Dijitalleşme ve sürekli değişen iş ihtiyaçları çağında, üretim ortamı yaşayan bir organizma haline geldi. Bir kuruluş içindeki birden çok işlev ve ekip, nihayetinde bir saldırganın kuruluşun varlıklarını veya başka bir deyişle harici saldırı yüzeyini görme biçimini etkileyebilir. Bu, bir maruz kalma yönetimi stratejisi tanımlama ihtiyacını önemli ölçüde artırır.
Siber güvenlik riskini etkin bir şekilde değerlendirirken ve yönetirken iş gereksinimlerine ayak uydurmak için kuruluşların harici saldırı yüzeyleriyle ilgili olarak göz önünde bulundurması gereken iki temel unsur vardır: boyut ve Onun saldırganlar için çekicilik. Kuruluşlar tipik olarak saldırı yüzeylerinin boyutunu hesaba katmaya odaklanırken, risk üzerinde önemli bir etkiye sahip olabilmesine rağmen çekiciliği genellikle akılda değildir.
Saldırı Yüzeyi Boyutu
Dış dünyadan kaç varlığa erişilebilir?
İş ihtiyaçları ve güvenlik arasında hassas bir denge vardır. Daha fazla varlığı internete maruz bırakmak için iyi nedenler olsa da (ör. kullanıcı deneyimi, üçüncü taraf entegrasyonlar ve yazılım mimarisi gereksinimleri), fiyat artan bir saldırı yüzeyidir. Artan bağlantı, nihayetinde bir düşman için daha fazla potansiyel ihlal noktası anlamına gelir.
Saldırı yüzeyi ne kadar büyükse ve düşmanın “oyun alanı” için ne kadar çok varlık mevcutsa, bir kuruluşun maruz kalma riskini o kadar azaltması gerekecektir. Bu, saldırı yüzeyini izlemek ve maruz kalan varlıkları sürekli olarak korumak için dikkatle hazırlanmış politikalar ve prosedürler gerektirir. Tabii ki, yazılım güvenlik açıklarını rutin olarak taramak ve yama yapmak gibi temel önlemler var. Ancak, dikkate alınması gereken yapılandırma sorunları, gölge BT, sızdırılmış kimlik bilgileri ve erişim yönetimi hususları da vardır.
Önemli bir not: Test etme ve doğrulama sıklığı, en azından kuruluşun saldırı yüzeyinin değişim hızıyla uyumlu olmalıdır. Bir kuruluş, ortamında ne kadar çok değişiklik yaparsa, saldırı yüzeyini o kadar çok değerlendirmesi gerekir. Bununla birlikte, minimum değişiklik dönemlerinde bile rutin testler hala gereklidir.
Saldırı Yüzeyi Çekiciliği
Dış saldırı yüzeyinin boyutu, siber güvenlik riskinin iyi anlaşılmış bir göstergesi olsa da, aynı derecede kritik olan ve günümüzde kuruluşlar için daha anlaşılması zor olan başka bir husus da, nasıl yapılacağıdır. çekici bir saldırı yüzeyi potansiyel saldırganlar içindir.
Düşmanlar potansiyel kurbanlar ararken, en alçakta asılı kalan meyveyi ararlar. İster belirli bir hedeflenen organizasyonu tehlikeye atmanın en kolay yolu, ister hedeflerine ulaşmak için saldırmanın en kolay hedefleri olsun, dışa dönük varlıklardaki potansiyel güvenlik zayıf noktalarının göstergelerine çekilecek ve faaliyetlerini buna göre önceliklendireceklerdir.
“Çekici” varlıklardan bahsettiğimizde, karaborsada satılabilen kişisel veriler gibi cazip hedefleri kastetmiyoruz. Çekicilikler, bir varlığın hasımlar tarafından kötüye kullanılma potansiyeline sahip nitelikleridir. Bunlar daha sonra bir saldırıyı yaymak için potansiyel bir başlangıç noktası olarak işaretlenir.
Bir kuruluşun varlıklarının tümü, en son ve en iyi yazılıma yamalanmış olabilir. Ancak, bu varlıklar yine de çekici özelliklere sahip olabilir. Örneğin, çok sayıda açık bağlantı noktası, bir saldırıyı yaymak için kullanılabilecek protokol sayısını artırır. Saldırıların mutlaka bir güvenlik açığına bağlı olmadığını, iyi bilinen bir hizmetin kötüye kullanılması olabileceğini vurgulamak önemlidir. Buna iyi bir örnek, Pentera Labs’ın PsExec yardımcı programının nasıl kötüye kullanılacağını anlatan bu blog gönderisinde bulunabilir. Ayrıca, dış dünyadan SSH erişimi sağlayan 22 numaralı bağlantı noktası gibi bazı özel bağlantı noktaları daha çekici olabilir.
Başka bir örnek, dosya yüklemelerine izin veren bir web sitesidir. Bazı kuruluşlar için bu, işi etkinleştiren kritik bir hizmettir, ancak saldırganlar için bu, ayaklarını kapıya sokmanın uygun bir yoludur. Kuruluşlar riskin gayet iyi farkındadır ve bunu farklı şekillerde ele alabilir, ancak bu, bu varlığın çekiciliğini ve buna karşılık gelen risk potansiyelini değiştirmez.
Cazibe merkezleriyle uğraşmanın ana zorluğu, hareketli hedefler olmalarıdır. Çekimler, hem örnek sayılarında hem de yapılandırma değişikliği başına ciddiyetlerinde değişir.
Bir çekimin ciddiyetini etkili bir şekilde değerlendirmek için, bir düşmanın numaralandırma aşamasında onu tespit etmesinin ne kadar kolay olduğunu ve daha da önemlisi, bundan yararlanmanın ne kadar kolay olduğunu anlamak önemlidir. Örneğin, bir VPN bağlantısına sahip olmanın tespit edilmesi kolay, ancak istismar edilmesi zordur ve sonuç olarak, bir kuruluşun risk yönetimi planında daha düşük bir öncelik olabilir. Öte yandan, çevrimiçi bir iletişim formuna sahip olmak, tespit edilmesi kolaydır ve SQL enjeksiyonları ve Log4Shell gibi güvenlik açıklarından yararlanma düzeyleri yüksektir.
Çekicilerin sayısını azaltmak, bir kuruluşun riskini azaltır, ancak bu her zaman mümkün değildir. Sonuç olarak, iş ihtiyaçlarını karşılarken dış saldırı yüzeyindeki açıkları kontrol etmek için kuruluşun bir numaralı önceliği, altta yatan riski anlamak ve buna yönelik bir plan tanımlamak olmalıdır.
Not: Bu makale, Otomatik Güvenlik Doğrulama şirketi Pentera’da bir Ürün Pazarlama Müdürü tarafından yazılmış ve katkıda bulunmuştur. Daha fazlasını okumak için pentera.io’ya gidin.