlik a hedeflendi ve saldrganlar yaklak 2000 Target maazasndan alnan yaklak 70 milyon kredi kart verisini alabilirdi. 11 GB'n zerinde verinin alnd tahmin ediliyor. Bu ihlal, sat noktas (POS) sistemlerindeki verilere eriilerek yapld. oklu saldr vektrleri tasarland ve retildi. Satclar kimlik av saldrsna urad. A ayrm yoktu, sat noktas sistemleri bellek kazyan kt amal yazlmlara kar savunmaszd ve Target tarafndan kullanlan alglama stratejileri baarsz oldu.

Yeterli kontrollerin alnmamas

zleme yazlm (FireEye) izinsiz girii tespit edebildi ve ardndan Hindistan, Bangalore'deki personeli uyard. Bangalore ofisi de Minneapolis'teki Target muadillerini uyard, ancak sorunu hafifletmek iin herhangi bir ilem yaplmad. Hedef, ancak Adalet Bakanl onlarla temasa getiinde harekete geti.

Gvenlik a byle kullanld

Saldrganlar, gvenlik yamalarn ve sistem gncellemelerini datmak iin Target ve platform (Microsoft sanallatrma yazlm), merkezi ad zmlemesi ve Microsoft System Center Configuration Manager (SCCM) hakknda iyi miktarda aratrma yapt. Target'n HVAC satclarnn bir listesini karabildiler.

Satc soutma satclarndan biri olan Fazio Mechanical, bir Kt Amal Yazlm (Citadel parola alan bir bot program) yklemek iin e-posta yoluyla dolandrld. Kt amal yazlm satcnn kimlik bilgilerini ald ve saldrganlar Target'n satc portalna eriebilir. Saldrganlar daha sonra yanl yaplandrlm sistemlerde gvenlik a bulabilir ve bylece aa szabilir. Kantlanmam kaynaklar, Fazio'nun kurumsal srm yerine Malwarebytes kt amal yazlmdan koruma yazlmnn cretsiz srmn kullandn iddia etti. cretsiz srm, istee bal bir tarayc olduu iin gerek zamanl koruma salamad.

Saldrganlar aa szdktan sonra, kt amal yazlm ("Kaptoxa") POS sistemlerine byk olaslkla otomatik bir gncelleme ilemi araclyla yklemeyi baardlar.

Daha sonra kt amal yazlm, kaydrldnda 2000 POS'a yaylm POS sistemlerinden tm kredi kart ayrntlarn alabilir. Veriler bir .dll dosyasna kaydedildi ve 139, 443 veya 80 numaral balant noktalar zerinden geici bir NetBios paylamnda sakland.

Kredi kartlar alnd ve karaborsada veya karanlk ada satld.

Mali Kayp

Target'n veri ihlali ona dorudan 252 milyon dolara mal oldu. Bu maliyetin 90 milyon dolar sigorta tarafndan karland. Ayrca, 31 Ocak'ta sona eren 2014'n drdnc eyrei iin ihlalle ilgili net giderler iin 4 milyon dolar harcamak zorunda kald. O mali ylda, Target, ihlalle ilgili 191 milyon dolarlk net harcama yapmak zorunda kald ve bunun 46 milyon dolar geri dendi. sigorta kapsamndadr. Drdnc eyrek iin Target, nc eyrekteki 352 milyon dolarlk kara kyasla 2,6 milyar dolarlk net zarar bildirdi.

tibar Kayb

Bu durumda, irketin YouGov'daki "Buzz puan", Target'n ihlali duyurmasnn ertesi gn 20 Aralk 2013'te 35 puan derek -9'a dt. 23 Aralk Pazartesi gn -19'a daha da dt. ABD tarihindeki trnn en byk ikinci olay olarak nitelendiren adalet bakanl.

Vaka almas: Hedef hlalini nleyebilecek Kritik Kontroller7

Tehdit modelleme ve risk ynetiminin tamam bu makalenin kapsam dndadr, ancak zorunlu uyumluluk ynergelerine gvenmenin Target' muazzam veri kaybndan korumak iin yeterli olmadn anlamak nemlidir. Tehdit Modelleme: Gvenlik iin Tasarm Adam Shostack (Shostack, 2014) tarafndan bu konu derinlemesine ele alnmaktadr. Sat Noktasnn Korsanl: Slava Gomzin tarafndan yazlan deme Uygulamas Srlar, Tehditler ve zmler (Gomzin, 2014), POS sistemleri iin belirli gvenlik aklar sunar. irketler ayrca ISO 27001/27002/27005 veya NIST 800-30/800-53 (J. Popp, kiisel grme, 2014) gibi ortak risk erevelerini kullanabilir.

letmelerin ii, riskleri ve olas kayplar anlayan yeterli sayda gvenlik uzman altrmas gerekir. Gvenlik personelinin, ortaya ktklarnda yeni potansiyel tehditleri ve gvenlik aklarn anlamak iin tetikte olmas gerekir. Yeni saldrlar, dahili sistem gnlklerinde grnebilir veya sektrde gvenlik aklar veya gvenlik olaylar veya olaylar olarak bildirilebilir. Kurulular, Gelimi Kalc Tehditlerin (APT'ler) kendilerini hedef aldn ve saldrlarn doasn anlamaldr (Ferraro, 2013).

2.2. Derinlemesine Savunma

"Bir gvenlik sistemi ancak en zayf halkas kadar gldr" (Ferguson, Schneieir ve Tadayoshi, 2010). Mlknzn nne byk, gl bir kap kurarsanz, ancak arka itte bir hrszn girebilecei kadar byk bir delik varsa, kap kolayca baypas edilebilir. Arka itteki delii izlemek iin kameralar kurmak, ancak kameralar 7 gn 24 saat izleyecek birini tutmamak hrszl nlemeyecek ve kameralar etkisiz hale getirecektir. Son zamanlardaki ihlaller, inat dmanlarn verileri almak iin eriim sistemlerine ulamak iin srekli olarak en zayf halkay aradklarn gstermektedir. Derinlemesine Savunma, Ulusal Gvenlik Tekilat (NSA) tarafndan oluturulan gvenlik iin katmanl bir yaklamdr. Tek bir koruma baarsz olabilir, bu nedenle i varlklarn korumak iin ok sayda koruma ve kontrol kullanlr (SANS Enstits, 2014a, s. 6).

Son zamanlarda byk ihlaller yaayan birok iletme, ifreleme stratejileri kullanr. Ne yazk ki, ifreleme genellikle dzgn bir ekilde uygulanmaz ve datlmaz. ifreleme kendi bana sistemleri korumaz. ifrelemenin etkili olabilmesi iin tm sistemleri kapsaml bir ekilde koruyan salam bir gvenlik stratejisi gereklidir. rnein, bir ifreleme algoritmas ve byk bir anahtar, eer

Teri Radichel, teri@radicalsoftware.com

Vaka almas: Hedef hlalini nleyebilecek Kritik Kontroller8

verilerle birlikte saklanan ifreleme anahtarna sahip olun. Bilgisayar korsanlar veya kt niyetli kiiler, sisteme kolayca eriecek ve verilerin ifresini zmek iin anahtar kullanacaklardr (Ferguson, Schneieir, & Tadayoshi, 2010, s. 12). ifrelemenin etkili olabilmesi iin, anahtar da koruduunuz ve ilenmek zere verilerin ifrelenmemi olmas gereken sistemlere eriimi koruduunuz derinlemesine bir savunma stratejisi uygulamanz gerekir.

Target'n gvenlik teknolojisine ok para harcad bildirildi (Capacio, 2014). Sistemler ifreleme kullansa da, verilere ifrelenmemi bellekten eriildii iin ifreleme ie yaramaz hale getirildi. Belli bir dzeyde ayrma olmas muhtemel olsa da, gvenlik a bulunan yaplandrma ve hesaplar, ayrma stratejilerinin atlanmasna izin verdi. Pahal izleme yazlmlar almalarna ramen, personel yeterli deildi, iyi eitimli deildi veya yetersiz sreler, Target'in bilgilendirildii ancak ihlali durdurmak iin hibir ey yapmad belirlendiinde, bu sistemleri bir varlk yerine bir ykmllk haline getirdi.

Derinlemesine Savunma, gvenlik katmanlar gerektirir, ancak her katmandaki en zayf halka bir sonrakine eriim salayabilir. Grne gre Target tarafndan kullanlan her bir savunma katmannda, saldrganlarn en hassas verilerinin bir ksmna erimesine izin veren gvenlik aklar vard.

2.3. Kritik Kontroller

2008'de federal hkmet, dier eitli siber gvenlik listelerine ve ynergelerine dayal olarak bir Kritik Kontroller listesi hazrlamak iin kamu ve zel kurululardan oluan bir konsorsiyum ayarlad. Kritik Kontroller, bilinen saldrlarn etkili bir ekilde nlenmesine ve tespit edilmesine yardmc olduklar iin listeye eklenmitir (SANS Enstits, 2014d). Siber Gvenlik Eylemi Konsorsiyumu (CCA), Kritik Kontrolleri dzenli olarak gnceller (Dell Secure Works, 2014). Aadaki tabloda 20 Kritik Kontrol listelenmektedir. Sans Enstits web sitesi, http://www.sans.org/critical-security-controls (SANS Enstits, 2014c) adresinde her kontrol hakknda daha fazla ayrnt salar.

20 Kritik Kontrol

1: Yetkili ve Yetkisiz Cihazlarn Envanteri

2: Yetkili ve Yetkisiz Yazlmlarn Envanteri

3: Mobil Cihazlarda, Dizst Bilgisayarlarda Donanm ve Yazlm iin Gvenli Yaplandrmalar,

Teri Radichel, teri@radicalsoftware.com

Vaka almas: Hedef hlalini nleyebilecek Kritik Kontroller9

stasyonlar ve Sunucular

4: Srekli Gvenlik A Deerlendirmesi ve Dzeltme

5: Kt Amal Yazlm Savunmalar

6: Uygulama Yazlm Gvenlii

7: Kablosuz Eriim Kontrol

8: Veri Kurtarma Yetenei

9: Boluklar Doldurmak in Gvenlik Becerileri Deerlendirmesi ve Uygun Eitim

10: Gvenlik Duvarlar, Ynlendiriciler ve Anahtarlar gibi A Cihazlar iin Gvenli Yaplandrmalar

11: A Balant Noktalarnn, Protokollerin ve Hizmetlerin Snrlandrlmas ve Kontrol

12: dari Ayrcalklarn Kontroll Kullanm

13: Snr Savunmas

14: Denetim Gnlklerinin Bakm, zlenmesi ve Analizi

15: Bilme htiyacna Dayal Kontroll Eriim

16: Hesap zleme ve Kontrol

17: Veri Koruma

18: Olay Mdahalesi ve Ynetimi

19: Gvenli A Mhendislii

20: Szma Testleri ve Krmz Takm Egzersizleri

ekil 2 20 Kritik Kontrol (SANS Institute 2014c)

3. Hedef Duruma Uygulanan Gvenlik Stratejisi

3.1. Hedef ve POS sistemleri ile ilgili olarak Risk Ynetimi

Gvenlie ynelik risk temelli bir yaklam, irket iindeki tm sistemlerin tehditlerini ve gvenlik aklarn dzenli olarak analiz etmeyi ierirdi. Daha sonra, bu ihlalde sistemlere saldrmak iin kullanlan baz gvenlik aklarnn nlenebilmesi iin riskler nceliklendirilirdi. Veri merkezleri ve alardaki sistemler iin oluturulan tehdit modelleri, POS sistemlerine ulamak iin pivot noktalar olarak kullanlan saldrlar ortaya karm olabilir. Sistemleri gvenlik aklar asndan analiz etmek, saldrganlarn sisteme eriim elde etmek iin kullandklar baz kusurlar muhtemelen ortaya karrd. ifreli ve ifresiz olarak sistemden akan verilerin anlalmas, verilerin kt amal yazlmlar tarafndan eriilebilecei bellekte ifrelenmemi olarak bulunduunu ortaya karabilirdi. En kritik varlklarn belirlenmesi, bu sistemler iin ek gnlk kayd, izleme ve gnlk analizine yol am olabilir. Yalnzca en deerli verilere sahip olanlar iin deil, tm sistemler iin tehdit ve gvenlik aklarnn analizi, riski azaltmak iin gvenlik abalarna ncelik vermek iin kullanlabilirdi.

Teri Radichel, teri@radicalsoftware.com

Vaka almas: Hedef hlalini nleyebilecek Kritik Kontroller10

Hedef hlaliyle ilgili soru sorulduunda Jason Popp, POS sistemi en deerli sistemlerden biri olsa da, internete bakan satc sisteminin risk dzeyi daha yksekti. nternete bakan ortamdaki ek kontroller saldry engellemi olabilir. Ayrca, Microsoft web sitesindeki Target vaka almasnn, POS istismar iin tam olarak hangi balant noktalarnn ak olduunu ve hangi aralarn mevcut olduunu gsterdiini belirtti (J. Popp, kiisel iletiim, 2014).

3.2. Derinlemesine Savunma bu durumda bir strateji olarak uyguland

Target altyapsnda birok gvenlik nlemi yrrlkte olmasna ramen, ek koruma katmanlar saldry yol boyunca eitli noktalarda durdurabilirdi. Daha gl bir Derinlemesine Savunma stratejisi uygulamak, her seviyeye bir sonrakinden eriilemez olmasn salard. POS sisteminin kendisindeki ek savunmalar, verileri daha fazla koruyabilirdi.

ifreleme kullanlmasna ramen kart bilgileri POS sistemlerinde baz noktalarda hafzada bulunuyordu. Bu kart verilerine eriilebilirdi nk bilgisayar korsanlar, POS makinelerine erimek iin dier savunmasz sistemler araclyla aa szabildiler. A kontrolleri ve dier sistem kontrolleri POS makinelerine eriimi tamamen engellemi olsayd, kart verilerine eriilemezdi.

Uygulama beyaz listesi, yalnzca yetkili yazlmlarn POS sisteminde almasna izin verirdi. Byk bir perakendecinin Gvenlik Mimarisi Grup Mdr olan Jason Popp, POS sisteminden ve yazlm ynetim aralarndan ayr bir srecin beyaz listeyi ynetebileceini ne sryor (J. Popp, kiisel iletiim, 2014). Uygulama beyaz listesi, donanm veya yazlm araclyla yaplabilir. Thales eSecurity'de Gelitirme ve Teknik Ortaklklar Direktr Jose Diaz, ifreleme anahtarlarn koruyan bir HSM (donanm gvenlik modl) ile kod imzalamann nasl alacan aklyor: "POS sisteminde alan kod veya uygulama, dijital imzalar kullanabilirdi. cihazlara yalnzca reticiden gelen meru kodun yklenebilmesini salamak iin bir Donanm Gvenlik Modlnde (HSM) korunan imzalama anahtar (J. Diaz, kiisel grme, 2014).

ifrelemenin kendisine gelince, kart POS iletim sistemi belleini korumak iin ek koruma katmanlar eklenebilirdi. Kurcalamaya dayankl bir gvenlik modl

Teri Radichel, teri@radicalsoftware.com

Vaka almas: Hedef hlalini nleyebilecek Kritik Kontroller11

(TRSM) verileri yazlmda deil, donanmda ifreler. Baz POS modelleri, kaydrma noktasnda verileri ifrelemek iin bir TRSM kullanr (Horton & McMillon, 2011). Kart verileri dorudan ifrelendii TRSM'ye gider. Kt amal yazlm POS iletim sistemine girmi olsa bile ifrelenmi verileri okuyor olacakt. Thales eSecurity'den Jeremy Eisenman, "Gvenli pin giri cihazlar yaklak 40 yldr kullanlmaktadr. PINBLOCKS'u emniyete almayla ilgili gereksinimler katdr. Manyetik erit izleme verileri, ayn PED'de kaydrlmasna ramen ayn gvenlik kontrolleriyle ilenmedi (J. Eisenman, kiisel grme, 2014).