Active Directory Saldırılarının Önlenmesi / Saldırı Sonrasında Yapılması Gerekenler

Active Directory Saldırılarının Önlenmesi / Saldırı Sonrasında Yapılması Gerekenler

AD Saldırılarının Önlenmesi

İlk olarak tüm çalışanlarına ve şirket bünyesindeki kişilere yetki verilmesi ve şirket bünyesindeki kişilere yetki verilmesi oldukça tehlikelidir. Herkese aşırı yetki paylaşımı yapılması tehlikelerin çoğalmasına sebep olacağından ve saldırıları gerçekleştiren saldırganlar için her biri bir açık kapı doğurabileceğinden

  • Yetki matrislerinin geniş şekilde belirlenmemesi;

  • AD yapısının katmanlara ayrıştırılması;

  • Sunucuların olduğu katman ile uygulamacıların katmanının mutlaka farklı olması;

  • Yapıyı bir piramid gibi düşünecek olursak yukarıdan aşağı birçok katmanın oluşturulması önerilmektedir.

Active Directory Saldırısına Uğramış Bir şirketin İzlemesi Gereken Hukuki Yol Nedir?

Siber saldırıya uğramış bir şirketin sistemlerinin “olay yeri”ne benzetilmesi hiç de yanlış olmayacaktır. Bu kapsamda nasıl ki bir soruşturma kapsamında “olay yeri inceleme”yapılıyor ise; sistemleri saldırıya uğramış, istismar edilmiş, ele geçirilerek durdurulmuş şirket ağlarının tıpkı silahlı bir soygun araştırması gibi olay yeri inceleme prosedürlerine tabi tutulması gerekmektedir. Dolayısıyla sistem araştırmalarında da 5N1K kuralının uygulanması ve olayla ilgili maksimum düzeyde ön bilginin alınması sağlanmalıdır. Teknik olarak saldırının nasıl gerçekleştiği ile ilgili yazmış olduğumuz açıklamalarda belirtilen tüm sistem,yetki ve kullanıcı hareketleri incelenmeli, dizindeki temel ve anormal kapının bulunması sağlanmalıdır. Elde edilen olgular dikkate alınarak eylemlerin ve çıktılarının bir suistimal mi yoksa yanlışlık mı olduğu hususları anlaşılmaya çalışılmalıdır. Olay çalışanlardan kaynaklı bir yanlış ise doğrudan şirketiçi belirlenmiş olan protokoller ve prosedürler takip edilmeli, şirketiçi disiplin soruşturması başlatılmalı ve çalışanın iş sözleşmesi hükümlerine aykırılık oluşturacak herhangi bir ihlali gerçekleştirip gerçekleştirmediği hususuna yoğunlaşılması gerekmektedir. Yapılan değerlendirmeler işçi aleyhine ise derhal ve ivedi şekilde İş Hukuku düzenlemelerine göre dava yoluna gidilmeli ve şirket hakları teknik olgular ortaya konarak korunmalıdır. Olayın çalışanın yapmış olduğu bir yanlışlık olması durumunda gözetilmesi ve değerlendirilmesi gereken esas unsur, çalışanın ilgili somut olayı gerçekleştirmesinin kast ve taksir ilişkisinin araştırılmasıdır. Bunun yanında çalışanın pozisyonu ve yapmış olduğu hatanın görevi ile ilişkisi de bilahare göz önünde bulundurulmalıdır.

Disiplin soruşturması ve hukuki yol haritasının oluşturulması, ile ilgili bölümde detaylandırılacaktır. Olay, sisteme Türk Ceza Kanunun 243. maddesindeki;

(1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.

(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.

(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.

(4) (Ek: 24/3/2016-6698/30 md.) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.

hüküm ve unsurları karşılıyor ise ve/veya TCK’da yer alan ve tanımlanan farklı bir suç tipini karşılıyor ise; yaşanan eylem bir şeyi değiştirmiş veya yok etmiş ise; sistemlere kasten zarar verme ve sistemlerdeki verileri kasten yok etme unsurları var ise; ve TCK’da tanımlanabilecek sair bir suç tipi ile somut olay örtüşüyor ise bir adli bilişim vakasından pek tabi bir bilişim suçunun varlığından söz edilebilecektir.

Active Directory Saldırısına Uğramış bir Şirketin İlk Atması Gereken Adımlar Nelerdir?

Sistemlere uygulanacak adli bilişim işlemlerinin özellikle var olan olguları, delil niteliği teşkil edebilecek verileri, yakalanacak açıklarını yok etmeksizin maksimum düzeyde var olan sistemi ve verileri koruyarak gerçekleştirilmesi gerekmektedir. Verilerin maksimum düzeyde korunabilmesi amacı ile veri tabanlarının yapısı incelenmeli, verilerin nerede saklandığı tespit edilmeli; sistemlerde delil oluşturabilecek tüm girdi/çıktıların korunması ve verilerin zarar görmeden adli bilişim işlemlerinin sürdürülmesi gerekmektedir. Adli bilişim işlemlerinin gerçekleştirilmesi esnasında sistemlerin durdurulup durdurulmaması konusunda değerlendirme yapılması ve karara varılması gerekir. Bu işlemler gerçekleştirilmeden önce veritabanını yöneten çalışanlar ile planlama yapılmalı ve yönetenlerin bilgisi dahilinde tüm adli bilişim işlemleri gerçekleştirilmelidir.

Adli bilişim işlemlerinden önce ve mutlaka fiziki müdahalelerin başlangıcında adli bilişim desteği almak isteyen şirket ile müdahaleyi gerçekleştirecek şirket arasında mutlak suretle işlemlere dair tanımlamaları, şirketlerin yükümlülükleri ve yaptırımlarını, adli bilişim incelemeleri sırasında karşılaşılacak her türlü verinin gizlilik unsurlarını ve önemli diğer tüm maddeleri içeren bir gizlilik sözleşmesi imzalanmalıdır. Sistemlerdeki adli bilişim işlemlerinin esas unsuru toplanılan verilerin analiz edilmesi, hangi cihazların anormal olduğunun tespit edilmesi ve o cihazların sökülerek üzerinden çalışılmasıdır.