Uygulama Güvenliği, Yönetişim ve Risk Yönetimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Robert Blumofe, DDoS Saldırıları, API Güvenliği, Sıfır Güven ve FIDO2-MFA hakkında konuşuyor
Brian Pereira (creed_digital) •
16 Ocak 2024
Akamai Intelligent Edge Platform, her gün trilyonlarca internet talebini karşılıyor ve artık durduruldu Saniyede 1,44 terabitlik ve saniyede 809 milyon paketlik devasa DDoS saldırıları. Akamai, tüm ağ katmanı DDoS saldırılarının, sıfır saniyelik hizmet düzeyi anlaşmasıyla uçta anında durdurulduğunu iddia ediyor.
Ayrıca bakınız: İsteğe Bağlı | Sıfır Güven Ortamında Gezinme: Uzaktan Çalışma ve Bulut Hakimiyeti için Güvenlik Ustalığı
Akamai başkan yardımcısı ve CTO’su Robert Blumofe, Intelligent Edge platformunun erken tasarımında ve geliştirilmesinde önemli bir rol oynadı ve 2004’ten 2021’e kadar Akamai’nin tüm ağlarına ve operasyon gruplarına liderlik etti.
Blumofe, Bilgi Güvenliği Medya Grubu ile (kısaca düzenlenmiş) bu Soru-Cevap bölümünde 2024’teki başlıca saldırı vektörlerini ve kuruluşların sistemlerini korumak için atması gereken adımları tartıştı.
Saldırganlar son beş yılda taktiklerini nasıl değiştirdi?
Blumofe: Birincil tehdit aktörleri olan hacktivistlerden, mali saiklerle hareket eden organize suçlulara doğru önemli bir değişim yaşandı. Dolayısıyla fidye yazılımı ve DDoS saldırıları yoluyla gaspların artması.
Daha önce saldırılar nispeten basit ve düşük ölçekliydi; bu da saldırıların fırsatçı bir şekilde gerçekleştirildiği anlamına geliyordu. Günümüzde saldırganlar gelişmiş araçlar kullanıyor ve geniş ölçekte faaliyet gösteriyor. Bunlar organize suçlulardır ve kendi İK, işe alma ve pazarlama ekiplerine sahiptirler.
Artık günde bir saldırı değil, artık her saat başı binlerce saldırı var. Orta ölçekli ve küçük şirketlere bile saldırabilirler.
COVID-19 salgını sırasında ve sonrasında, daha fazla insanın interneti kullandığını, evde ve kurumsal işlerde aynı cihazları kullandığını gördük ve bu da tüm bu saldırılarda artışa yol açtı. Kurumsal ağına kötü amaçlı yazılım bulaştırmak için tek yapmanız gereken, bir çalışanın e-postadaki bir bağlantıya dikkatsizce tıklamasıdır.
2023’teki en büyük ilk erişim vektörleri nelerdi? Bu yıl ne bekleyebiliriz?
Blumofe: Uygulama programlama arayüzü veya API artık yeni bir saldırı vektörü olarak ortaya çıkıyor. Hızlı dijitalleşmeyle birlikte, özellikle API’lerde güvenliğin genellikle ikinci planda kaldığı sürekli bir pazara sürüm süresi vardır. Dahili API’lerde daha yüksek düzeyde kontrol vardır. Ancak harici API’lerde (iş ortağı, B2B ve gölge API’ler) kaç API’nin savunmasız olduğu ve kaç API’nin kişisel olarak tanımlanabilir bilgiler taşıdığı konusunda sıfır görünürlük vardır.
Çalınan kimlik bilgileri başka bir şeydir. Ancak ilk sızmanın yarısından fazlası kimlik avı saldırılarından geliyor.
Model, önce bir mevzi bulması, ardından fidye için tutabileceği bir şey bulması gereken saldırgandır. Sahil başı elde etmenin birden fazla yolu vardır. Genel API’lerden, kimlik avından ve uygulama açıklarından daha önce bahsetmiştim. Ayrıca evdeki ağ güvenliği zayıf olan çalışanların dizüstü bilgisayarları da dahil olmak üzere uç noktalara saldırmaya çalışıyorlar.
Önemli olan, başlangıçtaki başlangıç noktasının kuruluş içinde fidye için tutulabilecek yüksek değerli bir şeye dönüşmemesini sağlamaktır.
Önümüzdeki beş yılın yapay zekanın cezai olarak benimsenmesiyle karakterize edileceğini düşünüyorum. Deepfake de dahil olmak üzere yapay zekadan kaynaklanan sosyal mühendislik saldırıları ve tehditleri, 2024’te büyük saldırı vektörleri olacak.
Bu saldırıların yanal yayılımını nasıl kontrol ediyorsunuz?
Blumofe: Yanal yayılmayı engelleyen iki baskın teknoloji var: sıfır güven ve mikrosegmentasyon.
Mikro bölümleme, bir ağı bölümlere ayırmayı ve bölümün gereksinimlerine göre her bölüme güvenlik kontrolleri uygulamayı içerir. Bununla her uygulamanın yalnızca ihtiyaç duyduğu uygulamayı görebilmesini sağlayacak kurallara sahip olabilirsiniz. Doğu-batı yanal yayılımını bu şekilde kontrol edersiniz.
Daha sonra, benzer bir fikir olan sıfır güven erişimi var, ancak kuzey-güney trafiği için. Bir kullanıcı cihazı yalnızca kullanıcı rolüne dayalı uygulamaları görebilmeli ve bunlara yönlendirebilmelidir. Bu, bir VPN’in kullanıcının yapmasına izin verdiği şeyden çok farklıdır. Bir VPN ile kullanıcı ağı tarayıp her şeyi görebilir ve eğer dizüstü bilgisayar ele geçirilirse saldırgan ağınızdaki her şeyi görebilir. Görünürlükleri varsa, (kötü amaçlı) kod çalıştırabilir ve bir güvenlik açığından yararlanabilirler.
İK dışından bir kişi İK veritabanına giriş yapmamalı veya veritabanını görememelidir. Önemli olan görünürlük ve paketlerin İK veritabanına yönlendirilmesidir. Bir saldırgan paketleri kendisine yönlendirebilirse, kodu çalıştırabilir ve hasara neden olabilir (yetkili kullanıcıların ona erişmesini engellemek de dahil) veya verileri çalabilir.
İşletmelerde ne tür ihmaller görüyorsunuz? Nasıl yardım edersiniz?
Blumofe: Pek çok şirket henüz mikro segmentasyonu ve sıfır güven erişimini uygulamadı. Geleneksel VPN’leri kullanmaya devam ediyorlar. Ayrıca FIDO2 tabanlı çok faktörlü kimlik doğrulamayı veya MFA kullanıyor olmalılar.
Çalınan kimlik bilgilerinin kullanılması nedeniyle ihlaller devam ediyor. Çalınan kimlik bilgilerinin ne zaman kullanıldığını belirlemenize yardımcı olabilecek bazı yeteneklerimiz var. Ayrıca sıfır güven çözümlerini de içeren eksiksiz bir siber güvenlik ürün ve çözüm paketimiz var. Guardicore adında mikro segmentasyona yönelik lider bir çözümümüz var. Portföyümüze API güvenliği için bir web uygulaması güvenlik duvarı dahildir.
Günlük toplam internet trafiğinin yaklaşık %35-40’ı Akamai Intelligent Edge Platformunda gözlemlenmektedir. Hem iyi hem de kötü trafik var ve bu verileri yapay zeka modellerimizi eğitmek için kullanıyoruz. Yaklaşık 10 yıldır bunu yapıyoruz.
CISO’lara ve CIO’lara tavsiyeleriniz var mı?
Blumofe: Size tüm güvenlik sorunlarınızın yanıtı olduğunu iddia ettikleri yapay zeka destekli çözümler satmaya çalışan güvenlik satıcılarına karşı dikkatli olun. FIDO2 tabanlı MFA’yı dağıtın. Sıfır güven ve mikro segmentasyon çözümlerini benimseyin. CIO’ların ve CISO’ların saldırganların değil, ağlarında tam görünürlüğe sahip olmaları gerekir.
Dr. Blumofe, 5G, Nesnelerin İnterneti, uç bilişim ve sıfır güven alanlarında 20 yıldan fazla liderlik deneyimine sahiptir. Akamai’de, büyüme fırsatlarından yararlanmak ve inovasyona yönelik yeni pazarları ve platformları değerlendirmek için şirketin teknolojisine ve stratejisine rehberlik ediyor.