Attack Surface Yönetimi
Attack Surface yani Saldırı Yüzeyi Yönetimi, bir kuruluşun çevrimiçi varlığının bir sonucu olarak ortaya çıkan tüm güvenlik açıklarını etkin bir şekilde yönetmektir.
İnternet, artık modern yaşamın en önemli parçalarından bir tanesi, ancak karanlık bir tarafı da var. Her yönetilmeyen sunucu, web sitesi ve uygulama, bilgisayar korsanları, fidye yazılımı çeteleri ve diğer siber saldırganlar tarafından istismar edilmeyi bekleyen bir risk taşıyor. Bu yazıda, Attack Surface Yönetimi kavramının açıklanması ve bunun blue teamin en güçlü (ancak büyük ölçüde gözden kaçan) yanlarından biri olabileceği üzerinde duruluyor. Birinci bölümde, Saldırı Yüzeyi Yönetiminin tanımını ve temel kavramlarını; ikinci bölümde, kuruluşların Saldırı Yüzeylerini pratikte nasıl yönetebileceklerini; ve Üçüncü Bölümde, Saldırı Yüzeyi Yönetimine yön veren ve yönlendiren bazı durumları bulacaksınız.
Kısaca Saldırı Yüzeyi Yönetimi
Saldırı Yüzeyi Yönetimi tanımında üç anahtar kavram vardır: Yönetim, güvenlik açıkları ve çevrimiçi varlık. Saldırı Yüzeyi Yönetimi, bir kuruluşun çevrimiçi varlığının bir sonucu olarak ortaya çıkan tüm güvenlik açıklarını etkin bir şekilde yönetme süreci olarak tanımlanmaktadır. Aşağıdaki görüntü, günlük organizasyonel süreçlerin, siber düşmanların sürekli olarak yararlanmaya çalıştığı dijital güvenlik açıklarına nasıl yol açtığını göstermektedir.
Yönetim. Yönetim, nesneler veya insanlarla uğraşma sürecidir. Saldırı Yüzeyi Yönetimi bağlamında, bu "nesneler" güvenlik açıklarıdır. Saldırı Yüzeyi Yönetimi, bir kuruluşun dijital saldırı yüzeyini güvence altına almak için atması gereken adımlar konusunda liderlere, yöneticilere ve güvenlik uzmanlarına rehberlik eder. Başka bir deyişle, Attack Surface Management ın amacı kuruluşların internete bağlı olmakla ilgili riskleri en aza indirmesini mümkün olduğunca kolaylaştırmaktır.
Güvenlik Açıkları. Saldırı Yüzey Yönetimi bağlamında “güvenlik açığı”, kötü niyetli siber aktörlerin bir kuruluşa yetkisiz erişim elde etmek için kötüye kullanabilecekleri internet üzerinde bulunan her türlü bilgiyi ifade eden geniş bir terimdir. Bu geniş anlamda, bir güvenlik açığı yalnızca belirli bir CVE, güvenli olmayan bir sunucu veya açık bir güvenlik duvarı değildir. Saldırı Yüzey Yönetimi, sızdırılmış e-posta adresleri, kullanıcı adları, parolalar, oturum açma sayfaları, telefon numaraları, açık veritabanları, şirket sırları, etki alanı kayıt şirketi bilgileri, açık bağlantı noktaları gibi yaygın olarak bir güvenlik açığıyla ilişkilendirilmeyen dijital eserleri vb. de içerecek şekilde geniş bir kapsama sahiptir. Kısacası, bir güvenlik açığı, bir rakibin kendi avantajı için etkili bir şekilde yararlanabileceği her şeydir.
Çevrimiçi Varlıklar. Çevrimiçi varlık kavramı, İnternet ile her etkileşimin küçük bir dijital ayak izi bıraktığını vurguladığı için Saldırı Yüzey Yönetimi adına önemlidir. Çevrimiçi varlık kavramı, doğal olarak güvenlik açığı kavramıyla yakından bağlantılıdır: İnternetle görünüşte zararsız etkileşimler, amatörlerden çok yetenekli ve organize gruplara kadar tüm bilgisayar korsanlarının suistimal toplayabileceği varlıklar üretir.
Örnek 1: İşe alım yapıyoruz! Hemen hemen tüm iş ilanları, bilgisayar korsanlarının bir siber saldırıda doğrudan yararlanabileceği bilgi öğeleri - güvenlik açıkları - içerir. Yaygın örnekler arasında kullanıcı adları, e-posta adresleri, telefon numaraları, IP adresleri, belirli yazılım sürümleri, İK sistemleri, fiziksel adresler, lider konumlardaki çalışanların tam adları ve çok daha fazlası yer alır. Kuruluşların, doğru adayları çekmek istiyorlarsa iş ilanlarını herkese açık hale getirmeleri çok önemlidir, ancak ilanlar siber düşmanlar için altın madenleri olabilir. Ve iş ilanı kaldırılsa bile internette var olmaya devam eder. Ya gönderildiği web sitesinde saklandığı için; Google, Yahoo veya DuckDuckGo gibi bir arama motoru tarafından dizine eklendiğinden; veya Facebook veya LinkedIn gibi sosyal medya platformlarında paylaşıldığından...
Uygulamada Dijital Saldırı Yüzeylerini Yönetme
Önceki bölümde tartışıldığı gibi, Saldırı Yüzeyi Yönetimi, siber saldırıların meydana gelebileceği tüm dijital varlıkları kapsar: IP adresleri, e-posta adresi, iş ilanları, web uygulamaları, açık veritabanları, alan adı kayıt bilgileri, oturum açma sayfaları, posta hizmetleri vb. Şimdi yöneleceğimiz soru, bu varlıkların pratikte nasıl yönetilebileceğidir. Kuruluşların halka açık web sitelerini başlangıç noktası olarak kullanarak, harici saldırı yüzeyini yönetmek için üç aşamalı bir süreç önerilmektedir:
- İnternete açık varlıkları ortaya çıkarmak
- Ayrı ayrı bulguların gözden geçirilmesi ve riskin değerlendirilmesi
- Minimalize etmek ve güçlendirmek
İnternete açık varlıkları ortaya çıkarmak: Bu ilk adım, mümkün olduğunca çok sayıda internete bakan sistemi haritalamakla ilgilidir. Hangi varlıkların internete açık olduğunu (şimdi veya geçmişte) bilmek, dışarıdan bilgisayar korsanlarının girmeye çalışabilecekleri birçok olası kapıyı ortaya çıkaracaktır. Bu adım önemlidir, çünkü varlığından haberdar olmadığınız hiçbir şeyi yönetemeyiz. Potansiyel güvenlik sorunlarına mantıksal çözümleri uygulamaya başlamadan önce, bu riskin tüm potansiyel kaynaklarına aşina olmalıyız. Bu kolay bir iş değil, ancak yapılabilir ve yapılmalıdır. Aşağıdaki soruları sistematik olarak sormak, pratik saldırı yüzeyi yönetimine yönelik bu ilk adımla ilgili olarak bir ilerleme kaydedecektir:
- Güncellenmiş bir ağ şemamız var mı?
- Dijital varlıklarımıza ilişkin bir envanterimiz veya başka türde bir belgemiz var mı?
- Kuruluşumuzla ilişkili kimlik bilgisi sızıntılarını aktif olarak izliyor muyuz?
- 2FA gerektirmeyen internete açık giriş sayfalarımız var mı?
- Güçlü parola politikalarımız var mı?
- İnternete yönelik web, posta ve veritabanı sunucularımızda hangi portlar açık?
- Etki alanımız hangi CMS (içerik yönetim sistemi) üzerine kurulu ve bilinen herhangi bir güvenlik açığıyla ilişkili mi?
- DNS güvenliğimiz iyi mi yoksa örneğin bölge transferleri yoluyla listelenmeye izin veriyor mu?
Ne yazık ki, birçok kuruluş tüm bu soruları yanıtlayacak kaynaklardan (zaman, para, teknik uzmanlık) yoksun. Bu konuda Saldırı yüzeyi yönetim platformlarından yararlanılabilir.
Bulguların gözden geçirilmesi ve riskin değerlendirilmesi: İnternete açık varlıklar haritalandırıldıktan sonra, bir sonraki adım şu bulguları gözden geçirmek ve değerlendirmektir: Neler risk oluşturur ve ne oluşturmaz? 1. bölümde özetlendiği gibi, riskler güvenlik açıklarıdır - saldırganların bir kuruluşa yetkisiz erişim elde etmek için kötüye kullanabileceği bilgi parçalarıdır. Örneğin, sızdırılmış bir posta, tüm internete yönelik kimlik doğrulama sistemlerinde 2FA etkinleştirilmişse çok az risk oluşturur veya hiç risk oluşturmaz. Ancak, anonim oturum açmaya sahip açık RDP veya SMB/NetBIOS ağ sürücüleri (139/445 numaralı bağlantı noktası), hemen ele alınması gereken aşırı bir risk oluşturur. Bir güvenlik açığı riskini değerlendirmenin iyi bir yolu, bir olasılık-etki matrisidir:
Olasılık-etki matrisi, elde olan kaynakların verimli bir şekilde kullanılmasına izin verdiği için pratik saldırı yüzeyi yönetimine rehberlik edebilir. İnternete açık varlıklar bu mantıkla değerlendirilerek, önce ciddi güvenlik açıkları ele alınabilir ve daha az kritik güvenlik açıkları daha sonraya bırakılabilir. Aşağıda, böyle bir analizin nasıl görünebileceğinin basitleştirilmiş (ancak gerçekçi) bir örneği verilmiştir:
İnternete açık varlıklar değerlendirildikten sonra, risk yöneticileri tarafından, öncelik verilip verilmeyeceğine karar veren liderlere ve uygulamadan nihai olarak sorumlu olan güvenlik uzmanlarına iletilmelidir. Bulguların iletilme biçimindeki basitlik veya karmaşıklık önemli bir anahtardır. Ancak bu şekilde bulgular hem liderler hem de teknoloji uzmanları tarafından işlenebilir ve ele alınabilir. Siber güvenlik basit değildir. Belirlenen güvenlik açıklarını yüksek teknik düzeyde sunmak verimsizdir çünkü riski yönetmek ve değişimi yönlendirmek için birlikte çalışması gereken tüm taraflar tarafından anlaşılır olması gerekmektedir.
Minimalize etmek ve güçlendirmek: Bu son adım, tanımlanan risklerin ve güvenlik açıklarının azaltıldığı yerdir; yani asıl işin başladığı yer. Güvenlik düzeltmelerini; önemli eylemlerin, yama düzeylerinin ve zaman damgalarının loglarını tutarak ve sistematik bir şekilde uygulamak önemlidir. Bunu başarmak için, saldırı yüzeyini azaltma ve güçlendirme süreci, doğrudan daha geniş BT varlık yönetimi sürecini beslemelidir. Dijital altyapı yönetiminin merkezileştirilmesi, önemli bilgilerin farklı kişiler ve organizasyon seviyeleri arasında dağılmak yerine tek bir yerde toplanmasını sağlar. Bu, özellikle üçüncü taraf Olay Müdahalecilerinin veya danışmanlarının hızlı bir şekilde devreye alınmasına izin verdiği için, siber olaylara etkili bir şekilde tepki vermeyi önemli ölçüde kolaylaştıracaktır.
Son olarak, saldırı yüzeyi yönetiminin sürekli bir süreç olduğu tekrarlanmalıdır. Yukarıda açıklanan üç adımın her biri, güvenlik açıklarının bulunduğu, değerlendirildiği, azaltıldığı ve yeni tehditler ve güvenlik açıkları ışığında yeniden değerlendirildiği bir geri bildirim döngüsü olarak uyum içinde çalışmalıdır. Bu şekilde, internete yönelik saldırı yüzeyi, saldırganlar tarafından istismar edilmeden önce izlenir ve güvence altına alınır.
Örnek 2: E-posta güvenlik denetimi ne zaman yapıldı? Posta sistemleri genellikle, bilgisayar korsanlarının oturum açmadan bile çıkarabileceği hassas bilgileri sızdırır. Bu bilgiler, e-posta adreslerini, güvenlik yapılandırmalarını ve dahili ana bilgisayar adlarını içerir (ancak bunlarla sınırlı değildir). Ayrıca, posta sistemi tüm güvenlik özellikleri etkinleştirilerek mükemmel bir şekilde yapılandırılmış olsa bile, çalışanlar farklı hizmetlere kaydolarak, kimlik bilgilerini yeniden kullanarak ve dolandırıcılık veya kimlik avı saldırılarına maruz kalarak e-postalarını sızdırabilir. İnternet, asla internete maruz kalmaması gereken e-postalarla dolup taşıyor. Mevzu, bu e-postaları bilgisayar korsanları tarafından kullanılmadan önce bulmaktır ve Attack Surface Management'ın uzmanlaştığı konu da budur.
Saldırı Yüzeyi Yönetimine Yön Veren (ve yönlendiren) Durumlar
BT'deki dört önemli durumun, Saldırı Yüzeyi Yönetiminin artan gerekliliğine yön verdiği (ve vermeye devam edeceği) bilinmektedir:
- Bilgisayar korsanlığının endüstrileşmesi.
- Fidye yazılımlarının artan karlılığı.
- Yazılım ve altyapının merkezileştirilmemesine yönelik baskı.
- Kurum içi BT yeterliliklerinin gereksiz olarak algılanması.
Bilgisayar korsanlığının endüstrileşmesi: Eskiden, siber düşman denince akla gelen, Anonymous bayrağı altında 4chan'de takılan, web sitelerini tahrif eden ve DDoS saldırılarına katılan yalnız ve obez biri olurdu. Bu düşman sınıfı hala var olsa da, hiçbir şekilde en büyük tehdit değildir (onu gerçekten kızdırmadığınız sürece). Mevcut tehdit ortamı, çok daha korkutucu güçlerle destenlenmektedir. Devlet tarafından finanse edilen hacker grupları, zero-day açıkları keşfetmek için milyonlar harcıyor; organize siber suçlu ağları, güvenlik açıkları için interneti tarıyor; ve yıkıcı fidye yazılımı grupları gelişmeye ve güçlenmeye devam ediyor. Hackleme, sorunun artık bir güvenlik açığından yararlanılıp yararlanılmayacağı değil, bunun yerine “ne zaman” ve “ne pahasına” olacağı aşamasına ve ölçeğine ulaştı. Bu tehdit ortamında, başarının anahtarı çantada keklik OLMAMAKTIR. Popüler inanışın aksine, kuruluşlar bunu yalnızca temel BT güvenlik ilkelerini izleyerek ve saldırı yüzeylerini aktif olarak yöneterek nispeten kolay bir şekilde başarabilirler. Nil'e (internet) atlayan bir grup tavşanı (kuruluş) düşünün. Yaralı hayvanlar (yani çantada keklikler) piranalar tarafından parçalanacak ve sağlıklı olanlar nehri geçecektir. Saldırı Yüzeyi Yönetimini bugün güvenlik riski denetiminize entegre edin. Ve yaralıysanız bilmediğiniz sulara atlamayın. (Çantada keklik olmayın)
Fidye yazılımının karlılığı: Fidye yazılımlarının, sistemleri internete açık olan her kuruluş için büyüyen bir tehdit olduğu artık aşikar. Maersk gibi Fortune 50 şirketlerinden kamu hizmet kuruluşlarına, okullara ve hastanelere kadar her şeyin peşinden koşan fidye yazılım çeteleri acımasız ve ayrım gözetmiyor. Bu kârlılık bazen yüz milyonlarca ABD dolarını buluyor. Microsoft, fidye yazılımlarının neden yükselişte olduğunu ve kuruluşların kendilerini güvenceye almak için neler yapabileceğini ayrıntılı olarak açıklıyor. Aşağıdaki saldırı akışında Microsoft, neredeyse tüm fidye yazılım korsanlığının nasıl gerçekleştiğini tanımlıyor.
Yukarıdaki şekilde en solda, ilk erişim kategorisinin tamamının – RDP kaba kuvvet, savunmasız internete yönelik sistemler ve Zayıf uygulama ayarları – aslında Saldırı Yüzeyi Yönetiminin odak noktası olduğuna dikkat edin. Saldırı Yüzeyi Yönetimi, kuruluşunuzun internete açık olan RDP'ye sahip olup olmadığını görmek için IP adreslerinizi tarar ve sizi uyarır; Saldırı Yüzeyi Yönetimi, internete açık sistemlerinizdeki güvenlik açıklarını bulur, eşler ve önceliklendirir; ve Attack Surface Management, yaygın olarak kullanılan güvenlik açıkları için web uygulamanızı karmaşıklaştırır.
Yazılım ve altyapının merkezileşmemesine yönelik baskı: Kuruluşlar büyüyüp daha karmaşık hale geldiğinde dijital altyapılarının da artması neredeyse bir doğa kanunudur. Geçtiğimiz on yıl, sorumluluğun aynı süreçte dışarıdan temin edildiğine dair yanlış izlenime sahip yöneticiler için uygun olan veri ve dijital sistemlerin merkezden uzaklaştırılmasına yönelik bir sistemle ile karakterize edilmiştir, ancak bu tehlikeli bir yanlış anlamadır. Dış kaynak kullanımı, hassas müşteri verilerinin kaybı için hiçbir zaman meşru bir mazeret olmamıştır. “Bu bizim suçumuz değildi; Bangladeş'teki bulut sağlayıcımızdı”, sadece bir hesap verebilirlik ve PR perspektifinden kurtuluş olarak görülemez. Bu tür olaylar her zaman bir markaya zarar verir, bu nedenle kuruluşlar gözlerini kapatmak yerine öncelikle bu saldırılara kurban gitmemeye daha fazla odaklanmalıdır.
- Bulut tabanlı hizmetlerin artan popülaritesi.
- Hizmet Olarak Yazılımın (SaaS) yükselişi.
- Siber güvenliğin dış kaynak kullanımı.
- Olay ve ağ günlüğü gibi (ISO) uyumluluk önlemlerinin dış kaynak kullanımı.
Bu teknolojiler tabii ki kullanılıyor ve kullanılmalı da. Herkes her konuda uzman olamaz, bu yüzden bazen işi uzmanına bırakmakta fayda var.
Kurum içi BT yeterliliklerinin gereksiz olarak algılanması: Yerelleşmeye yönelik eğilim, kurum içi BT yeterliliklerinin artık gerekli olmadığı konusunda başka bir yanlış kanıya yol açmıştır. “Şirket içi dijital altyapımız yoksa neden ağ yöneticilerine ihtiyacımız var?” birçok yöneticinin kendilerine sorduğu soru; ya BT çalışanlarının harcamalarını kısmak için bir bahane olarak ya da teknik becerilere sahip insanları çekemedikleri gerçeğini örtbas etmek için... Her iki durumda da, kurum içi BT yeterliliklerinin her zamanki kadar önemli olduğu bilinmeli ve bu sadece önyargılı bir görüş değil. Güvenlik açısından bakıldığında, hem yeni güvenlik önlemleri uygulayacak hem de mevcut olanları sürdürecek teknik uzmanlığa sahip biri olmalıdır. Bunlara ek olarak,
Sonuç
Bu blog gönderisi, Saldırı Yüzeyi Yönetimini, bir kuruluşun çevrimiçi varlığının bir sonucu olarak ortaya çıkan tüm güvenlik açıklarını etkin bir şekilde yönetme süreci olarak tanımlamıştır. Attack Surface Yönetimi, bir kuruluşun çevrimiçi varlığıyla ilişkili güvenlik açıklarını bularak, değerlendirerek ve güvence altına alarak siber saldırı riskini önemli ölçüde azaltabilir.
Kaynak: https://webscout.io/blog/understanding-attack-surface-management-cybersecuritys-next-big-thing/
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.