Keşif: Gizli olan bir şey hakkında geniş bilgi edinme.
Türk Dil Kurumu Sözlüğü
Siber saldırıların ilk aşaması olan keşif (reconnassiance), hedef hakkında bilgi toplamak demektir. Askeri bir kavram olan kill chain‘in bir türü olarak (ABD’li savunma sanayii şirketi*) Lockheed-Martin tarafından geliştirilen siber ölüm zinciri ve uluslararası kar amacı gütmeyen siber güvenlik organizasyonu MITRE tarafından geliştirilen ATTA &CK‘ın bir parçası olarak kabul edilmiştir.
Keşif aşamasının amacı hedef hakkında olabildiğince fazla ve detaylı bilgi toplamak, bunları değerlendirmek ve sınıflandırmaktır. Bu aşamada önemli-önemsiz gözetmeksizin her veri toplanır ve varsa birbiriyle ilişkileri ortaya konur.
Hangi Bilgiler Toplanır?
Siber saldırılarda hedeflenen şirket, kurum, web sitesi veya kişi olabilir. Siber aktörler, keşif aşamasında hedef hakkında olabildiğince bilgi toplayarak, sonraki aşamalarda sisteme sızmak üzere kullanılarak ‘zaafiyet’ olabilecek noktaları işaretlerler. Bu bilgiler şunlar olabilir;
- Kişisel ve kurumsal bilgiler
- Kurum ise çalışanların bilgileri
- E-posta adresleri ve yazışmalar
- Sosyal medya hesapları ve hareketleri
- Geçmiş ve kaldırılmış veriler
- Web siteleri, sunucular, çevrimiçi varlıklar
- Sunucular üzerindeki servisler
- Varsa sunucuların paylaşıldığı diğer web siteleri ve servisler
- Hedef hakkında internete düşmüş (leak) veriler (parola ve diğer datalar)
- Bulunan e-posta adreslerine ait açığa çıkmış veriler (compromised data)
Keşif adımının, hedef sistem hakkında herkesin bildiği bilgilerden başlayıp, unutulan, silindiği zannedilen bilgilerin araştırılmasına, neredeyse çöplerini karıştırmaya kadar giden uzun bir işlem olduğunu belirtebilirim. Bu saydığım türde veriler keşfedildikçe yenilerinin keşfedilmesini tetikleyecek ve özellikle büyük hedefler için ortaya çıkan bilgiler sınıflandırılmayı ve haritalandırmayı gerektirecektir.
Bir sonraki yazıda, keşif aşamasında kullanılan aktif ve pasif araştırma yöntemlerinden ve araçlardan bahsedeceğim.