Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Direktörü Jen Easterly’nin kamu ve özel siber güvenlik sektörleri arasında ortak bir çaba olan Ortak Siber Savunma Kolektifi (JCDC) girişimini açıklamasından sadece iki yıl sonra, grup ilk kılavuzunu sundu: ülkenin kritik altyapısının arkasındaki uzaktan izleme ve yönetim (RMM) sistemleri ekosistemini destekleyin.
RMM araçları, birçok kritik altyapı sistemine uzaktan erişmek için yönetilen hizmet sağlayıcılar (MSP’ler) tarafından kullanılır. JCDC’nin yeni RMM Siber Savunma Planında açıkladığı gibi, tehdit aktörleri onları kullanan kuruluşlara erişim elde etmek için RMM araçlarını aradılar. Bir kez ihlal edildiğinde, tehdit aktörleri tespitten kaçabilir ve bu altyapı sistemlerinde kalıcı erişimi sürdürebilir.
“Bu tür uygulamalar, yaygın EDR’yi devre dışı bırakma olasılıkları düşük olduğundan, saldırganlar için popüler ‘karadan yaşayan’ kaynaklardır. [endpoint detection and response] Tanium’da uç nokta güvenlik araştırması yöneticisi Melissa Bischoping, “JCDC’nin RMM yazılımının hem eğitimini hem de farkındalık ve güvenlik açığı yönetimini iyileştirme çabaları, kontrol ettikleri cihazlarda yüksek düzeyde izinlerle çalışır” diyor. bir tehdit aktörünün bu araçları başarıyla kullanması riski.”
Florida Su Kaynağına Saldırmak İçin Kullanılan RMM Aracı
Viaakoo Labs’ın başkan yardımcısı John Gallagher’a göre TeamViewer, bu meşru RMM araçlarına çok kolay bir şekilde kötüye kullanılabilen bir örnek.
Gallagher, “Uzaktan izleme ve yönetim yazılımı yaygın olarak kullanılıyor. Örneğin TeamViewer’ın 200 milyondan fazla kullanıcısı var ve bir kuruluşun bilgi işlem altyapısına doğrudan erişim sağlıyor” diyor. “Güvenli erişim sağlıyor, ancak bu güvenlik ihlal edilirse, bir tehdit aktörünün sanki şirket içinde ve o bilgisayarın önündeymiş gibi çalışabilmesi nedeniyle yıkıcı olabilir.”
2021’de bir tehdit aktörü, Florida’nın su kaynağını arıtmak için kullanılan kimyasalları değiştirmek için TeamViewer’ın kontrolünü ele geçirmeyi başardı. Gallagher ekliyor.
RMM Planı Önerileri
CISA, RMM Siber Savunma Planının operatörler arasında işbirliğini kolaylaştırmayı ve uzaydaki siber güvenlik ekiplerine rehberlik sağlamayı amaçladığını açıkladı. Rapor özellikle, RMM ekosisteminin tehdit ve güvenlik açığı bilgileri paylaşımını desteklemesi, kalıcı bir RMM operasyonel topluluğu oluşturması, kullanıcıları eğitmesi ve RMM topluluğu genelinde tehdit uyarılarını ve tavsiyelerini artırması gerektiğini ortaya koydu.
Keeper Security’de yönetişim, risk ve uyumluluk analisti Teresa Rothaar, “Birçok MSP, güvenlik hizmetleri sunmaya ancak ağ yönetimi gibi şeyler metalaştıkça, güvenlik alanında nispeten yenidir” diyor. “Bu işbirliği başarılı olursa, MSP’ler için son derece eğitici olacak. Kendi operasyonlarını nasıl güvenli bir şekilde yürüteceklerini öğrenecekler ve karşılığında müşterilerinin de güvenli bir şekilde çalışmasına yardımcı olacaklar.”
KnowBe4’ten Roger Grimes, JCDC RMM Siber Savunma Planını överken biraz daha coşkulu.
Grimes, “Uzaktan yönetim sistemleri, sistemlerimizde onlarca yıldır devam eden, hiç bitmeyen bir zayıflık olmuştur” diyor. “CISA’nın burada duyurduğu şeyin beklenen getirileri sağlayıp sağlamayacağını yalnızca zaman gösterecek, ancak büyük başarı için fikirler ve çerçeve oluşturuldu.”