Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşların bulut ortamlarında kendilerini güvence altına almaları için ücretsiz araçların bir listesini yayınladı.
CISA’dan yapılan gönderide, bu araçların olay müdahale analistlerine ve ağ savunucularına bulut veya hibrit ortamlardaki tehditleri, bilinen güvenlik açıklarını ve anormallikleri azaltma, belirleme ve tespit etme konusunda yardımcı olacağı belirtildi.
Tehdit aktörleri, bir saldırı sırasında geleneksel olarak dahili sunucuları hedef alır. Bununla birlikte, buluta geçişin hızlı büyümesi, söz konusu bulut olduğunda saldırı vektörü çok büyük olduğundan, birçok tehdit aktörünü bulut ortamlarını hedeflemeye yöneltti.
CISA tarafından sağlanan araçlar, bulut tehditlerine karşı savunma yapmak için gerekli araçlara sahip olmayan kuruluşlara yardımcı olacaktır. Bu araçlar, bulut kaynaklarını bilgi hırsızlığından, veri hırsızlığından ve bilgi ifşasından korumaya yardımcı olabilir.
CISA ayrıca, kuruluşların bu tehditlere karşı korunmak için Bulut Hizmet Sağlayıcıları tarafından sağlanan güvenlik özelliklerini kullanmaları ve bunları CISA tarafından önerilen ücretsiz araçlarla birleştirmeleri gerektiğinden bahsetmiştir. CISA tarafından sağlanan araçlar,
- Siber Güvenlik Değerlendirme Aracı (CSET) (CISA)
- SCuBAGear (CISA)
- İsimsiz Kaz Aracı (CISA)
- Karar verici (CISA)
- Bulutta Adli Bellek (JPCERT/CC)
Siber Güvenlik Değerlendirme Aracı (CSET)
Bu araç, kuruluşlara siber güvenlik duruş değerlendirmelerinde yardımcı olmak için endüstri tarafından tanınan standartları, çerçeveleri ve önerileri kullanan CISA tarafından geliştirilmiştir. Araç, sistem bileşenleri, mimari ve operasyonel politikalar ve prosedürler hakkında çok sayıda soru sorar.
Bu bilgiler daha sonra kuruluşların güçlü ve zayıf yönlerine dair eksiksiz bir fikir veren ve bunları düzeltmeye yönelik öneriler içeren bir rapor oluşturmak için kullanılır. CSET sürüm 11.5, CISA ve NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) tarafından geliştirilen Sektörler Arası Siber Performans Hedeflerini (CPG) içerir.
CPG, tüm kuruluşların izlemesi gereken en iyi uygulamaları ve rehberliği sağlayabilir. Bu araç, yaygın ve etkili TTP’lere karşı yardımcı olabilir.
SCuBAGear M365 Güvenli Yapılandırma Temel Değerlendirme Aracı
SCuBAGear, SolarWinds Orion Software’in Tedarik Zinciri uzlaşmasına yanıt olarak başlatılan SCuBA (Güvenli Bulut İş Uygulamaları) projesinin bir parçası olan bir araçtır. SCuBA, Federal Sivil Yürütme Şubesini (FECB) CISA’nın M365 Güvenli yapılandırmalarıyla karşılaştıran otomatik bir komut dosyasıdır.
SCuBAGear ile işbirliği içinde CISA, bulut güvenliğine rehberlik edebilecek ve tüm kuruluşlara yardımcı olabilecek birden çok belge oluşturdu. Bu aracın bir parçası olarak üç belge oluşturuldu,
- SCuBA Teknik Referans Mimarisi (TRA) – Bulut güvenliğini güçlendirmek için gerekli bileşenleri sağlar. TRA’nın kapsamı, bulut iş uygulamalarını (SaaS modelleri için) ve bunların güvenliğini sağlamak ve izlemek için kullanılan güvenlik hizmetlerini ekler.
- Hibrit Kimlik Çözümleri Mimarisi – Bir Bulut ortamında kimlik yönetimini ele almak için en iyi yaklaşımları sağlar.
- M365 güvenlik yapılandırma temeli (SCB) – Microsoft Defender 365, OneDrive, AAD, Exchange Online vb. için temel güvenlik yapılandırmaları sağlar.
Bu araç, M365 SCB kılavuzlarında açıklanan politika sapmalarını vurgulayan bir HTML raporu sağlar.
Başlıksız Kaz Aracı
Bu araç, ağ savunucularının Microsoft Azure, AAD ve M365’teki kötü amaçlı etkinlikleri belirlemesine yardımcı olabilecek Sandia Ulusal Laboratuvarları ile birlikte geliştirilmiştir. Denetim günlüklerinin sorgulanmasına, dışa aktarılmasına ve araştırılmasına da yardımcı olabilir.
Bu araç, Güvenlik Olayı ve Olay Yönetimi (SIEM) araçlarına bu tür günlükleri almayan kuruluşlar için son derece yararlıdır. Azure, AAD ve M365 için veri toplama kapasiteleri olmadığı için PowerShell araçlarına alternatif olarak geliştirilmiştir.
Ağ Savunucuları bu aracı şu amaçlarla kullanabilir:
- AAD, Azure ve M365’ten bulut yapıları çıkarma
- Birleşik Denetim Günlüklerinin (UAL) zaman sınırlamasını gerçekleştirin
- Zaman sınırı içinde ekstra veri
- MDE(Microsoft Defender Endpoint) verileri için zaman sınırlaması özelliğini kullanarak veri toplayın
Karar Aracı
Bu araç, olay müdahale analistlerinin kötü amaçlı etkinlikleri MITRE ATT&CK çerçevesiyle eşlemesine yardımcı olabilir. Aynı zamanda tekniklerine daha kolay bir yaklaşım sağlar ve buna göre faaliyetlerin haritalandırılması için rehberlik sağlar.
Tıpkı CSET gibi, bu araç da mümkün olan en iyi tanımlama yöntemini belirlemek için ilgili kullanıcı sorgularını sağlamak üzere birkaç soru sorar. Bu bilgilerle, kullanıcılar artık şunları yapabilir:
- ATT&CK Navigator ısı haritalarını dışa aktarın
- Tehdit İstihbaratı raporları yayınlayın
- Etki azaltma prosedürlerini belirleyin ve uygulayın
- Sömürüyü Önle
CISA, Karar Verme aracının nasıl kullanılacağına ilişkin bir bağlantı da sağlamıştır.
Bulutta Adli Bellek (JPCERT/CC)
Volatility 3 kullanarak AWS’de Windows Bellek Görüntüsü oluşturmak ve analiz etmek için geliştirilmiştir. Ayrıca, dosyasız kötü amaçlı yazılım olarak da adlandırılan yeni trend LOTL (Living-Off-the-Land) saldırıları söz konusu olduğunda Adli Bellek gereklidir.
Bir bellek görüntüsü analizi, genellikle yeterli bir ortam hazırlamak için yüksek özellikli makineler, zaman ve kaynaklar gerektiren olay müdahale görevleri sırasında yardımcı olabilir.