Kritik Altyapı Güvenliği
Red Team, Kritik Altyapı Kuruluşunun Güvenlik Çerçevesindeki Güvenlik Açıklarını Buldu
Chris Riotta (@chrisriotta) •
21 Kasım 2024
ABD siber savunma kurumu, kritik altyapı operatörlerini, gönüllü okuma ekibi testi deneyiminden ders almaya ve ağ katmanı korumaları pahasına ana bilgisayar tabanlı uç nokta algılama ve yanıt çözümlerine çok fazla güvenmemeye çağırıyor.
Ayrıca bakınız: Kurumsal Tarayıcılar İçin Kesin Kılavuz
Ajans Perşembe günü yaptığı açıklamada, Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan kırmızı ekip değerlendirmesi talep eden isimsiz bir kritik altyapı kuruluşunun, kötü niyetli faaliyetleri en başından itibaren tespit etmek veya önlemek için yeterli bir güvenlik çerçevesinden yoksun olduğunu söyledi.
CISA, kritik altyapı kuruluşundaki üst düzey yetkililerin “kendi siber güvenlik ekibinin tespit ettiği bir güvenlik açığının tedavisine öncelik vermediğini” ve riske dayalı karar verme sürecinde önemli yanlış hesaplamalar yaptığını söyledi. Kırmızı ekip, üçüncü bir tarafın önceki güvenlik değerlendirmesinin bıraktığı bir web kabuğu aracılığıyla ilk erişimi elde ettikten sonra kuruluşun etki alanını ve bazı hassas iş sistemlerini tehlikeye attı.
CISA bu hikaye hakkında yorum yapmayı reddetti ve kuruluşun hangi kritik altyapı sektörüne ait olduğunu açıklamadı. Ajansın kırmızı ekibi, önceki bir güvenlik açığı açıklama programından kalan web kabuğunu keşfetmeden önce başlangıçta başarısız kimlik avı girişimleri gerçekleştirdi.
Rapor, kritik altyapı sahiplerine ve operatörlerine, tüm yazılım geliştirme yaşam döngüsü boyunca güvenliği ürün mimarisine yerleştirmelerini, varsayılan şifreleri ortadan kaldırmalarını ve çok faktörlü kimlik doğrulamayı zorunlu kılmalarını tavsiye ediyor. CISA, kuruluş personelinin ağlarını yeterince koruyabilmelerini sağlamak için teknik yeterliliklerinin sürekli olarak geliştirilmesinin yanı sıra “yeterli kaynaklardan” da yararlanabileceğini söyledi.
Kritik altyapı operatörleri ayrıca güvenlik kontrollerini doğrulamalı, tüm envanterlerini test etmeli ve tek bir güvenlik kontrolü kusurunun “tüm sistemin tehlikeye girmesine neden olmasını” sağlayacak şekilde ürünler tasarlamalıdır.
CISA, değerlendirmeyi alan kuruluşun uygun kimlik yönetiminden yoksun olduğunu belirterek, ağ savunucularının Linux ağlarında merkezi kimlik yönetimi sistemini uygulayamadıklarını ve kırmızı ekibin yanal hareketini izlemek için her Linux ana bilgisayarını yapay yapılar açısından manuel olarak sorgulamak zorunda kaldıklarını ekledi. Raporda, düzgün yapılandırılmış bir ağın, kırmızı ekibin kuruluşun çevresini ihlal etmesini de engelleyebileceği belirtildi.