Yanal hareket, tehdit aktörlerinin güvenliği ihlal edilmiş bir ağ veya sistemde gezinmek ve bir ana bilgisayardan diğerine gizlice geçmek için kullandıkları tekniği ifade eder. Tek bir giriş noktasını hedef alan geleneksel saldırıların aksine, yanal hareket, saldırganların nüfuzlarını yaymasına, kontrollerini genişletmesine ve ağ içindeki değerli varlıklara erişmesine olanak tanır. Bu, APT saldırısının çok önemli bir aşamasıdır ve saldırganların sebat etmelerini ve hedeflerine ulaşmalarını sağlar.
Saldırganlar, kalıcılık sağlamak, yüksek değerli hedeflere erişmek, ayrıcalıkları yükseltmek, verileri sızdırmak ve güvenlik kontrollerinden kaçmak gibi çeşitli nedenlerle yanal hareket tekniğini kullanır.
Yanal hareket, saldırganların bir ağa sızmak ve kontrollerini genişletmek için geçtiği bir dizi aşamayı içerir. Bu aşamalar genellikle şunları içerir:
Saldırı Tekniği | Temel özellikler | Yanal Hareketle İlişki |
Kimlik Avı Saldırıları | Hassas bilgileri çıkarmak için sosyal mühendislik teknikleri | Yanal hareket, çalınan kimlik bilgilerinin kullanılmasını gerektirebilir |
Malware | Veri hırsızlığı, kesinti veya yetkisiz erişime yönelik kötü amaçlı yazılım | Yanal hareket, yayılma veya kalıcılık için kötü amaçlı yazılımdan yararlanabilir |
DoS/DDoS Saldırıları | Hedef sistemleri aşırı trafikle bunaltın | Yanal hareketle doğrudan hizalama yok |
Ortadaki Adam Saldırıları | Müdahale veya değişiklik amacıyla iletişimi kesip manipüle edin | Yanal hareket, tekniğin bir parçası olarak engellemeyi içerebilir |
SQL Injection | Yetkisiz erişim için web uygulaması güvenlik açıklarından yararlanın | Yanal hareket, güvenliği ihlal edilmiş kimlik bilgilerinden veya veritabanlarından yararlanabilir |
Siteler arası komut dosyası çalıştırma (XSS) | Rastgele kod yürütme veya bilgi hırsızlığı için güvenilir web sitelerine kötü amaçlı komut dosyaları enjekte edin | Yanal hareketle doğrudan hizalama yok |
Sosyal mühendislik | Hassas bilgileri ifşa etmek veya eylemler gerçekleştirmek için bireyleri manipüle etmek | Yanal hareket, ilk uzlaşmada sosyal mühendisliği içerebilir |
Parola Saldırıları | Parola kırma için kaba kuvvet veya sözlük saldırıları gibi teknikler | Yanal hareket, güvenliği ihlal edilmiş veya çalınmış kimlik bilgilerinden faydalanabilir |
Gelişmiş Kalıcı Tehditler (APT'ler) | Kalıcı erişim ve belirli hedefler için gelişmiş, hedefli saldırılar | APT'lerde yanal hareket kritik bir aşamadır |
Sıfır Gün İstismarları | Yamalar kullanıma sunulmadan önce bilinmeyen güvenlik açıklarını hedefleyin | Yanal hareket, tekniğinin bir parçası olarak sıfır gün istismarlarını içerebilir |
Siber tehditlerin karmaşıklığı gelişmeye devam ettikçe, yanal harekette kullanılan tekniklerin ve yöntemlerin anlaşılması, etkili savunma stratejileri için çok önemli hale geliyor.
Kuruluşlar bu teknikleri anlayarak, yanal hareketle ilişkili riskleri azaltmak ve kritik varlıklarını siber davetsiz misafirlerden korumak için sağlam erişim kontrolleri, güvenlik açığı yönetimi ve kullanıcı farkındalığı eğitimi gibi proaktif güvenlik önlemlerini uygulayabilir.
Yanal hareket saldırılarında kullanılan en yaygın teknikler şunlardır:
Karma geçiş saldırıları, Windows'un kullanıcı kimlik bilgilerini karma değerler biçiminde saklama biçiminden yararlanır. Saldırganlar, ele geçirilen sistemlerden parola karmalarını çıkarır ve bunları ağdaki diğer sistemlere kimlik doğrulaması yapmak ve erişim sağlamak için kullanır. PtH saldırıları, düz metin şifre ihtiyacını ortadan kaldırarak saldırganların sürekli kimlik bilgisi hırsızlığına gerek kalmadan yanal hareket etmesine olanak tanır.
Bilet Geçişi saldırılarının avantajı Kerberos bir ağ içinde yanal olarak hareket etmek için kimlik doğrulama biletleri. Saldırganlar, güvenliği ihlal edilmiş sistemlerden elde edilen veya meşru kullanıcılardan çalınan geçerli biletleri elde eder ve kötüye kullanır. Bu biletlerle, geleneksel kimlik doğrulama mekanizmalarını atlayarak kimlik doğrulaması yapabilir ve ek sistemlere erişebilirler.
RDP ele geçirme, kullanıcıların uzak sistemlere bağlanmasına olanak tanıyan Uzak Masaüstü Protokolünün manipüle edilmesini veya kötüye kullanılmasını içerir. Saldırganlar, RDP'nin etkin olduğu sistemleri hedefler, güvenlik açıklarından yararlanır veya yetkisiz erişim elde etmek için çalıntı kimlik bilgilerini kullanır. İçeri girdikten sonra, diğer sistemlere bağlanarak veya ele geçirilen ana bilgisayarı daha sonraki saldırılar için bir başlangıç noktası olarak kullanarak yanal olarak gezinebilirler.
Kimlik bilgilerinin çalınması ve yeniden kullanılması, yanal harekette önemli bir rol oynar. Saldırganlar geçerli kimlik bilgilerini çalmak için keylogging, kimlik avı veya kaba kuvvet gibi çeşitli yöntemler kullanır. Bu kimlik bilgileri bir kez alındıktan sonra kimlik doğrulamak ve ağ üzerinde yanal olarak hareket etmek için yeniden kullanılır, bu da potansiyel olarak ayrıcalıkların artırılmasına ve yüksek değerli hedeflere erişilmesine neden olur.
Güvenlik açıklarından yararlanmak, yanal harekette kullanılan yaygın bir tekniktir. Saldırganlar, yetkisiz erişim elde etmek için yama yapılmamış sistemleri veya yanlış yapılandırmaları hedef alır. Güvenlik açıklarından yararlanmak, ek ana bilgisayarlardan ödün vererek, yazılım veya ağ yapılandırmalarındaki zayıflıklardan yararlanarak yanal hareket etmelerine olanak tanır.
Kötü amaçlı yazılım yayılımı, yanal harekette kullanılan bir diğer yaygın yöntemdir. Saldırganlar, ele geçirilen ağ içerisine solucanlar veya botnet'ler gibi kötü amaçlı yazılımlar yerleştirir. Bu kötü amaçlı yazılım örnekleri bir sistemden diğerine yayılarak saldırganların ağ içinde gezinmesine ve kontrolü genişletmesine yardımcı olur.
En göze çarpan siber saldırılardan birinde, bilgisayar korsanları üçüncü taraf bir satıcı aracılığıyla Target Corporation'ın ağına erişim sağladı. Daha sonra ağda gezinmek, ayrıcalıkları artırmak ve sonunda satış noktası (POS) sistemlerini tehlikeye atmak için yanal hareket tekniklerini kullandılar. Saldırganlar yaklaşık 40 milyon müşterinin kredi kartı bilgilerini sızdırarak Target'ın ciddi mali kayıplara uğramasına ve itibarının zarar görmesine yol açtı.
Bu yüksek profilli saldırıda, Kuzey Kore ile bağlantılı olduğuna inanılan bilgisayar korsanları Sony Pictures'ın ağına sızdı. Yanal hareket teknikleri, onların ağda hareket etmelerine, yayınlanmamış filmler, yönetici e-postaları ve çalışanların kişisel bilgileri dahil olmak üzere hassas verilere erişmelerine olanak tanıdı. Saldırı, iş operasyonlarını kesintiye uğrattı ve gizli verilerin açığa çıkmasına neden olarak ciddi mali ve itibar kaybına yol açtı.
NotPetya fidye Saldırı, Ukrayna'daki bir muhasebe yazılımı şirketinin güncelleme mekanizmasının ele geçirilmesiyle başladı. Saldırganlar içeri girdikten sonra, kötü amaçlı yazılımı kuruluşun ağına hızla yaymak için yanal hareket tekniklerinden yararlandı. Kötü amaçlı yazılım yanal olarak yayılarak sistemleri şifreliyor ve dünya çapında çok sayıda kuruluşun operasyonlarını aksatıyor. NotPetya milyarlarca dolarlık zarara neden oldu ve fidye yazılımının yayılmasında yanal hareketin yıkıcı potansiyeline dikkat çekti.
SolarWinds saldırısı, yazılım tedarik zincirinin, özellikle de SolarWinds tarafından dağıtılan Orion BT yönetim platformunun tehlikeye atılmasını içeriyordu. Tehdit aktörleri, karmaşık bir tedarik zinciri saldırısı yoluyla, birkaç ay boyunca tespit edilemeyen kötü amaçlı bir güncelleme ekledi. Ele geçirilen yazılımı kullanan kuruluşların ağları içinde yanal hareket etmek için yanal hareket teknikleri kullanıldı. Bu son derece karmaşık saldırı, çok sayıda devlet kurumunu ve özel kuruluşu etkileyerek veri ihlallerine, casusluğa ve uzun süreli sonuçlara yol açtı.
Bu gerçek dünyadan örnekler, yatay hareket saldırılarının farklı sektörlerdeki kuruluşlar üzerindeki etkisini göstermektedir. Saldırganların ağlarda gezinmek, ayrıcalıkları artırmak, değerli verilere erişmek ve önemli mali ve itibar kaybına neden olmak için yanal hareketi nasıl kullandığını gösteriyorlar.
Algılama ve yanal hareketi önleme Saldırılar, kuruluşların ağlarını ve değerli varlıklarını korumaları açısından çok önemlidir. Yanal hareketi tespit etmek ve önlemek için bazı etkili stratejiler şunlardır:
Yanal hareket saldırıları için potansiyel giriş noktalarını anlamak, kuruluşların savunmalarını etkili bir şekilde güçlendirmesi açısından çok önemlidir. Kuruluşlar, bu güvenlik açıklarını tespit edip azaltarak güvenlik duruşlarını geliştirebilir ve başarılı yanal hareket saldırıları riskini azaltabilir.
Zayıf veya Güvenliği Tehlikede Olan Kimlik Bilgileri
Kimlik avı saldırıları veya veri ihlalleri yoluyla elde edilen zayıf parolalar, parolaların yeniden kullanılması veya ele geçirilen kimlik bilgileri, yanal hareket için önemli bir giriş noktası oluşturur. Saldırganlar ağ içinde yanal hareket etmek için bu kimlik bilgilerinden yararlanır ve genellikle yol boyunca ayrıcalıkları artırır.
Yamalanmamış Güvenlik Açıkları
Düzeltme eki uygulanmamış yazılım veya sistemler, saldırganlar tarafından ilk erişim elde etmek ve yanal hareket gerçekleştirmek için kullanılabilecek güvenlik açıklarını barındırır. Güvenlik yamalarının ve güncellemelerin uygulanmaması, sistemleri tehdit aktörlerinin ağa sızmak için kullanabileceği bilinen güvenlik açıklarına karşı savunmasız bırakır.
Yanlış Yapılandırılmış Güvenlik Ayarları
Zayıf erişim kontrolleri, yanlış yapılandırılmış güvenlik duvarları veya yanlış yapılandırılmış kullanıcı izinleri gibi yetersiz güvenlik yapılandırmaları, yanal hareket için yollar oluşturur. Saldırganlar, yanal hareket etmek, ayrıcalıkları yükseltmek ve hassas kaynaklara erişmek için bu yanlış yapılandırmalardan yararlanır.
Sosyal Mühendislik Teknikleri
Kimlik avı, tuzak kurma veya bahane uydurma gibi sosyal mühendislik teknikleri, bireyleri hassas bilgileri ifşa etmeye veya yanal harekete yardımcı olacak eylemler gerçekleştirmeye yönlendirir. Saldırganlar, kullanıcıları kimlik bilgilerini ifşa etmeleri veya kötü amaçlı ekler yürütmeleri için kandırarak bir yer edinir ve ağda gezinir.
İçeriden Gelen Tehditler
Ağa yetkili erişimi olan içerdeki kişiler aynı zamanda yanal hareket saldırılarını da kolaylaştırabilir. İçerideki kötü niyetli kişiler veya kimlik bilgileri ele geçirilen kişiler, geleneksel çevre güvenlik önlemlerini atlayarak yanal hareket etmek için meşru erişimlerinden yararlanabilirler.
Yerel Alan Ağları (LAN)
Yerel alan ağları, cihaz ve sistemlerin birbirine bağlı yapısı nedeniyle yatay hareket için verimli bir zemin sağlar. Saldırganlar, LAN'a girdikten sonra güvenlik açıklarından yararlanabilir veya ağda gezinmek ve ek sistemlere erişmek için güvenliği ihlal edilmiş kimlik bilgilerinden yararlanabilir.
Kablosuz Ağlar
Güvenliği zayıf olan veya yanlış yapılandırılmış kablosuz ağlar, yanal hareket saldırıları için bir giriş noktası sunar. Saldırganlar, özellikle cihazlar hem kablolu hem de kablosuz ağlara bağlandığında, ağa erişim sağlamak ve yanal hareket faaliyetlerini başlatmak için kablosuz ağları hedef alır.
Bulut Ortamları
Dağıtılmış yapıları ve birbirine bağlı hizmetleriyle bulut ortamları, yanal harekete karşı savunmasız olabilir. Yanlış yapılandırmalar, zayıf erişim kontrolleri veya güvenliği ihlal edilmiş bulut kimlik bilgileri, saldırganların bulut kaynakları ile şirket içi sistemler arasında yanal olarak hareket etmesine olanak sağlayabilir.
Nesnelerin İnterneti (IoT) Cihazları
Güvenli olmayan şekilde yapılandırılmış veya yama yapılmamış IoT cihazları, yanal hareket için potansiyel giriş noktaları sunar. Genellikle sağlam güvenlik kontrollerine sahip olmayan savunmasız IoT cihazları, saldırganların ağa sızması ve yanal hareket faaliyetleri gerçekleştirmesi için bir sıçrama tahtası görevi görebilir.
Şirket İçi Sistemler
Düzenli güvenlik güncellemelerinden geçmemiş veya yeterli güvenlik kontrollerine sahip olmayan eski veya şirket içi sistemler, yanal hareket için hedeflenebilir. Saldırganlar, ilk erişimi elde etmek ve ağ içinde hareket etmek için bu sistemlerdeki güvenlik açıklarından yararlanır.
The Sıfır Güven güvenliği model, kuruluşların yanal hareket saldırılarına karşı savunma biçiminde devrim yaratıyor. Ağlar içerisinde güven varsayımını ortadan kaldırarak, Sıfır Güven Birkaç önemli alana odaklanarak izinsiz yanal hareket riskini azaltır:
Kimlik Doğrulaması
Sıfır Güven, konumdan bağımsız olarak her erişim denemesinde sıkı kimlik doğrulamayı ve cihaz kimlik doğrulamasını vurgular. Yalnızca kimliği doğrulanmış ve yetkili kullanıcılara erişim izni verilir, bu da yetkisiz yanal hareket olasılığını azaltır.
Mikro Segmentasyon
Mikro bölümleme, ağları ayrıntılı erişim kontrolleriyle daha küçük bölümlere ayırır. Sıkı bir şekilde uygulayarak kimlik segmentasyonu, yanal hareket kısıtlanarak olası ihlallerin etkisi sınırlanır.
Sürekli izleme
Zero Trust, ağ faaliyetlerinin sürekli izlenmesini ve gerçek zamanlı analizini destekler. Yanal hareketi gösteren anormal davranışlar derhal tespit edilerek hızlı tepki ve kontrol altına alınması sağlanır.
En Küçük Ayrıcalık Erişimi
Zero Trust, en az ayrıcalık ilkesine bağlı kalarak kullanıcılara gereken minimum erişimi sağlar. Yetkisiz erişim girişimleri hızlı bir şekilde tespit edilip önlenir, böylece yanal hareket riski azalır.
Dinamik Güven Değerlendirmesi
Zero Trust, ağ etkileşimleri sırasında güven düzeylerini dinamik olarak değerlendirir. Kullanıcı davranışının ve cihaz sağlığının sürekli değerlendirilmesi, sürekli doğrulama sağlayarak yanal hareket riskini en aza indirir.